Plus de 90% des attaques ciblées sont initiées par du Spear Phishing

Les organisations doivent renforcer la sécurité de leur messagerie, en améliorant la détection des menaces et en déployant une ligne de défense personnalisée.

Rueil-Malmaison, le 12 décembre 2012 - Le chiffre est éloquent: 91 % des attaques ciblées partent d’un email de Spear Phishing  selon des données recueillies par l’expert en sécurité Trend Micro entre février et septembre.

Le Spear Phishing est une méthode de Phishing en plein essor. Sa particularité est d’utiliser des informations sur la personne ciblée afin de mettre au point une attaque personnalisée. Les emails vecteurs de ces attaques s’adressent ainsi aux cibles identifiées en mentionnant leur nom, leur métier, le nom de leur employeur ou encore leur fonction dans l’entreprise, ce qui constitue une différence majeure par rapport aux contenus génériques utilisés dans le phishing de masse.

 

L’objectif est de piéger la victime pour qu’elle ouvre un fichier joint compromis ou qu’elle clique sur un lien la redirigeant vers un malware ou un site malveillant, afin de déployer ensuite une passerelle furtive vers le réseau de la victime.

 

Selon le rapport “Spear Phishing Email: Most Favored APT Attack Bait” établi par Trend Micro, 94 % des emails de Spear Phishing utilisent des fichiers joints malveillants comme source initiale d’infection. Les 6% restants recourent à d’autres méthodes, comme l’installation de malware par le biais de liens malveillants.

« Nous nous attendons à une forte recrudescence des emails malveillants compte tenu de la généralisation et de l’évolution des attaques ciblées », explique Rik Ferguson, Director of Security Research & Communication EMEA chez Trend Micro. « L’expérience nous montre que les cyber-délinquants préparent minutieusement leurs attaques et savent tirer parti des données personnelles de leurs cibles. Les informations sur les personnes et les entreprises abondent sur le Net, ce qui facilite d’autant plus la création d’emails parfaitement crédibles. »

Parmi les principaux enseignements du rapport :

·         70% des fichiers joints aux emails de Spear Phishing utilisent les formats les plus courants : notamment le .RTF (38 %), le .XLS (15 %) et le .ZIP (13 %). Les exécutables (.EXE), en revanche, n’obtiennent pas les faveurs des cybercriminels, puisqu’ils sont plus facilement détectés et neutralisés par les solutions de sécurité.

·         Les institutions gouvernementales et les groupes d’activistes constituent des cibles de choix. Internet regorge d’informations sur les institutions gouvernementales et leurs dirigeants, des informations d’ailleurs souvent disponibles sur des sites officiels. Les activistes, de leur côté, sont très présents sur les réseaux sociaux et divulguent assez facilement des informations sur leurs membres afin de faciliter les communications, organiser des campagnes ou recruter de nouveaux membres.

·         Au final, l’adresse e-mail de 3 victimes sur 4 peut être trouvée rapidement, en faisant de simples recherches sur le Web ou en reconstituant l’adresse à partir d’un préfixe basé sur le nom de la victime et d’un suffixe propre à une organisation et commun à tous ses membres.

 

Trend Micro déploie une ligne de défense personnalisée contre le Spear Phishing

Se défendre contre le Spear Phishing consiste, dans un premier temps, à être capable de détecter ce type d’attaque. Une fois l’attaque détectée, il convient ensuite d’adapter automatiquement ses lignes de défense au sein de l’infrastructure (passerelles mails, passerelles web, postes clients, …). Dans le cadre de sa campagne Custom Defense contre les menaces APT initiée en Octobre, Trend Micro a renforcé son offre de solutions de sécurité email, pour contrer les menaces traditionnelles, mais également les attaques ciblées véhiculées par email .

Pour détecter les emails de Spear Phishing, souvent associés à des menaces APT, les solutions de sécurité email de Trend Micro relaient automatiquement les fichiers joints suspects à la solution Deep Discovery. Ces fichiers sont alors exécutés et analysés au sein de sandbox et neutralisés si nécessaires. Deep Discovery assure également des mises à jour de sécurité automatiques et adaptées aux différents outils de sécurité protégeant le réseau d’entreprise. Enfin, les caractéristiques des fichiers suspects sont évaluées grâce à la base de veille mondiale sur les menaces de Trend Micro, pour définir leur niveau de nocuité. Au final, les équipes de sécurité disposent d’informations sur la nature et l’étendue de l’attaque, ainsi que sur l’identité de ses instigateurs. Cette visibilité personnalisée permet aux organisations de mieux déjouer de futures attaques.