Évolution des tactiques d'attaque par e-mail - Basé sur les données de juillet à décembre 2017 - FireEye
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
RAPPORT Évolution des tactiques d'attaque par e-mail Basé sur les données de juillet à décembre 2017
RAPPORT | ÉVOLUTION DES TACTIQUES D'ATTAQUE PAR E-MAIL 2
Introduction
Face à des attaquants à l’imagination débordante, la messagerie électronique reste l'un des points d'entrée les plus
difficiles à protéger pour les entreprises. Pour identifier ces nouvelles tactiques et dégager des tendances et patterns
d’attaque, FireEye a analysé pendant six mois un échantillon de trafic e-mail en 2017.
Données de référence Types d'attaque par e-mail
Basées sur un échantillon de trafic entrant de juillet à Attaques par malware
décembre 2017, les données de ce rapport portent sur Les attaques par malware consistent à envoyer des
plus d'un demi-milliard d'e-mails analysés par FireEye pièces jointes infectées pour accéder à l'ordinateur
Email Security, tant au niveau de la connexion que du du destinataire. Ces attaques peuvent être camouflées
contenu. Ce rapport se concentre plus spécialement sur dans différents types de fichiers (PDF, DOCX, etc.), y
le nombre d'attaques bloquées pendant cette période, compris des fichiers PDF protégés par mot de passe.
qu'elles aient été ou non perpétrées à l'aide de malware.
Types de malwares courants
Entrent dans cette catégorie : • Ransomware
• Adware
• E-mails contenant des URL renvoyant vers de
nouveaux domaines • Virus
• E-mails provenant d'un domaine similaire • Spyware
au domaine du destinataire • Chevaux de Troie
• E-mails provenant d'un domaine à consonance • Vers
semblable à celle du domaine du destinataire
Attaques sans malware
• E-mails usurpant un nom d'utilisateur ou un nom Les attaques sans malware tentent de piéger le
d'affichage connu destinataire pour accéder aux informations ou
• E-mails contenant des indicateurs de phishing aux ressources visées. Les méthodes consistent
notamment à usurper l'identité d'un expéditeur de
• E-mails contenant des URL renvoyant à des pages
confiance, inciter l'utilisateur à envoyer ou saisir lui-
infectées par malware
même ses identifiants, ou le diriger vers une page
• Pièces jointes contenant des malwares ou des exploits web infectée par malware.
Techniques sans malware les plus courantes
• Attaques par usurpation d'identité – L’attaquant
se fait passer pour un dirigeant de l'entreprise
dans ce que l’on appelle une « compromission de
messageries professionnelles » (BEC).
• Whaling
• Spear phishing
• Collecte d'identifiants
• Arnaque W-2
En moyenne, les attaques
La technique d'usurpation L'année dernière, les
46 %
par ransomware
de l'identité d’un dirigeant tentatives de phishing
coûtent environ
(BEC) a causé plus de
133 000 $
ont connu un bond de
des attaques par
5,52 milliards 65 %
4
ransomware sont
perpétrées par e-mail1 aux entreprises victimes 2
de dollars de pertes3
1
Business Wire (3 août 2016). International Study Finds Nearly 40 Percent of Enterprises Hit by Ransomware in the Last Year.
2
Tech Central (31 janvier 2018). Ransomware attacks costs $133,000.
3
Federal Bureau of Investigation (mai 2018). Rapport 2017 sur la cybercriminalité.
4
Phish Me (novembre 2017). Enterprise Phishing Resiliency and Defense Report 2017.RAPPORT | ÉVOLUTION DES TACTIQUES D'ATTAQUE PAR E-MAIL 3
Présentation
Vecteur d'attaque n°1, l'e-mail pose un tel risque que les entreprises doivent à tout prix mettre en place une protection
renforcée. Parmi les e-mails analysés, 66 % ont été bloqués car ils présentaient un risque élevé ou étaient apparentés à
du spam.
En moyenne, les personnels de bureau reçoivent au moins
200 messages par jour et passent environ deux heures et demi à lire
leur courrier électronique et à y répondre.5
Niveaux de filtrage
Blocage de connexion
Le blocage des e-mails au niveau de la connexion est déclenché par des
facteurs tels que l'absence d'adresse IP ou d'un domaine de bonne réputa
tion, ou encore l'absence d'enregistrement ou de domaine SPF dans le DNS. 295 387 491
nombre d'e-mails bloqués au
Ce type de blocage représente 56 % du courrier électronique analysé par
niveau de la connexion
FireEye Email Security.
