L’hameçonnage a longtemps été un vecteur d’attaque majeur sur les réseaux d’entreprise. Il n’est donc pas surprenant que chacun et chaque chose, des fournisseurs de messagerie électronique aux passerelles e-mail mais aussi aux navigateurs, aient des filtres anti-hameçonnage et des outils qui scannent les adresses e-mail à la recherche d’éléments malveillants. Par conséquent, les cybercriminels inventent constamment de nouvelles méthodes de contournement, ou améliorent celles déjà utilisées. L’hameçonnage en différé (delayed phishing) est une de ces techniques.
L’hameçonnage en différé est une tentative qui cherche à tromper la victime et à la rediriger vers un site malveillant, ou une imitation, grâce à une technique connue comme Post-Delivery Weaponized URL. Comme son nom l’indique, il s’agit tout simplement de remplacer le contenu en ligne par une version malveillante après avoir envoyé un e-mail qui redirige vers la page. En d’autres termes, la victime potentielle reçoit un e-mail avec un lien qui ne redirige vers rien, ou l’envoie vers une ressource légitime qui a déjà été compromise mais n’a pas encore de contenu malveillant. Par conséquent, le message passe les filtres. Les algorithmes de protection trouvent l’URL dans le texte, analysent le site associé, ne détectent rien de dangereux et laissent entrer le message.
À un certain moment après la réception du message (toujours après qu’il soit reçu mais, si possible, avant qu’il ne soit lu) les cybercriminels changent le site du lien qui figure dans le message ou active un contenu malveillant sur une page jusqu’alors inoffensive. Ils peuvent utiliser diverses astuces : imitation d’un site bancaire ou encore exploit de navigateur qui cherche à atteindre l’ordinateur de la victime. Pourtant, dans 80 % des cas c’est un site d’hameçonnage.
Ils se servent d’une de ces trois méthodes pour que leurs messages passent les filtres.
Les cybercriminels partent généralement du principe que leur victime est une personne normale qui dort la nuit. C’est pourquoi les messages d’hameçonnage en différé sont envoyés après minuit (fuseau horaire de la victime) et deviennent malveillants quelques heures plus tard, presque à l’aube. Si nous analysons de plus près les statistiques des mécanismes de lutte contre l’hameçonnage, nous constatons un pic entre 7 et 10 heures du matin, lorsque les utilisateurs qui fonctionnent au café cliquent sur les liens innocents au moment de l’envoi mais malveillants maintenant.
N’oubliez pas le spear phishing. Si les cybercriminels décident de s’en prendre à une personne en particulier, ils peuvent étudier sa routine et activer le lien malveillant suivant l’heure à laquelle cette personne consulte généralement ses e-mails.
Dans l’idéal, nous devons éviter que le lien d’hameçonnage n’atteigne l’utilisateur et il semblerait qu’une nouvelle analyse de la boîte de réception soit la meilleure option. C’est possible dans certains cas, notamment si votre entreprise utilise le serveur de messagerie Microsoft Exchange.
Depuis septembre, Kaspersky Security for Microsoft Exchange est compatible avec l’intégration du serveur de messagerie en passant par l’API native, ce qui permet d’analyser à nouveau les messages qui sont déjà dans la boîte de réception. Une heure d’analyse bien configurée garantit la détection des tentatives d’hameçonnage sans créer de charge supplémentaire sur le serveur aux heures de pointe.