Comment les escroqueries de phishing utilisent Office 365 pour cibler les compagnies d'assurance

Le courrier électronique est souvent le premier choix d'un cybercriminel au moment de son lancement, car il est si facile à exploiter. Contrairement aux attaques par force brute qui sont lourdes de conséquences sur la puissance de traitement, ou aux méthodes plus sophistiquées qui requièrent un haut niveau de compétence, l'usurpation de domaine peut être aussi facile que d'écrire un courriel en se faisant passer pour quelqu'un d'autre. Dans de nombreux cas, ce "quelqu'un d'autre" est une importante plate-forme de services logiciels sur laquelle les gens comptent pour faire leur travail.

C'est ce qui s'est passé entre le 15 et le 30 avril 2020, lorsque nos analystes de la sécurité à PowerDMARC ont découvert une nouvelle vague d'e-mails de phishing ciblant les principales compagnies d'assurance du Moyen-Orient. Cette attaque n'est qu'une parmi d'autres dans la récente augmentation des cas de phishing et de spoofing lors de la crise Covid-19. Dès février 2020, une autre grande arnaque de phishing est allée jusqu'à se faire passer pour l'Organisation mondiale de la santé, en envoyant des courriels à des milliers de personnes pour leur demander de faire des dons pour lutter contre le coronavirus.

Dans cette récente série d'incidents, les utilisateurs du service Office 365 de Microsoft ont reçu ce qui semblait être des courriels de mise à jour de routine concernant le statut de leurs comptes d'utilisateur. Ces courriels provenaient des domaines de leur propre organisation et demandaient aux utilisateurs de réinitialiser leur mot de passe ou de cliquer sur des liens pour consulter les notifications en attente.

Nous avons dressé une liste de certains des titres de courriels dont nous avons observé l'utilisation :

  • Activité de connexion inhabituelle sur un compte Microsoft
  • Vous avez (3) messages en attente de livraison sur votre portail e-Mail [email protected]* !
  • [email protected] Vous avez des messages UNSYNC en attente de Microsoft Office
  • Notification sommaire de réactivation pour [email protected]

*les détails du compte ont été modifiés pour respecter la vie privée des utilisateurs

Vous pouvez également voir un exemple d'en-tête de courrier utilisé dans un courriel usurpé envoyé à une compagnie d'assurance :

Reçu : de [...malicious_ip] (helo= domaine_malveillant)

id 1jK7RC-000uju-6x

pour [email protected] ; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature : v=1 ; a=rsa-sha256 ; q=dns/txt ; c=relaxed/relaxed ;

Reçu : de [xxxx] (port=58502 helo=xxxxx)

par domaine_malveillant avec l'esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De : "Microsoft account team" 

Pour : [email protected]

Sujet : Notification de Microsoft Office pour [email protected] le 4/1/2020 23:46

Date : 2 avr 2020 22:31:45 +0100

Message-ID: <[email protected]>

Version MIME : 1.0

Type de contenu : text/html ;

charset="utf-8″

Transfert de contenu - encodage : entre guillemets

X-AntiAbuse : Cet en-tête a été ajouté pour suivre les abus, veuillez l'inclure avec tout rapport d'abus

X-AntiAbuse : Nom d'hôte principal - domaine_malveillant

X-AntiAbuse : Domaine d'origine - domaine.com

X-AntiAbuse : UID/GID de l'auteur/appelant - [47 12] / [47 12]

X-AntiAbuse : Adresse de l'expéditeur Domaine - domain.com

X-Get-Message-Sender-Via : domaine_malveillant: authenticated_id : [email protected]_malveillant

X-Authenticated-Sender : malicious_domain : [email protected]_domain

X-Source : 

X-Source-Args : 

X-Source-Dir : 

Reçu-SPF : échec ( le domaine du domaine .com ne désigne pas adresse_ip_malveillante comme expéditeur autorisé) client-ip= adresse_ip_malveillante ; enveloppe à partir de=[email protected]; helo=domaine_malveillant;