Blocage de contenu
Le blocage au niveau du contenu examine les en-têtes et le corps de
l'e-mail pour déterminer si le courrier doit être bloqué, mis en quarantaine
ou considéré comme inoffensif et envoyé à son destinataire. Les e-mails
bloqués à ce niveau présentent du contenu ou des informations d'en-tête
49 528 754
suspectes, contiennent des pièces jointes ou des liens infectés par malware,
ou sont considérés comme du spam.
Une fois passés le contrôle de connexion, 228 132 745 e-mails ont été bloqués nombre d'e-mails bloqués au
en raison de leur contenu, soit 22 % de tout le trafic global. niveau du contenu
Les e-mails bloqués pour contenu suspect sont classés en trois catégories :
malwares et virus, indicateurs de phishing ou d'usurpation d'identité (sans
malware), et spam. Dans le cadre de ce rapport, seules les attaques avec
et sans malware sont examinées. Le graphique ci-après illustre le nombre
d'e-mails bloqués et d'e-mails sains :
120,000,000
BLOCKED-CONNECTION LEVEL BLOCKED-CONTENT LEVEL CLEAN TRAFFIC
100,000,000
80,000,000
EMAILS
60,000,000
40,000,000
20,000,000
JULY AUGUST SEPTEMBER OCTOBER NOVEMBER DECEMBER
Figure 1. Nombre mensuel d'e-mails bloqués et d’e-mails sains en 2017
5
Business Wire (3 août 2016). International Study Finds Nearly 40 Percent of Enterprises Hit by Ransomware in the Last Year.RAPPORT | ÉVOLUTION DES TACTIQUES D'ATTAQUE PAR E-MAIL 4
Évolution mensuelle
La figure 2 montre les pourcentages d'attaques avec et sans malware bloquées au niveau du contenu.
86 %
des attaques bloquées
ne contenaient pas de
malware
14 %
des attaques bloquées
contenaient
un malware
JULY AUGUST SEPTEMBER OCTOBER NOVEMBER DECEMBER
MALWARE MALWARE-LESS
Figure 2. Attaques bloquées au niveau du contenu en 2017
Le nombre mensuel d'attaques bloquées au niveau du contenu révèle une mutation évidente des tactiques mises en
œuvre par les cybercriminels. Les attaques par malware ont en effet culminé à 15 % en septembre, avant de connaître
un déclin constant jusqu’à la fin de l'année. Conjuguée à l'augmentation parallèle des attaques sans malware, cette
baisse reflète une tendance des hackers à se détourner quelque peu des attaques par malware au cours du dernier
trimestre. Ce changement de pied va de pair avec une hausse des indicateurs d'usurpation d'identité observée fin
2017, à savoir ces techniques visant à se faire passer pour un expéditeur connu (même nom, domaine semblable,
etc.). L'augmentation des attaques sans malware au mois d'août peut s'expliquer par le fait que de nombreux salariés
prennent leurs congés à ce moment-là. Avant une attaque par usurpation d'identité, les malfaiteurs se servent des
réseaux sociaux et des réponses d'absence automatiques pour identifier les salariés en vacances et augmenter la
crédibilité de leur message.
60 % Les attaques
150 704 1 045 581
Nombre mensuel
des attaques sans malware
bloquées en août l’ont été grâce de phishing
Nombre mensuel moyen
à la vérification de nouveaux ont augmenté sur les trois
moyen d'attaques d'attaques sans malware
domaines (Newly Existing derniers mois de l'année
avec malware
Domain – NED) (30 % entre octobre
et décembre)RAPPORT | ÉVOLUTION DES TACTIQUES D'ATTAQUE PAR E-MAIL 5
Tendances des jours de la semaine
Si les cyberattaques frappent tous les jours sans répit, on observe toutefois une recrudescence en semaine.
Le graphique suivant montre le pourcentage d'attaques avec et sans malware pour chaque jour de la semaine
au cours du dernier trimestre 2017.
Le mardi est le jour où le plus grand nombre d'e-mails sont ouverts.
