Les règles automatisées de boîte de réception de courrier électronique sont une fonctionnalité utile et familière de la plupart des programmes de messagerie. Ils vous aident à gérer votre boîte de réception et le flot quotidien de messages recherchés et indésirables en vous permettant de déplacer les e-mails vers des dossiers spécifiques, de les transférer à des collègues lorsque vous êtes absent ou de les supprimer automatiquement.
Cependant, une fois qu'un compte a été compromis, les attaquants peuvent abuser des règles de la boîte de réception pour dissimuler d'autres attaques, par exemple en exfiltrant secrètement des informations du réseau via un transfert, en s'assurant que la victime ne voit pas les avertissements de sécurité et en supprimant certains messages.
L’e-mail comme principal vecteur d’attaque
Bien que la sécurité de la messagerie ait évolué et que l’utilisation du machine learning ait facilité la détection des créations suspectes de règles de boîte de réception, les attaquants continuent d’utiliser cette technique avec succès. Étant donné que cela nécessite un compte compromis, le nombre global de cette menace est probablement faible, mais elle constitue néanmoins une menace sérieuse pour l'intégrité des données et des actifs d'une organisation - notamment parce que la création de règles par un attaquant est une technique. La compromission se produit, ce qui signifie il est déjà sur le réseau et des contre-mesures immédiates sont nécessaires.
Les attaques par courrier électronique ont un taux de réussite élevé et constituent un point d’entrée courant pour de nombreuses autres cyberattaques. L'étude Barracuda a révélé que 75 % des entreprises interrogées dans le monde ont subi au moins une faille de sécurité de messagerie en 2022. Ces attaques vont des simples attaques de phishing et des liens ou pièces jointes malveillants aux techniques d'ingénierie sociale sophistiquées telles que le Business Email Compromise (BEC), le détournement de conversation et le piratage de compte. Certains des types les plus avancés sont associés à des règles de messagerie malveillantes.
Règles de messagerie automatisées
Pour créer des règles de messagerie malveillantes, les attaquants doivent avoir compromis un compte cible, par exemple via un e-mail de phishing réussi ou en utilisant des informations d'identification volées obtenues lors d'une violation précédente. Une fois que l'attaquant prend le contrôle du compte de messagerie de la victime, il peut configurer une ou plusieurs règles de messagerie automatisées.
Les attaquants peuvent définir une règle pour transférer tous les e-mails contenant des mots-clés sensibles et potentiellement lucratifs tels que « paiement », « facture » ou « confidentiel » vers une adresse externe. En outre, ils peuvent également abuser des règles de messagerie pour masquer certains e-mails entrants en déplaçant ces messages vers des dossiers rarement utilisés, en marquant les e-mails comme lus ou simplement en les supprimant. Par exemple, pour masquer les alertes de sécurité, les messages de commande et de contrôle ou les réponses aux e-mails internes de spear phishing envoyés à partir du compte compromis, ou pour cacher leurs traces au propriétaire du compte qui est susceptible d'utiliser le compte utilisé en même temps. sans connaître les intrus. De plus, les attaquants peuvent également abuser des règles de transfert de courrier électronique pour surveiller les activités d'une victime et collecter des informations sur la victime ou sur son organisation afin de les utiliser dans d'autres attaques ou opérations.
Attaques BEC (Business Email Compromise)
Dans les attaques BEC, les cybercriminels tentent de convaincre leurs victimes qu'un e-mail provient d'un utilisateur légitime afin d'escroquer l'entreprise et ses employés, clients ou partenaires. Par exemple, les attaquants peuvent définir une règle qui supprime tous les e-mails entrants d'un employé ou d'un responsable spécifique, tel que le directeur financier (CFO). Cela permet aux criminels de se faire passer pour un directeur financier et d'envoyer de faux e-mails aux employés pour les convaincre de transférer les fonds de l'entreprise vers un compte bancaire contrôlé par les attaquants.
En novembre 2020, le FBI a publié un rapport sur la manière dont les cybercriminels exploitent le manque de synchronisation et de visibilité sur la sécurité entre les clients de messagerie Web et de bureau pour définir des règles de routage des e-mails, augmentant ainsi la probabilité de réussite d'une attaque BEC.
