Reconnaissance et usurpation d’identité, une source d’argent facile pour des cyber criminels

La combinaison ‘spear phishing’ – reconnaissance – usurpation d’identité, toujours plus sophistiquée, peut avoir de graves conséquences financières pour les entreprises. Une attaque récente contre une organisation de protection contre le ‘spear phishing’ le prouve, et illustre les dangers de l’utilisation d’emails non authentifiés pour des transactions financières.

Que s’est-il passé ?
Le PC du contrôleur financier de l’entreprise a été infecté par un malware qui a envoyé une copie de chacun de ses emails reçus vers une autre adresse email sur un compte d’email gratuit.
L’escroc sur ce compte d’email non autorisé s’est alors contenté de surveiller les emails du contrôleur financier pendant une courte période avant d’agir. Rapidement, il a identifié un email concernant une transaction financière suffisamment intéressante pour déclencher son attaque.
Utilisant des informations à partir des emails qu’il surveillait, il a créé un faux email à partir du fournisseur, avec un en tête Re : (Répondre à) pour détourner les réponses vers sa propre adresse mail.

De graves conséquences
Exploitant son avantage, pendant les deux semaines suivantes, l’escroc s’est inséré dans des conversations concernant d’autres transactions financières, usurpant d’abord l’identité d’une des parties, puis de l’autre, détournant soigneusement les réponses vers sa propre adresse email. La véritable conversation email entre l’entreprise et son fournisseur était mentionnée dans l’email de l’escroc.
Lorsqu’on lui demandait pourquoi le compte bancaire du fournisseur était dans une banque étrangère peu connue, l’escroc attachait des images de documents signés « autorisant » le changement. Les lettres d’autorisation et les signatures avaient été récupérées sur des documents similaires attachés à des emails précédents que le contrôleur avait reçus.
A un moment donné, certains employés ont fini par recevoir la preuve d’une des usurpations de leur propre identité par l’escroc, et l’alarme a été donnée. Mais l’escroc a pu récupérer une importante somme d’argent avant que son stratagème ne soit découvert.
De multiples vulnérabilités ont été exploitées dans cet exemple.

Des solutions de protections existent comme par exemple, celle dite « Barracuda Sentinel » qui utilise la fonction DMARC d’authentification de message basé sur leur nom de domaine (Domain based Message Authentication Reporting and Conformance) pour combattre ce type d’attaque. Ce service examine des informations provenant de multiples signaux pour apprendre les schémas uniques de communications de chaque entreprise et pour analyser le contenu des messages pour détecter des informations sensibles. Barracuda combine alors cette intelligence sur les messages pour déterminer avec un haut degré de précision si un message email fait partie d’une attaque de ‘spear phishing’ de ce type. On peut en savoir plus sur Barracuda Sentinel sur le site dédié.