Vade Retro innove pour protéger les entreprises contre la menace grandissante du spear phishing : les cyber-attaques ciblées via l’email 

clavier information sécurité

Grâce à l’analyse des habitudes de communication des utilisateurs, à l’analyse du contenu et la détection des usurpations, Vade Retro détecte les emails de spear phishing.

Face à un paysage de menaces ciblant les emails en constante évolution, Vade Retro, éditeur français spécialiste de la protection des boîtes de messagerie, mène un important travail de R&D afin de développer et d’optimiser les technologies les plus abouties sur le marché. Vade Retro est une référence sur ce marché – avec 250 millions de boîtes protégées à travers le monde –  grâce à ses technologies de filtrage heuristique et de protection anti-phishing, et sa solution de gestion de la priorité des emails (graymail). L’éditeur français élargit désormais son spectre avec une nouvelle solution de protection contre les menaces de spear phishing. 

Le spear phishing monte en puissance en 2016

Avec un volume plus faible que le phishing, le spear phishing est une des techniques à la mode chez les cybercriminels. Comme le phishing, le spear phishing a pour objectif de dérober des données sensibles (codes d’accès, informations bancaires, etc.), ou de pénétrer le réseau de l’entreprise via une injection de malware pour y mener des attaques d’envergure. A la différence du phishing, l’email de spear phishing n’est envoyé qu’à une seule personne, il est particulièrement bien ciblé grâce à des recherches sur le contexte personnel/professionnel du destinataire et il ne contient que très rarement de pièce jointe ou de lien, le but étant d’établir une relation de confiance. Proposant un contenu pertinent et usurpant généralement l’identité d’une personne connue du destinataire (On appelle fréquemment ce type d’attaque la « fraude au Président » lorsque c’est l’identité du président qui est usurpée) l’email de spear phishing demande au destinataire d’effectuer une action bien précise, comme un virement bancaire sur un compte étranger ou l’envoi rapide en retour d’informations sensibles. Si cette approche fonctionne si bien, c’est que les cybercriminels sont des experts de l’ingénierie sociale. Ils se sont très bien renseignés sur leur cible et leur entreprise, et l’absence de pièce jointe rend la détection encore plus compliquée.

Une solution de lutte anti-spear phishing la plus complète du marché

Face à ce constat, Vade Retro a développé une solution complète basée sur un processus de filtrage en deux étapes : l’analyse du contenu des emails grâce à des algorithmes heuristiques spécialement développés pour cette menace, et la détection de l’usurpation grâce à la nouvelle technologie « Identity Match » basé sur une analyse comportementale, le tout complété par l’éducation des utilisateurs.

Concrètement, chaque email reçu par l’utilisateur de la boîte protégée subit une analyse axée sur plusieurs niveaux de détection (permettant le blocage de l’email) :

Vérification des habitudes de l’utilisateur de la boîte email et du contenu : l’utilisateur a t-il déjà échangé avec cet expéditeur et est-il celui qu’il prétend être ? L’email contient-il une demande de partage de données sensibles (filtre heuristique). Les pièces jointes sont-elles des malwares ? (Le spear phishing permettant de diffuser des malwares en leur donnant une légitimité pour favoriser leur ouverture. Ex. ciblage faible : « suivez votre colis » – ex : ciblage important « Salut xx, je présente mon budget cet après-midi, peux tu regarder le fichier Excel ci-joint »).

Vérification des domaines (adresse expéditeur connue, fiable/non blacklistée, etc.).

Vérification de la conformité entre l’adresse et l’expéditeur. L’adresse est-elle semblable mais différente ? Au lieu de john.doe@yahoo.fr, le filtre est capable d’identifier que john.d0e@yahoo.fr cherche à usurper la première adresse (le « O » a été remplacé par un zéro « 0 »). 

L’éducation et la sensibilisation à la sécurité des utilisateurs 

Pour compléter sa technologie, Vade Retro a également mis en place une fonctionnalité d’alerting des utilisateurs dans les cas d’emails remis aux utilisateurs et pour lesquels un niveau de doute subsiste. L’utilisateur concerné est ainsi alerté par des bandeaux rouges alertant directement dans son email du caractère suspicieux de celui-ci afin qu’il définisse lui même le niveau de confiance à apporter. L’administrateur système est également informé de la réception de cet email, et lorsque l’utilisateur clique sur le lien qu’il pourrait contenir. 

