Evernote, nouvel outil de compromission des messageries d’entreprise
Les chercheurs d’Avanan, une sociĂ©tĂ© de Check Point Software, expliquent comment les acteurs de la menace profitent de la lĂ©gitimitĂ© du logiciel Evernote pour que leurs attaques Business email compromise (BEC) apparaissent particulièrement convaincantes. Une recrudescence de l’hĂ©bergement de documents malveillants sur Evernote est par ailleurs observĂ©e.
![Evernote-nouvel-outil-de-compromission-des-messageries-dentreprise.-Credit-rawpixel.com-_-pxhere-commons. Ceci est une légende Alt](https://www.faceaurisque.com/wp-content/uploads/2023/03/Evernote-nouvel-outil-de-compromission-des-messageries-dentreprise.-Credit-rawpixel.com-_-pxhere-commons..jpg)
Introduction
Les attaques de compromission de messagerie d’entreprise (BEC) constituent l’une des attaques les plus rapides et les plus difficiles Ă stopper dans le domaine de la cybersĂ©curitĂ©.
Il existe un certain nombre de variantes mais en gĂ©nĂ©ral, ces attaques usurpent le nom d’une personne d’une entreprise, souvent un cadre, et n’utilisent aucun malware ou lien malveillant. A noter que si certaines attaques BEC utilisent des logiciels ou liens malveillants, les plus difficiles Ă arrĂŞter sont essentiellement basĂ©es sur du texte.
Ces attaques entrainent en gĂ©nĂ©ral d’importantes pertes financières, en grande partie parce qu’elles paraissent rĂ©elles. Imaginons un utilisateur en entreprise qui reçoit un e-mail de son « PDG » lui demandant de payer une facture, ou pire de rĂ©clamer de l’argent Ă un client, refusera-t-il ? C’est exactement ce sur quoi comptent les pirates.
Dans cette attaque BEC, ces derniers ont fait preuve d’une grande crĂ©ativitĂ©.
L’attaque
Dans cette attaque, les pirates utilisent des liens Evernote (logiciel permettant l’enregistrement d’informations sous forme de notes, d’images, de vidĂ©os ou de pages web) pour hĂ©berger des factures qui sont envoyĂ©es dans le cadre d’attaques BEC.
- Vecteur: Email
- Type:Â Phishing
- Techniques: Business Email Compromise
- Cible: Tout utilisateur final
Exemple d’e-mail compromis
Elle commence sous la forme d’un message joint, envoyĂ© directement par le chef de l’entreprise en question. Il s’agit d’un compte compromis.
Les pirates usurpent souvent l’identitĂ© des membres de la direction d’une entreprise en utilisant une ruse dans le champ de l’expĂ©diteur.
Dans le cas prĂ©sent, c’est le PDG de l’entreprise qui a Ă©tĂ© compromis, et le message est donc envoyĂ© directement depuis le compte de cette personne.
Le message joint conduit Ă un e-mail indiquant qu’il s’agit d’un « message sĂ©curisé ». Le lien renvoie Ă une page Evernote.
La page Evernote a été retirée depuis. Mais Evernote, comme de nombreux sites internet légitimes, sert de plus en plus à des fins de piratage.
Selon Huntress, on a rĂ©cemment observĂ© une recrudescence de l’hĂ©bergement de documents malveillants sur Evernote. En l’occurrence, il s’agit d’un document sur Evernote qui mène Ă une fausse page de connexion pour voler les identifiants.
Technique
Les attaques de Business Email Compromise sont difficiles Ă arrĂŞter en termes de sĂ©curitĂ©. Et difficiles Ă reconnaĂ®tre pour l’utilisateur final.
Cette attaque est la preuve de cette difficultĂ©. Elle commence par un e-mail du PDG d’une entreprise. Le compte ayant Ă©tĂ© compromis, l’e-mail franchira toutes les mesures d’authentification. Le message lui-mĂŞme n’est pas malveillant. Il renvoie Ă un document sur Evernote, pas Ă un site malveillant.
CĂ´tĂ© sĂ©curitĂ©, tout cela semble normal. Si vous ĂŞtes un utilisateur final, tout cela semble normal. L’utilisation d’un site lĂ©gitime comme Evernote, surtout si cette entreprise l’utilise dĂ©jĂ , donne beaucoup de crĂ©dibilitĂ©.
En un mot, il s’agit d’une attaque incroyablement bien conçue.
Il devient donc extrĂŞmement important d’arrĂŞter les attaques BEC. Et il faut faire un certain nombre de choses.
- Tout d’abord, il est nĂ©cessaire de faire appel Ă l’IA et au ML. Il faut ĂŞtre capable de comprendre le contenu d’un e-mail, le contexte et le ton, et comprendre quand les choses sont diffĂ©rentes. Par exemple, est-ce que le PDG de l’entreprise envoie souvent des liens vers Evernote ?
- Ă€ partir de lĂ , l’entreprise doit ĂŞtre capable de rĂ©Ă©crire et de dĂ©tecter les liens et les pièces jointes malveillants. Evernote n’est pas malveillant, le document en pièce jointe l’est. Le service de sĂ©curitĂ© peut-il suivre ce lien et cette pièce jointe jusqu’au bout, pour comprendre s’ils sont effectivement malveillants ? Et l’entreprise dispose-t-elle d’une protection contre la prise de contrĂ´le du compte ?
Nous ne savons pas comment cet utilisateur a Ă©tĂ© initialement compromis, mais le monde numĂ©rique offre au pirate de nombreux moyens de le faire : e-mail, texte, message vocal, chat, partage de fichiers. Il est essentiel de comprendre les Ă©vĂ©nements de connexion, les changements de configuration et les activitĂ©s de l’utilisateur final dans l’ensemble de la suite de productivitĂ©.
Conseils et recommandations
Pour se défendre de ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :
- CrĂ©er des processus Ă suivre par les employĂ©s pour le paiement de factures ou la saisie d’identifiants ;
- Mettre en place une sĂ©curitĂ© avancĂ©e qui vĂ©rifie plus d’un indicateur pour dĂ©terminer si un e-mail est authentique ou non.
- Se servir de la dĂ©tection et de la rĂ©Ă©criture des URL malveillantes pour suivre le lien jusqu’Ă sa destination prĂ©vue en toute sĂ©curitĂ©.
Les plus lus…
Un arrêté et un décret, publiés les 15 et 19 juillet 2024, autorisent l'Agence nationale de sécurité des systèmes…
La directive (UE) 2024/1785 du Parlement européen et du Conseil du 24 avril 2024 modifiant la directive 2010/75/UE du…
Le règlement européen sur l'intelligence artificielle, ou IA Act, a été publié au Journal officiel de l'Union européenne le…
L'Agence nationale de la sécurité des systèmes d'information (Anssi) a lancé le 15 juillet 2024 son CyberDico, un dictionnaire…
Après avoir fêté ses 20 ans d’existence, la directive « Machines » de 2006 tirera sa révérence en 2027…
Drivecase, spécialiste de la prévention routière, propose des solutions pour renforcer les actions de sensibilisation dans le cadre professionnel.…