X-SPF-Résultat : le domaine de domain.com ne désigne pas adresse_ip_malveillante en tant qu'expéditeur autorisé

X-Sender-Warning : La recherche inverse du DNS a échoué pour adresse_ip_malveillante (échec)

X-DKIM-Statut : aucun / / domaine.com / / /

X-DKIM-Statut : passer / / domaine_malveillant / domaine_malveillant / / par défaut

 

Notre centre des opérations de sécurité a tracé les liens des courriels vers les URL de phishing qui visaient les utilisateurs de Microsoft Office 365. Les URL ont été redirigées vers des sites compromis situés à différents endroits dans le monde.

En regardant simplement les titres de ces courriels, il serait impossible de dire qu'ils ont été envoyés par quelqu'un qui usurpe le domaine de votre organisation. Nous sommes habitués à recevoir un flux constant de courriels relatifs à notre travail ou à nos comptes qui nous incitent à nous connecter à divers services en ligne, comme Office 365. L'usurpation de domaine en profite pour rendre les faux courriels malveillants impossibles à distinguer des vrais. Il n'y a pratiquement aucun moyen de savoir, sans une analyse approfondie du courrier électronique, s'il provient d'une source fiable. Et avec les dizaines de courriels qui arrivent chaque jour, personne n'a le temps de les examiner tous avec attention. La seule solution serait d'utiliser un mécanisme d'authentification qui vérifierait tous les courriels envoyés depuis votre domaine, et ne bloquerait que ceux qui ont été envoyés par quelqu'un qui l'a envoyé sans autorisation.

Ce mécanisme d'authentification est appelé DMARC. Et en tant que l'un des principaux fournisseurs de solutions de sécurité du courrier électronique dans le monde, nous, à PowerDMARC, nous nous sommes donné pour mission de vous faire comprendre l'importance de protéger le domaine de votre organisation. Pas seulement pour vous, mais pour tous ceux qui vous font confiance et dépendent de vous pour leur envoyer des courriels sûrs et fiables dans leur boîte de réception, à chaque fois.

Vous pouvez lire les risques de l'usurpation d'identité ici : https://powerdmarc.com/stop-email-spoofing/

Découvrez comment protéger votre domaine contre l'usurpation d'identité et renforcer votre marque ici : https://powerdmarc.com/what-is-dmarc/

/par

Comment les attaquants utilisent le coronavirus pour vous escroquer

Alors que des organisations mettent en place des fonds de charité dans le monde entier pour lutter contre le Covid-19, une autre sorte de bataille est menée dans les conduits électroniques d'Internet. Des milliers de personnes à travers le monde ont été victimes d'usurpation d'adresse électronique et d'escroquerie au Covid-19 pendant la pandémie de coronavirus. Il est de plus en plus courant de voir des cybercriminels utiliser les noms de domaine réels de ces organisations dans leurs courriels pour paraître légitimes.

Dans le cadre de l'escroquerie la plus récente au coronavirus, un courriel censé provenir de l'Organisation mondiale de la santé (OMS) a été envoyé dans le monde entier pour demander des dons au Fonds de solidarité. L'adresse de l'expéditeur était "[email protected]", où "who.int" est le véritable nom de domaine de l'OMS. Il a été confirmé qu'il s'agissait d'une escroquerie par hameçonnage, mais à première vue, tous les signes indiquaient que l'expéditeur était authentique. Après tout, le domaine appartenait à la véritable OMS.

fonds de réponse aux dons

Cependant, ce n'est qu'une des nombreuses escroqueries de phishing qui utilisent des courriels liés à des coronavirus pour voler de l'argent et des informations sensibles aux gens. Mais si l'expéditeur utilise un vrai nom de domaine, comment pouvons-nous distinguer un courriel légitime d'un faux ? Pourquoi les cybercriminels peuvent-ils si facilement utiliser l'usurpation de domaine de messagerie sur une si grande organisation ?

