Arrêtez le phishing et coupez l’exfiltration et la communication cryptées

Autrefois, les attaques de phishing et de spear phishing ne se multipliaient qu'à certaines périodes de l'année, comme lors des grandes fêtes comme Noël ou le Nouvel An chinois, des fêtes populaires comme la Saint-Valentin ou la Fête des Lanternes en Chine, ou encore lors d'événements commerciaux comme le Black Friday ou le Cyber Monday aux États-Unis, le Boxing Day ( ²⁶ décembre) au Royaume-Uni et dans le Commonwealth, ou le Singles Day ( ¹¹ novembre) en Asie.

Les attaquants ont alors compris qu’ils pouvaient exploiter le FUD (peur, incertitude et doute) suscité par les catastrophes naturelles ou d’origine humaine, les guerres, les maladies, les élections ou tout autre événement qui alimente le cycle de l’actualité actuelle pour semer leurs graines malveillantes.

Au Royaume-Uni, le Information Commissioner’s Office (ICO) a indiqué que le phishing était la principale cause de violations liées à la cybersécurité d’avril 2019 à mars 2020. Le Bureau du Commissaire australien à l'information (OAIC) a montré que le phishing représentait 36 % de tous les cas qui lui ont été signalés, en tête de sa liste.

À cette fin, les attaques de phishing et de spearphishing ont considérablement augmenté tout au long de l’année 2020, alimentées par la menace d’une pandémie mondiale, des nations en quarantaine ou en confinement, des travailleurs qui doivent travailler à domicile et même des élections controversées aux États-Unis et dans d’autres pays. Même l’annonce de la disponibilité de vaccins contre la COVID-19 est utilisée pour inciter même les personnes les plus méfiantes à ouvrir des e-mails provenant de sources inconnues – ou même de sources connues dont les comptes ont pu être piratés – afin de propager des logiciels malveillants et d’autres vecteurs d’attaque malveillants, et de voler des informations sur les utilisateurs et les entreprises ou de permettre un accès illicite à des réseaux, des clouds, des applications et des données sensibles.

L’une des raisons les plus souvent citées pour expliquer la récente explosion des attaques de phishing est le télétravail imposé par la pandémie de COVID-19. De nombreux employés, sous-traitants et autres membres du personnel ont été contraints de travailler à domicile ou à distance, ce qui a rapidement attiré l’attention indésirable des attaquants. Ils ont compris qu’il y avait une forte probabilité que les personnes travaillant à distance soient soumises à une pression accrue, baissent leur garde et commencent à cliquer sur des liens dans presque tous les e-mails, même ceux qui pourraient normalement éveiller des soupçons. Ils savent également que ceux qui travaillent à domicile utilisent peut-être des produits BYOD qui ne disposent pas des outils généralement utilisés par les organisations pour les protéger contre les attaques telles que le phishing. Les attaquants et les pirates informatiques pensent également que les travailleurs à domicile ne disposent peut-être pas de suffisamment de bande passante pour maintenir les logiciels de sécurité en cours d’exécution ou à jour, et peuvent désactiver ou manquer les mises à jour de leurs logiciels de sécurité. Souvent, ils ont raison.

Phishing et cryptage

Alors que les attaques de phishing ont augmenté rapidement, le nombre de sites de phishing utilisant le cryptage a suivi le rythme. Selon le récent rapport sur le phishing et la fraude 2020 de F5 Labs , près de 72 % des liens de phishing envoient les victimes vers des sites Web cryptés HTTPS. Cela signifie que la grande majorité des sites de phishing malveillants semblent désormais être des sites Web valides et crédibles qui peuvent facilement tromper même l’employé le plus averti. Ces données ont également été corroborées par des recherches provenant d'autres rapports, notamment un rapport de Venafi qui a découvert des domaines suspects ressemblant à des sites de vente au détail qui utilisent des certificats valides pour faire apparaître les sites Web de phishing comme valides, ce qui conduit au vol de données sensibles sur les comptes et les paiements.

Et ce ne sont pas seulement les sites Web malveillants qui utilisent le cryptage TLS pour paraître convaincants et légitimes. Il s’agit également de destinations vers lesquelles les logiciels malveillants, diffusés par des attaques de phishing, envoient des données qu’ils dérobent aux victimes et à leurs organisations ; ces destinations sont appelées zones de dépôt. Selon le rapport 2020 sur le phishing et la fraude de F5 Labs, la totalité (100 %) des incidents impliquant des zones de dépôt étudiés par le centre d'opérations de sécurité (SOC) de F5 en 2020 ont utilisé le cryptage TLS.