Et c'est aussi le jour où le plus grand nombre d’attaques avec et sans
malware sont déclenchées.6
25.00%
20.00%
15.00%
10.00%
5.00%
0.00%
SUNDAY MONDAY TUESDAY WEDNESDAY THURSDAY FRIDAY SATURDAY
MALWARE MALWARE-LESS
Figure 3. Pourcentage d'attaques par jour de la semaine en 2017
D'après ces données, on peut noter une relative Cette proportion élevée d'attaques sans malware
stabilité du nombre d'attaques sans malware pendant le week-end laisse aussi à penser que pour les
toute la semaine, tandis que les attaques par malware cybercriminels, il ne fait aucun doute que la plupart
connaissent un net recul vers la fin de la semaine. Le des salariés vérifient leurs e-mails sur leur smartphone
week-end, les attaques sans malware représentent le samedi et le dimanche. Or, les clients de messagerie
presque le double des attaques avec malware, preuve mobile ont tendance à n’afficher que le nom de
que les premières constituent une menace prégnante l'expéditeur plutôt que son adresse e-mail. Cela
chaque jour de la semaine. simplifie grandement la tâche des cybercriminels qui
n’ont qu’à usurper le nom d'affichage de l’expéditeur.
Les utilisateurs pensent alors correspondre avec une
personne de leur connaissance et digne de confiance,
et se font ainsi piéger.
1%
des attaques sans
99 % Nombre total
d'e-mails sains
78 %
des attaques sans du trafic analysé au
malware bloquées
au niveau du contenu
malware bloquées
au niveau du contenu 178 604 000 niveau du contenu a
été bloqué car
étaient des considéré comme
usurpations d'identité spam ou malveillant
6
Life Wire (20 avril 2018). The Number of Emails Sent Per Day (and 20 Crazy Email Statistics).RAPPORT | ÉVOLUTION DES TACTIQUES D'ATTAQUE PAR E-MAIL 6
Conclusion
Le dernier semestre 2017 a vu la majorité des e-mails de notre échantillon bloqués pour des raisons de spam ou
de contenu malveillant. Si, en 2017, les projecteurs se sont surtout braqués sur les attaques avec malware ou para-
malware comme WannaCry et Petya, les données révèlent que les attaques sans malware connaissent une plus forte
croissance.
En concentrant leurs efforts sur la détection des malwares, les systèmes de protection de la messagerie exposent
potentiellement les entreprises à des attaques sans malware, comme l'usurpation de l'identité d’un dirigeant
d'entreprise (BEC). Ce rapport révèle également les changements constants de techniques et tactiques d’attaques,
soulignant par là-même l'importance d'instaurer un service de sécurité de l'e-mail agile et innovant. Objectif : protéger
intégralement les entreprises contre toutes les variantes d'attaques véhiculées par e-mail.
Découvrez comment FireEye incorpore les résultats de ce type d’étude dans un cycle
d’amélioration permanente de ses solutions. Rendez-vous sur www.fireeye.fr/solutions
FireEye, France | À propos de FireEye, Inc.
Nextdoor Cœur Défense FireEye est spécialisé dans la cybersécurité axée sur la cyberveille.
110 Esplanade du Général de Gaulle Prolongement naturel et évolutif des opérations de sécurité des
92931 Paris La Défense clients, la plate-forme unique de FireEye combine des technologies
de sécurité innovantes, des services de cyberveille d’envergure
Cedex 92974 | +33 1 70 61 27 26 |
internationale et les services réputés de Mandiant® Consulting.
france@FireEye.com | www.FireEye.fr
FireEye simplifie ainsi la cybersécurité et son administration,
FireEye, Inc. | 601 McCarthy Blvd. Milpitas, devenant un allié précieux des entreprises confrontées au casse-
CA 95035 | +1 408 321 6300 | tête que représentent la prévention et la neutralisation des
info@FireEye.com cyberattaques. FireEye compte plus de 6 600 clients dans 67 pays,
dont plus de 45 % figurent au classement Forbes Global 2000.
© 2018 FireEye, Inc. Tous droits réservés.
FireEye est une marque déposée de FireEye, Inc.
Tous les autres noms de marques, de produits ou
de services sont ou peuvent être des marques
commerciales ou des marques de service de leurs
propriétaires respectifs. RPT.CT.US-EN-052018Vous pouvez aussi lire