Sébastien Goutal, Chief Science Officer chez Vade Retro ajoute : « Cette technologie anti-spear phishing a été développée par Vade Retro et fait l’objet de deux brevets. La technologie Identity Match est le résultat d’années de recherches de notre laboratoire de R&D, et de retours clients. Elle s’appuie sur l’analyse quotidienne de près de 250 millions de boîtes emails ».

Exemple d’alerting utilisateur- Vade Retro 

La menace du phishing plus présente que jamais

Dans son étude 2016 sur la cybercriminalité, Data Breach Investigations Report, Verizon souligne que le phishing s’est généralisé pour devenir « le scénario d’attaque privilégié du cyberspionnage » pour être aujourd’hui dans la composition de 7 des 9 scénarios d’incidents les plus fréquents (recensés par Verizon). Toujours d’après le DBIR Verizon, dans 30% des cas les emails de phishing sont ouverts et dans 13% des cas le destinataire a également ouvert la pièce-jointe ou cliqué sur le lien frauduleux.  

Georges Lotigier, PDG de Vade Retro conclut : « Les attaques de type phishing et spear phishing sont encore plus à craindre cette année. La raison est simple : elles sont très rentables pour les cybercriminels et offrent un panel d’actions large. Le ransomware Locky, massivement diffusé par du phishing, a été un test très concluant pour notre technologie puisque nous avons été en mesure de bloquer les vagues de Locky ciblant nos clients. Nous avons bloqué jusqu’à 1,2 million de Locky en 24h. Le spear phishing est encore plus difficile à bloquer car les emails ne contiennent généralement ni liens, ni pièces jointes, rendant ainsi leur détection par les outils à l’entrée très complexe. C’est pourquoi la technologie que nous proposons aujourd’hui permet d’analyser en profondeur le contenu des emails et de détecter l’usurpation. L’objectif étant de détecter ces emails avant qu’ils ne parviennent à leur destinataire car les emails de spear phishing sont parfaitement travaillés et ont de grandes chances de piéger leur cible ».

Vade Retro est le premier acteur à proposer une offre exhaustive pour lutter activement et efficacement contre toutes les variantes de phishing. Ces offres anti-phishing et anti-spear phishing reposent sur sa technologie et sur un écosystème puissant regroupant les plus importants opérateurs mais aussi les plus grandes marques ciblées par le phishing.

Author
By
@coesteve1

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Vade Retro innove pour protéger les entreprises contre la menace grandissante du spear phishing : les cyber-attaques ciblées via l’email 

clavier information sécurité 31st mai, 2016

Grâce à l’analyse des habitudes de communication des utilisateurs, à l’analyse du contenu et la détection des usurpations, Vade Retro détecte les emails de spear phishing.

Face à un paysage de menaces ciblant les emails en constante évolution, Vade Retro, éditeur français spécialiste de la protection des boîtes de messagerie, mène un important travail de R&D afin de développer et d’optimiser les technologies les plus abouties sur le marché. Vade Retro est une référence sur ce marché – avec 250 millions de boîtes protégées à travers le monde –  grâce à ses technologies de filtrage heuristique et de protection anti-phishing, et sa solution de gestion de la priorité des emails (graymail). L’éditeur français élargit désormais son spectre avec une nouvelle solution de protection contre les menaces de spear phishing. 

Le spear phishing monte en puissance en 2016

Avec un volume plus faible que le phishing, le spear phishing est une des techniques à la mode chez les cybercriminels. Comme le phishing, le spear phishing a pour objectif de dérober des données sensibles (codes d’accès, informations bancaires, etc.), ou de pénétrer le réseau de l’entreprise via une injection de malware pour y mener des attaques d’envergure. A la différence du phishing, l’email de spear phishing n’est envoyé qu’à une seule personne, il est particulièrement bien ciblé grâce à des recherches sur le contexte personnel/professionnel du destinataire et il ne contient que très rarement de pièce jointe ou de lien, le but étant d’établir une relation de confiance. Proposant un contenu pertinent et usurpant généralement l’identité d’une personne connue du destinataire (On appelle fréquemment ce type d’attaque la « fraude au Président » lorsque c’est l’identité du président qui est usurpée) l’email de spear phishing demande au destinataire d’effectuer une action bien précise, comme un virement bancaire sur un compte étranger ou l’envoi rapide en retour d’informations sensibles. Si cette approche fonctionne si bien, c’est que les cybercriminels sont des experts de l’ingénierie sociale. Ils se sont très bien renseignés sur leur cible et leur entreprise, et l’absence de pièce jointe rend la détection encore plus compliquée.