Et comment des entités comme l'OMS découvrent-elles quand quelqu'un utilise leur domaine pour lancer une attaque de phishing ?

Le courrier électronique est l'outil de communication commerciale le plus utilisé au monde, mais c'est un protocole totalement ouvert. En soi, il n'y a pas grand-chose pour contrôler qui envoie quels courriels et à partir de quelle adresse électronique. Cela devient un énorme problème lorsque les attaquants se déguisent en marque de confiance ou en personnage public, demandant aux gens de leur donner leur argent et leurs informations personnelles. En fait, plus de 90 % de toutes les violations de données d'entreprise de ces dernières années ont consisté en un hameçonnage de courrier électronique sous une forme ou une autre. Et l'usurpation de domaine de messagerie est l'une des principales causes de ce phénomène.

Dans un effort pour sécuriser le courrier électronique, des protocoles comme le Sender Policy Framework (SPF) et le Domain Keys Identified Mail (DKIM ) ont été développés. Le SPF recoupe l'adresse IP de l'expéditeur avec une liste approuvée d'adresses IP, et le DKIM utilise une signature numérique cryptée pour protéger les courriers électroniques. Bien que ces deux systèmes soient efficaces individuellement, ils présentent chacun leurs propres défauts. DMARC, qui a été développé en 2012, est un protocole qui utilise à la fois l'authentification SPF et DKIM pour sécuriser le courrier électronique, et dispose d'un mécanisme qui envoie au propriétaire du domaine un rapport chaque fois qu'un courrier électronique échoue à la validation DMARC.

Cela signifie que le propriétaire du domaine est averti chaque fois qu'un courriel est envoyé par un tiers non autorisé. Et surtout, il peut indiquer au destinataire du courrier électronique comment traiter les messages non authentifiés : les laisser dans sa boîte de réception, les mettre en quarantaine ou les rejeter purement et simplement. En théorie, cela devrait empêcher les mauvais courriers électroniques d'inonder les boîtes de réception des gens et réduire le nombre d'attaques de phishing auxquelles nous sommes confrontés. Alors pourquoi ne le fait-on pas ?

DMARC peut-il empêcher l'usurpation de domaine et les escroqueries par courriel de type Covid-19 ?

L'authentification des e-mails exige que les domaines expéditeurs publient leurs enregistrements SPF, DKIM et DMARC auprès du DNS. Selon une étude, seuls 44,9 % des domaines du top 1 million d'Alexa avaient un enregistrement SPF valide publié en 2018, et pas plus de 5,1 % avaient un enregistrement DMARC valide. Et ce, malgré le fait que les domaines sans authentification DMARC souffrent d'usurpation près de quatre fois plus que les domaines qui sont sécurisés. La mise en œuvre de DMARC est insuffisante dans le monde des affaires, et la situation ne s'est guère améliorée au fil des ans. Même des organisations comme l'UNICEF n'ont pas encore mis en œuvre DMARC avec leurs domaines, et la Maison Blanche et le ministère américain de la défense ont tous deux une politique DMARC de p = none, ce qui signifie qu'elle n'est pas appliquée.

Une enquête menée par des experts de Virginia Tech a mis en lumière certaines des préoccupations les plus graves citées par les grandes entreprises et les commerces qui n'ont pas encore utilisé l'authentification DMARC :

