PiChris - Fotolia
E-mails malveillants : comment sensibiliser ses utilisateurs
IcedID fait partie des principales menaces distribuées par le biais d’e-mails embarquant des pièces jointes malveillantes. Ce n’est pas la seule. Comment réduire la perméabilité de ses collaborateurs à ces pièges ?
Il y avait Emotet, il y a désormais IcedID, ou BokBot. Comme d’autres, ce cheval de Troie avance masqué : une pièce jointe d’apparence anodine, qui va en fait, pour peu que l’on tombe dans son piège, télécharger la véritable charge utile et l’installer sur le poste de travail de l’utilisateur qui l’aura ouverte. Après qu’elle soit passée avec succès au travers des filtres de protection de la messagerie électronique. La force de ces pièces jointes ? Elles ont l’apparence de documents légitimes. Des fichiers Excel, par exemple. Et elles utilisent l’image de services et d’organisations légitimes tout à fait dignes de confiance, comme DocuSign.
Les attaquants utilisant BotBot, TrickBot, QakBot ou encore Gozi FSB, semblent particulièrement friands d’un outil dédié à la création de tels documents, EtterSilent, selon un récent rapport d’Intel 471.
Construire un piège aussi rassurant que possible
Chez Proofpoint, Loïc Guézo, directeur en Stratégie de Cybersécurité, indique avoir « effectivement constaté des campagnes IcedID qui utilisent l’image de DocuSign, notamment le 2 avril ». Et ce choix n’est pas un hasard : « DocuSign est un outil structurant pour les organisations qui l’utilisent ».
Justin Ganivet, RSSI d’Intrinsec, explique la démarche de l’attaquant : il « cherchera le ou les moyens contextuels lui permettant [de faire réaliser une] action [à] la personne ciblée. De manière générale, tous les moyens sont bons pour réussir. Et de manière particulière, il exploitera le(s) moyen(s) le plus adaptés au contexte de sa victime ». Autrement dit, plus le piège joue le mimétisme avec des outils ou des processus avec lesquels l'entreprise est familière, auxquels elle a l’habitude de faire confiance, plus il a de chances de fonctionner. Et de se refermer efficacement sur la cible.
Loïc Guézo ne dit pas autre chose : pour l’attaquant, « le top du top, c’est de trouver l’application métier rare sur laquelle l’utilisateur repose toute sa confiance. Le jour où le pirate réussit à atteindre l’utilisateur avec une mire qui s’y rapporte, l’avantage est de son côté. D’autant plus que, pour l’utilisateur, tous les signaux d’alerte classiques restent au vert ».
Face à cela, Carl Hernandez, co-fondateur d’avantdecliquer.com, explique qu’il est « intéressant de mettre en situation les utilisateurs sur des outils qu’ils utilisent habituellement ». Loïc Guézo, ne s’inscrit pas sur une ligne différente, suggérant de « décliner la sensibilisation des utilisateurs suivant des schémas de test qui s’inspirent le plus possible, en apparence et en timing, de ce qui se passe dans les attaques auxquelles l’entreprise est majoritairement confrontée », notamment en croisant outils métiers et population visée par la campagne de sensibilisation. Et cela de manière régulière, en gardant un œil sur les attaques effectivement observées. Mais attention à la tentation d’une certaine forme de facilité.
Avancer avec prudence
Justin Ganivet est très clair : « une campagne de sensibilisation au phishing est plus compliquée à réaliser que celle d’un attaquant. Nous sommes limités au droit et donc usurper l’identité d’une entreprise légitime peut porter préjudice ». Et de citer un exemple de campagne de sensibilisation qui a mal tourné, en Belgique.
En fait, explique le RSSI d’Intrinsec, « nous devons marcher sur un fil tendu entre l’usurpation d’identité et l’efficacité de la sensibilisation. Il y a tout un travail de prise en compte du contexte de l’entreprise afin d’analyser les habitudes des utilisateurs et se rapprocher le plus finement d’un email de phishing efficace. L’idéal serait aussi de faire une collaboration entre un prestataire de l’entreprise et l’entreprise elle-même afin de mener une campagne de phishing la plus impactante possible ».
Pour Loïc Guézo, pas de doute, il y a urgence. Son message pour les entreprises est d’ailleurs simple : « le plus vite possible, sensibiliser, éduquer former leurs équipes, face à de possibles campagnes de phishing ». Mais Carl Hernandez nuance, soulignant que les « mises en situation doivent être faites en fonction du niveau de vigilance de l’utilisateur ».
Car, explique-t-il, « à quoi bon forger un e-mail parfait, reprenant une solution réellement utilisée dans l’entreprise ? À obtenir un taux de clic très élevé ? À décourager ou braquer les utilisateurs ? » C’est effectivement un risque. En somme, il convient de prendre en compte la manière dont l’utilisateur va réagir en découvrant que l’on a essayé de le piéger. Si l’on place la barre trop haut, dès le début, ne risque-t-on pas de le décourager… et de perdre une chance d’élever graduellement son niveau de vigilance ?
Du coup, Carl Hernandez recommande clairement de commencer par « des e-mails reprenant des e-mails de phishing véritables, mais d’un niveau de difficulté faible ». En somme, créer un climat dans lequel l’utilisateur pourra se sentir fort, capable de déjouer les pièges tendus. De quoi le motiver à avancer et aller plus loin.
Adapter la campagne à son public
Carl Hernandez explique ainsi que la plateforme d’avantdecliquer.com fonctionne suivant cette approche : « Peu à peu la solution va envoyer le bon email au bon utilisateur en fonction de son niveau de vigilance ». Et c’est au bout de quatre mois de prestation qu’il est proposé au client d’intégrer de nouveaux modèles contextualisés, notamment en jouant sur les solutions utilisées dans son organisation, mais aussi son secteur d’activité. Là, les possibilités s’élargissent considérablement : « ajout de la signature du DSI à certains emails, du logo de l’organisation, d’une signature familière de l’utilisateur, usurpation de l’identité d’un membre important de l’organisation, etc. ».
Justin Ganivet RSS, Intrinsec
Justin Ganivet prend également de tels exemples : « pour une campagne de phishing réussi, on peut se faire passer pour la DSI ou un autre service interne avec une adresse proche ou similaire à celle de l’entreprise – la reprise de la charte graphique et des signatures fonctionne très bien », ou encore « se faire passer pour un faux tiers – faux client, facturation, personne qui envoie son CV, etc. », voire « se baser sur l’actualité, avec par exemple un faux mail du gouvernement ou des ressources humaines sur une nouvelle attestation ou sur de nouvelles restrictions liées à la Covid-19 ».
Mais l’exercice reste bien celui d’un équilibriste : « il est difficile d’établir un format des mails qui fonctionnent le mieux. Avec notre expérience, il n’y a pas un moyen plus pertinent qu’un autre ; cela dépend vraiment du contexte de l’entreprise et de l’actualité ».
Mais dans tous les cas, l’objectif est invariable : « l’important reste d’ancrer le réflexe chez les collaborateurs consistant à signaler à la SSI interne tout e-mail suspect ».