Une solution de lutte anti-spear phishing la plus complète du marché

Face à ce constat, Vade Retro a développé une solution complète basée sur un processus de filtrage en deux étapes : l’analyse du contenu des emails grâce à des algorithmes heuristiques spécialement développés pour cette menace, et la détection de l’usurpation grâce à la nouvelle technologie « Identity Match » basé sur une analyse comportementale, le tout complété par l’éducation des utilisateurs.

Concrètement, chaque email reçu par l’utilisateur de la boîte protégée subit une analyse axée sur plusieurs niveaux de détection (permettant le blocage de l’email) :

Vérification des habitudes de l’utilisateur de la boîte email et du contenu : l’utilisateur a t-il déjà échangé avec cet expéditeur et est-il celui qu’il prétend être ? L’email contient-il une demande de partage de données sensibles (filtre heuristique). Les pièces jointes sont-elles des malwares ? (Le spear phishing permettant de diffuser des malwares en leur donnant une légitimité pour favoriser leur ouverture. Ex. ciblage faible : « suivez votre colis » – ex : ciblage important « Salut xx, je présente mon budget cet après-midi, peux tu regarder le fichier Excel ci-joint »).

Vérification des domaines (adresse expéditeur connue, fiable/non blacklistée, etc.).

Vérification de la conformité entre l’adresse et l’expéditeur. L’adresse est-elle semblable mais différente ? Au lieu de john.doe@yahoo.fr, le filtre est capable d’identifier que john.d0e@yahoo.fr cherche à usurper la première adresse (le « O » a été remplacé par un zéro « 0 »). 

L’éducation et la sensibilisation à la sécurité des utilisateurs 

Pour compléter sa technologie, Vade Retro a également mis en place une fonctionnalité d’alerting des utilisateurs dans les cas d’emails remis aux utilisateurs et pour lesquels un niveau de doute subsiste. L’utilisateur concerné est ainsi alerté par des bandeaux rouges alertant directement dans son email du caractère suspicieux de celui-ci afin qu’il définisse lui même le niveau de confiance à apporter. L’administrateur système est également informé de la réception de cet email, et lorsque l’utilisateur clique sur le lien qu’il pourrait contenir. 

Sébastien Goutal, Chief Science Officer chez Vade Retro ajoute : « Cette technologie anti-spear phishing a été développée par Vade Retro et fait l’objet de deux brevets. La technologie Identity Match est le résultat d’années de recherches de notre laboratoire de R&D, et de retours clients. Elle s’appuie sur l’analyse quotidienne de près de 250 millions de boîtes emails ».

Exemple d’alerting utilisateur- Vade Retro 

La menace du phishing plus présente que jamais

Dans son étude 2016 sur la cybercriminalité, Data Breach Investigations Report, Verizon souligne que le phishing s’est généralisé pour devenir « le scénario d’attaque privilégié du cyberspionnage » pour être aujourd’hui dans la composition de 7 des 9 scénarios d’incidents les plus fréquents (recensés par Verizon). Toujours d’après le DBIR Verizon, dans 30% des cas les emails de phishing sont ouverts et dans 13% des cas le destinataire a également ouvert la pièce-jointe ou cliqué sur le lien frauduleux.  

Georges Lotigier, PDG de Vade Retro conclut : « Les attaques de type phishing et spear phishing sont encore plus à craindre cette année. La raison est simple : elles sont très rentables pour les cybercriminels et offrent un panel d’actions large. Le ransomware Locky, massivement diffusé par du phishing, a été un test très concluant pour notre technologie puisque nous avons été en mesure de bloquer les vagues de Locky ciblant nos clients. Nous avons bloqué jusqu’à 1,2 million de Locky en 24h. Le spear phishing est encore plus difficile à bloquer car les emails ne contiennent généralement ni liens, ni pièces jointes, rendant ainsi leur détection par les outils à l’entrée très complexe. C’est pourquoi la technologie que nous proposons aujourd’hui permet d’analyser en profondeur le contenu des emails et de détecter l’usurpation. L’objectif étant de détecter ces emails avant qu’ils ne parviennent à leur destinataire car les emails de spear phishing sont parfaitement travaillés et ont de grandes chances de piéger leur cible ».

Vade Retro est le premier acteur à proposer une offre exhaustive pour lutter activement et efficacement contre toutes les variantes de phishing. Ces offres anti-phishing et anti-spear phishing reposent sur sa technologie et sur un écosystème puissant regroupant les plus importants opérateurs mais aussi les plus grandes marques ciblées par le phishing.

By
@coesteve1
backtotop