  1. Difficultés de déploiement : L'application stricte des protocoles de sécurité implique souvent un niveau élevé de coordination dans les grandes institutions, pour lesquelles elles n'ont souvent pas les ressources nécessaires. Au-delà de cela, de nombreuses organisations n'ont pas beaucoup de contrôle sur leur DNS, de sorte que la publication des enregistrements DMARC devient encore plus difficile.
  2. Les avantages ne dépassent pas les coûts : L'authentification DMARC présente généralement des avantages directs pour le destinataire du courrier électronique plutôt que pour le propriétaire du domaine. Le manque de motivation sérieuse pour adopter le nouveau protocole a empêché de nombreuses entreprises d'intégrer le DMARC dans leurs systèmes.
  3. Risque de rupture du système existant : La relative nouveauté du DMARC le rend plus susceptible d'être mal mis en œuvre, ce qui entraîne le risque très réel que des courriels légitimes ne passent pas. Les entreprises qui dépendent de la circulation du courrier électronique ne peuvent pas se le permettre, et ne se donnent donc pas la peine d'adopter le DMARC.

Reconnaître pourquoi nous avons besoin de la DMARC

Si les préoccupations exprimées par les entreprises dans l'enquête ont un mérite évident, elles ne rendent pas moins impérative la mise en œuvre du DMARC pour la sécurité du courrier électronique. Plus longtemps les entreprises continueront à fonctionner sans un domaine authentifié par la DMARC, plus nous nous exposerons tous au danger très réel des attaques de phishing par courrier électronique. Comme nous l'ont appris les escroqueries de Coronavirus, personne n'est à l'abri d'être ciblé ou de se faire passer pour un autre. Considérez le DMARC comme un vaccin - plus le nombre de personnes qui l'utilisent augmente, plus les chances d'attraper une infection diminuent.

Il existe des solutions réelles et viables à ce problème qui pourraient surmonter les inquiétudes des gens concernant l'adoption du DMARC. En voici quelques-unes qui pourraient stimuler largement la mise en œuvre :

  1. Réduire les frictions dans la mise en œuvre : Le principal obstacle à l'adoption de DMARC par une entreprise est le coût de son déploiement. L'économie est en plein marasme et les ressources sont rares. C'est pourquoi PowerDMARC et nos partenaires industriels Global Cyber Alliance (GCA) sont fiers d'annoncer une offre limitée dans le temps pendant la pandémie de Covid-19 - 3 mois de notre suite complète d'applications, de mise en œuvre DMARC et de services anti-spoofing, entièrement gratuits. Configurez votre solution DMARC en quelques minutes et commencez à surveiller vos e-mails avec PowerDMARC dès maintenant.
  2. Améliorer l'utilité perçue : Pour que le DMARC ait un impact majeur sur la sécurité du courrier électronique, il a besoin d'une masse critique d'utilisateurs pour publier leurs dossiers SPF, DKIM et DMARC. En récompensant les domaines authentifiés par le DMARC par une icône "Trusted" ou "Verified" (comme pour la promotion du HTTPS auprès des sites web), les propriétaires de domaines peuvent être incités à obtenir une réputation positive pour leur domaine. Une fois ce seuil atteint, les domaines protégés par le DMARC seront considérés plus favorablement que ceux qui ne le sont pas.
  3. Déploiement simplifié : En facilitant le déploiement et la configuration des protocoles antispoofing, un plus grand nombre de domaines sera compatible avec l'authentification DMARC. L'un des moyens d'y parvenir est de permettre au protocole de fonctionner en "mode surveillance", ce qui permettrait aux administrateurs de courrier électronique d'évaluer l'impact qu'il a sur leurs systèmes avant de procéder à un déploiement complet.

Chaque nouvelle invention entraîne de nouveaux défis. Chaque nouveau défi nous oblige à trouver une nouvelle façon de le surmonter. DMARC existe depuis quelques années déjà, mais le phishing existe depuis bien plus longtemps. Ces dernières semaines, la pandémie de Covid-19 lui a seulement donné un nouveau visage. Chez PowerDMARC, nous sommes là pour vous aider à relever ce nouveau défi. Inscrivez-vous ici pour obtenir votre analyseur DMARC gratuit. Ainsi, pendant que vous restez chez vous à l'abri du coronavirus, votre domaine est à l'abri de l'usurpation d'adresse électronique.

/par