Les pays d’où proviennent les courriels d’hameçonnage et le nombre de pays par lesquels ils sont acheminés jusqu’à leur destination constituent des signes précurseurs importants d’hameçonnage. Hélas, ils sont rarement pris en compte.
Les attaques par hameçonnage ont été le fléau numéro un lorsque la pandémie a frappé et isolé des millions de télétravailleurs de leurs services informatiques. Barracuda s’est récemment associé à des chercheurs de l’université de Columbia pour analyser la géographie de provenance des courriels d’hameçonnage et les chemins par lesquels ils transitent. La détection de l’hameçonnage se concentre en grande partie sur le contenu des courriels d’hameçonnage et le comportement des attaquants. Toutefois, les attaques d’hameçonnage devenant de plus en plus complexes, ceux qui tentent de s’en défendre doivent utiliser des méthodes de plus en plus sophistiquées.
L’équipe de chercheurs a examiné les caractéristiques des courriels d’hameçonnage au niveau du réseau, car les informations à ce niveau sont plus persistantes et plus difficiles à manipuler pour les attaquants. En extrayant les adresses IP des champs « received » des en-têtes des courriels, car ces champs enregistrent des informations sur les serveurs empruntés lors du transit, ils ont pu retracer les itinéraires suivis par ces courriels malveillants. L’étude de ces données a permis de mieux comprendre le parcours d’un courriel d’hameçonnage entre son expéditeur et ses destinataires.
Les voies détournées des courriels d’hameçonnage
En examinant la géolocalisation et l’infrastructure réseau de plus de 2 milliards de courriels, dont 218 000 courriels d’hameçonnage, envoyés au cours du mois de janvier 2020, les chercheurs ont constaté que les courriels d’hameçonnage proviennent plus souvent de certains pays d’Europe de l’Est, d’Amérique centrale, du Moyen-Orient et d’Afrique. Ils sont également plus susceptibles d’être acheminés via un plus grand nombre d’endroits que les courriels légitimes.
Les courriels d’hameçonnage ont le plus souvent des itinéraires qui traversent plusieurs pays.
Plus de 80 % des courriels bénins sont acheminés via deux pays au maximum, contre à peine plus de 60 % des courriels d’hameçonnage. Ainsi, une fonctionnalité efficace pour un système de détection d’hameçonnage pourrait être d’examiner le nombre de pays distincts par lesquels passe un courriel.
Les pays où la probabilité d’hameçonnage est la plus élevée sont situés dans certaines parties de l’Europe de l’Est, de l’Amérique centrale, du Moyen-Orient et de l’Afrique.
Les chercheurs ont établi la probabilité d’hameçonnage des pays en identifiant le pays de l’expéditeur grâce aux données de géolocalisation et en calculant la probabilité d’hameçonnage pour chaque pays selon une formule d’équivalence. Certains pays qui ont un volume élevé d’hameçonnage en origine ont une probabilité extrêmement faible d’hameçonnage. Par exemple, 129 369 de courriels d’hameçonnage dans le jeu de données ont été envoyés depuis les États-Unis, mais ce pays a une probabilité d’hameçonnage de seulement 0,02 %. En général, la majorité des pays avaient une probabilité d’hameçonnage de 10 % ou moins.
« S’il n’est pas raisonnable de bloquer l’intégralité du trafic du courrier électronique provenant des pays ayant une forte probabilité d’hameçonnage, il peut être judicieux de marquer les courriels qui en émanent en vue d’une analyse plus approfondie », conseille Barracuda.
Un grand nombre des réseaux utilisés par les attaquants pour envoyer leurs attaques sont étonnamment de grands fournisseurs de cloud légitimes.
Les chercheurs ont constaté avec surprise que les réseaux présentant le nombre le plus élevé d’attaques appartiennent à de grands fournisseurs de cloud. Cela s’explique dans la mesure où ils présentent également le volume total de courriels envoyés le plus élevé. Pour ces réseaux, la probabilité qu’un courriel soit de l’hameçonnage est très faible. Il est probable que la plupart des attaques provenant de ces réseaux émanent de comptes de messagerie ou de serveurs compromis, dont les attaquants ont pu obtenir les informations d’identification.
Ils ont également constaté que certains des attaquants ayant le plus fort volume d’hameçonnage (par réseau) et présentant également une forte probabilité d’hameçonnage proviennent aussi de réseaux appartenant à des prestataires de services de cloud computons (Rackspace, Salesforce). Ces réseaux ont un trafic total d’emails nettement inférieur aux deux premiers réseaux, mais envoient néanmoins une quantité significative de courriels piégés. Par conséquent, ils ont une probabilité beaucoup plus élevée qu’un courriel en provenant soit malveillant.