Attaques par courrier électronique à l'échelle d'un État-nation
Des règles de courrier électronique malveillantes sont également utilisées dans des attaques ciblées contre des États-nations. Le cadre MITRE ATT&CK® de tactiques et techniques adverses nomme trois APT (Advanced Persistent Threat Groups) qui utilisent la technique de transfert d'e-mails malveillants (T1114.003). Il s’agit de Kimsuky, un groupe national de menace de cyberespionnage, de LAPSUS$, connu pour ses attaques d’extorsion et de perturbation, et de Silent Librarian, un autre groupe national lié au vol de propriété intellectuelle et à la recherche.
MITRE classe les règles de masquage des e-mails (T1564.008) comme une technique utilisée pour contourner les défenses de sécurité. Une APT connue pour utiliser cette technique est FIN4, un acteur malveillant motivé par des raisons financières qui crée des règles dans les comptes des victimes pour supprimer automatiquement les e-mails contenant des mots tels que « piraté », « phishing » et contenant « malware », susceptibles d'empêcher l'accès informatique de la victime. l’équipe d’informer les employés et autres personnes de leurs activités.
Des mesures de sécurité inefficaces
Si une règle malveillante n'est pas détectée, elle restera en vigueur même si le mot de passe de la victime est modifié, si l'authentification multifacteur est activée, si d'autres politiques d'accès conditionnel strictes sont mises en œuvre ou si l'ordinateur est complètement reconstruit. Tant que la règle reste en vigueur, elle reste efficace.
Même si les règles de courrier électronique suspectes peuvent constituer une bonne indication d’une attaque, les examiner isolément ne constitue pas un signe suffisant pour indiquer qu’un compte a été compromis. Les défenses doivent donc utiliser plusieurs signaux pour réduire les informations non pertinentes et alerter l'équipe de sécurité d'une attaque par courrier électronique réussie. La nature dynamique et évolutive des cyberattaques, y compris le recours à des tactiques sophistiquées par les attaquants, nécessite une approche à plusieurs niveaux en matière de détection et de réponse.
Des mesures de défense efficaces
Étant donné que la création de règles de boîte de réception est une technique post-compromission, la protection la plus efficace est la prévention, c'est-à-dire empêcher les attaquants de pirater le compte en premier lieu. Cependant, les organisations ont également besoin de mesures efficaces de détection et de réponse aux incidents pour identifier les comptes compromis et atténuer l’impact de ces attaques. Cela inclut une visibilité complète de toutes les actions entreprises dans la boîte de réception de chaque employé et des règles créées, de ce qui a été modifié ou consulté, de l'historique de connexion de l'utilisateur, de l'heure, de l'emplacement et du contexte des e-mails envoyés, et bien plus encore. Les solutions avancées de sécurité de la messagerie basées sur l'IA utilisent ces données pour créer un profil de compte intelligent pour chaque utilisateur, signalant instantanément toute anomalie, aussi petite soit-elle. La protection contre le vol d'identité utilise également plusieurs signaux tels que les informations de connexion, les données de messagerie et les modèles statistiques, ainsi que des règles pour détecter une attaque de piratage de compte.
Enfin, la détection et la réponse étendues (XDR) et la surveillance 24 heures sur 7 et XNUMX jours sur XNUMX par un centre d'opérations de sécurité (SOC) peuvent contribuer à garantir que même les activités profondément cachées et obscurcies sont détectées et neutralisées. Abuser des règles de la boîte de réception est l’une des tactiques les plus perfides utilisées par les cybercriminels. Cependant, grâce aux mesures ci-dessus, les entreprises peuvent se défendre de manière adéquate contre cette menace afin de protéger leurs données et actifs sensibles.
Plus sur Barracuda.com
À propos des réseaux Barracuda Barracuda s'efforce de rendre le monde plus sûr et estime que chaque entreprise devrait avoir accès à des solutions de sécurité à l'échelle de l'entreprise compatibles avec le cloud, faciles à acheter, à déployer et à utiliser. Barracuda protège les e-mails, les réseaux, les données et les applications avec des solutions innovantes qui évoluent et s'adaptent tout au long du parcours client. Plus de 150.000 XNUMX entreprises dans le monde font confiance à Barracuda pour se concentrer sur la croissance de leur activité. Pour plus d'informations, rendez-vous sur www.barracuda.com.