Le « typosquatting » est une technique d’usurpation d’identité de plus en plus fréquemment utilisée pour cibler des employés d’entreprise. Dans ce scénario, les attaquant achètent un nom de domaine qui ressemble beaucoup à celui d’une entreprise et l’utilise pour envoyer des emails de ‘spear phishing’ ou hameçonnage aux employés de cette entreprise. Par exemple, des attaquants ciblant les employés de Barracuda achèteront baracuda.com (avec un seul r) et essaieront d’inciter frauduleusement les employés de l’entreprise à leur envoyer des informations sensibles ou à leur virer une somme d’argent. Certains attaquants enregistrent même le même nom de domaine dans des alphabets non latins (par exemple cyrillique), certaines lettres s’écrivant différemment.
Certaines solutions de sécurité des emails fournissent une protection contre le « typosquatting ». Elles y parviennent en créant des règles qui essaient de trouver des occurrences de remplacement de certaines lettres ou essayant de trouver des similitudes entre l’URL de l’entreprise et l’URL de l’expéditeur. Mais même si ce type de protection est déjà en place dans une entreprise, elle n’est que partiellement efficace pour la protéger contre des attaques de ‘spear phishing’.
Une vraie protection contre le spear phishing exige plus
La très grande majorité des attaques de spear phishing ne contiennent pas un URL ‘typo squatté’.
Beaucoup d’attaques usurpent le vrai nom de domaine de l’entreprise (par exemple, si l’attaquant cible Barracuda, il pourra envoyer un email à partir de http://barracuda.comavec une adresse de réponse différente. L’attaquant usurpant le vrai nom de domaine de l’entreprise, il ne sera pas identifié par un détecteur de « typosquatting ».
De plus, beaucoup d’attaquants envoient simplement un email à partir d’un domaine aléatoire (par exemple google.com, yandex.ru), en s’appuyant sur le fait que beaucoup de clients email (par exemple clients mobiles et clients web) n’affichent pas l’adresse email complète de l’expéditeur. Et même s’ils le font, beaucoup de destinataires n’examinent pas attentivement l’email de l’expéditeur. Il est difficile d’anticiper l’évolution des techniques de « typosquatting » des attaquants. Beaucoup de détecteurs de « typosquatting » n’ont pas détecté l’exemple de l’alphabet cyrillique mentionné plus haut parce qu’ils n’examinent que les alphabets latins. De plus, il existe des variations infinies de remplacements et d’omissions de simples lettres, et il est quasi impossible de les identifier toutes.
Il y a également des attaques qui utilisent d’autres alphabets au-delà du cyrillique, dont l’arabe, le chinois et le grec. Ou qui remplacent des lettres par des chiffres. Ou qui au lieu de substituer une lettre par une autre, substituent plusieurs lettres en même temps. En bref, le nombre de permutations possibles dans le « typosquatting » est très élevé, et il est impossible de prédire avec une règle immuable quel type de technique créative les attaquants utiliseront la fois prochaine.
Une solution codmplète
L’Intelligence Artificielle (AI) offre une approche beaucoup plus robuste que la simple détection du « typosquatting » car elle cherche simplement à trouver des anomalies plutôt que s’appuyer sur des règles fixes. L’Intelligence Artificielle a la capacité d’apprendre les schémas de comportements au sein d’une entreprise et d’identifier des actions qui ne rentrent pas dans ces schémas. Avec elle, peu importe quel type de nom de domaine est attaqué, qu’il soit « typosquatté » avec des caractères latins, cyrilliques, chinois, usurpé ou qu’il s’agisse d’un message au hasard. Si le domaine n’est pas celui normalement utilisé par l’employé, ou s’il y a une autre anomalie dans l’email, l’Intelligence Artificielle sera capable de la détecter et de la signaler comme une attaque potentielle. L’AI est le seul moyen de détecter des attaques ciblées ‘zero day’ et d’anticiper la stratégie des criminels adeptes de l’ingénierie sociale.
Eric Heddeland Regional Sales Director, EMEA Southern Region de Barracuda Networks