Il n’est pas facile de détecter les menaces dans le trafic crypté

Il existe aujourd’hui un certain nombre de solutions permettant de lutter contre le phishing sous différents angles. Il existe des solutions pour former le personnel à reconnaître et à gérer les attaques de phishing afin de réduire leur utilisation et leur efficacité. Ces solutions abordent la sécurité des e-mails, en protégeant contre le spam, les logiciels malveillants et les pièces jointes malveillantes, les attaques BEC, etc. Il existe des services permettant de gérer le courrier électronique d’une organisation. Il existe même des offres qui proxy le trafic Web d’une organisation, le répliquent ou l’imitent, et fournissent du code aux appareils locaux pour qu’il soit restitué ou qu’il imite la page Web mais sans aucun code suspect et potentiellement malveillant sous-jacent.

Bien que toutes ces solutions soient excellentes, il reste le problème de la gestion du trafic crypté. Si le trafic est crypté, il doit être décrypté avant de pouvoir être vérifié pour détecter les logiciels malveillants et autres codes dangereux. Cela s’applique également au trafic chiffré entrant dans l’organisation à partir d’utilisateurs qui cliquent sur des liens malveillants et sujets aux logiciels malveillants dans des e-mails de phishing, téléchargent des pièces jointes chargées de code malveillant et accèdent à des sites Web malveillants qui semblent réels et bénins parce qu’ils ont le « bon » certificat de chiffrement, ainsi qu’au trafic chiffré quittant avec des données volées vers une zone de dépôt chiffrée ou contactant un serveur de commande et de contrôle (C2) pour obtenir davantage d’instructions ou de déclencheurs pour déclencher encore plus d’attaques.

De plus, cela ne prend même pas en compte les réglementations gouvernementales en matière de confidentialité, telles que le Règlement général sur la protection des données (RGPD) dans l’Union européenne (UE), le California Consumer Privacy Act (CCPA) ou de nombreuses autres réglementations en cours de débat dans les pays du monde entier, qui incluent généralement un langage qui empêche le décryptage des informations personnelles des utilisateurs, telles que les données financières ou de santé des utilisateurs. Tout décryptage du trafic crypté devrait répondre à ces mandats de confidentialité, sinon il pourrait entraîner des litiges et des amendes substantielles pour toute organisation qui contreviendrait à ces réglementations.

Mais attendez, il y a plus…

Cela dit, les attaques de phishing actuelles qui utilisent le cryptage sont encore plus nombreuses et les organisations doivent en être conscientes. Le rapport 2020 sur le phishing et la fraude de F5 Labs a également révélé que plus de 55 % des zones de dépôt utilisent un port SSL/TLS non standard, tandis que plus de 98 % des sites Web de phishing utilisent des ports standard, tels que le port 80 pour le trafic HTTP en texte clair et le port 443 pour le trafic crypté. Cela signifie que, notamment pour le trafic chiffré sortant, il ne suffit pas de s'appuyer sur l'analyse des ports standard. Les solutions déployées doivent analyser et décrypter le trafic sortant sur des ports non standard. Cela est impératif pour mettre un terme à l’obscurcissement et à l’exfiltration de données critiques.

Aujourd'hui, afin de stopper les menaces cryptées véhiculées par les attaques de phishing, les organisations doivent inspecter tout le trafic SSL / TLS entrant pour garantir que tout trafic Web malveillant ou potentiellement initié par phishing est arrêté et éliminé. Mais cette inspection doit inclure la capacité de contourner intelligemment le décryptage du trafic crypté contenant des informations sensibles sur les utilisateurs, telles que des informations financières ou liées à la santé. De plus, les organisations d’aujourd’hui doivent bloquer purement et simplement ou au moins surveiller les ports Web sortants non standard pour empêcher les logiciels malveillants d’effectuer des communications cryptées avec les serveurs C2 et de zone de dépôt, afin d’arrêter l’exfiltration de données ou les déclencheurs d’attaques. D’autres éléments clés doivent également être pris en compte, comme le type de cryptage pris en charge par les périphériques de la pile de sécurité. Par exemple, si un attaquant sait qu'un certain dispositif de sécurité n'est pas en mesure de prendre en charge la confidentialité de transmission (également appelée confidentialité de transmission parfaite, ou PFS), il peut l'exploiter de manière à ce que le trafic chiffré soit simplement transmis par le dispositif de sécurité. Cette action est particulièrement coûteuse et dangereuse dans les environnements où les dispositifs de sécurité de la pile sont connectés en chaîne. Si le seul périphérique qui ne prend pas en charge PFS contourne le trafic, il sera contourné par le reste de la chaîne.

Sans ces protections en place, en plus de la formation à la sensibilisation à la sécurité et des solutions de sécurité du courrier électronique ou anti-phishing mises en œuvre, les organisations s'exposent aux attaques et aux violations, ainsi qu'au vol de données critiques de l'entreprise et des utilisateurs.

Pour plus d'informations sur la manière dont F5 SSL Orchestrator peut éliminer l'angle mort de sécurité lié au trafic crypté et sur la manière dont il peut éliminer l'obscurcissement des données critiques exfiltrées et volées, veuillez cliquer ici .