Les attaquants exploitent les règles de la boîte de réception pour éviter d'être détectés
Les attaquants exploitent les règles de la boîte de réception pour éviter d'être détectés, d'après une étude de Barracuda
Une nouvelle étude montre que si un pirate a compromis un compte de messagerie, il peut utiliser les règles de la boîte de réception pour se cacher à la vue de tous, tout en déplaçant discrètement des informations hors de votre réseau via votre boîte de réception et en masquant les avertissements de sécurité.
Le rapport de Barracuda révèle des techniques telles que l'établissement d'une règle pour transférer vers une adresse externe tous les courriels contenant des mots clés sensibles et potentiellement lucratifs, tels que "paiement" ou "confidentiel", afin de voler des informations ou de l'argent.
"L'utilisation abusive des règles de la boîte de réception des courriels est une tactique d'attaque brillamment efficace qui permet de se dissimuler et qui est facile à mettre en œuvre une fois qu'un attaquant a compromis un compte", déclare Prebh Dev Singh, responsable de la gestion des produits de protection des courriels chez Barracuda. "Même si la détection des emails a progressé au fil des ans et que l'utilisation de l'apprentissage automatique a permis de repérer plus facilement la création de règles suspectes, nos chiffres de détection montrent que les attaquants continuent de mettre en œuvre cette technique avec succès. La création de règles malveillantes constitue une menace sérieuse pour l'intégrité des données et des actifs d'une organisation. Comme il s'agit d'une technique post-compromission, elle indique que les attaquants sont déjà présents dans votre réseau. Une action immédiate est nécessaire pour les faire sortir".
Pour les attaques de type BEC (Business Email Compromission), la mise en place d'une règle qui supprime tous les courriels entrants provenant d'un certain collègue, comme le directeur financier (CFO), permet aux attaquants de faire semblant de ne pas être au courant de la situation. Cela permet aux attaquants de se faire passer pour le directeur financier et d'envoyer à leurs collègues de faux courriels pour les convaincre de transférer des fonds de l'entreprise sur un compte bancaire contrôlé par les attaquants.
Ce qui est inquiétant, c'est que si la règle malveillante n'est pas repérée, elle reste opérationnelle même si le mot de passe de la victime est modifié, si elle active l'authentification multifactorielle, si elle impose d'autres politiques strictes d'accès conditionnel ou si son ordinateur est entièrement reconstruit. Tant que la règle reste en place, elle reste efficace.
Source : Rapport de Barracuda
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Répondre avec citation
Partager