Publié le 5 février 2019
La compromission des courriels professionnels (BEC) causée par des attaques de phishing n'est pas nouvelle, mais elle reste très efficace et ne nécessite qu'un minimum d'efforts de la part des adversaires. Un exemple est la violation d'Anthem Blue Cross en 2015. Après avoir repéré des "campagnes de courriels frauduleux ciblant les membres actuels et anciens d'Anthem", la société a envoyé une déclaration publique aux consommateurs et à la presse pour les mettre en garde, comptant sur les consommateurs pour reconnaître et contrecarrer ces attaques de phishing.
Les attaques de phishing basées sur les BEC ont un côté positif : vous pouvez devancer vos attaquants et défendre votre organisation avant même que les campagnes de phishing ne soient lancées. Le secret consiste à trouver l'infrastructure préalable à l'attaque. MITRE, dans le cadre de son cadre de cartographie des techniques ATT&CK, a rédigé un excellent article sur ce sujet, mais l'essentiel est que pour lancer des campagnes de phishing et d'autres attaques reposant sur l'usurpation de votre marque, les adversaires doivent d'abord créer (et mettre en ligne) l'infrastructure nécessaire pour mener ces attaques - voir la technique pré-ATT&CK 1338 de MITRE pour plus d'informations. Pour vous aider à trouver des certificats douteux et falsifiés, Censys met à disposition des journaux de transparence des certificats et permet d'effectuer des recherches. Grâce à ces données, vous pouvez mieux comprendre le comportement et la méthodologie des adversaires.
En général, il s'agit de domaines frauduleux qui ressemblent au domaine de votre marque légitime. Dans le cas d'Anthem, on pourrait imaginer qu'un attaquant hameçonne les clients d'Anthem en utilisant un lien qui semble légitime mais qui est soit mal tapé, soit comporte une faute d'orthographe ou un tiret erroné dans le nom de domaine (c'est ce qu'on appelle le "détournement de lien" ou le "squattage de typo"). Dans cet exemple, vous verriez "anth3mbluecross.com" ou "anthem-bluecross", ce qui, à première vue, pourrait sembler officiel ou légitime et, combiné à un langage convaincant - "Nouveaux avantages pour les clients d'Anthem, cliquez ici ! - qui pourraient inciter les internautes à cliquer sur le lien et à transmettre par inadvertance des données à un pirate informatique.
Trouver l'infrastructure de l'adversaire et les pré-attaques
Il existe de nombreuses façons de trouver l'infrastructure d'un attaquant qui pourrait être utilisée pour lancer des attaques contre vous, mais l'un des premiers efforts les plus rapides devrait être la recherche de permutations de noms de domaine. L'outil open source DNS Twist est idéal pour automatiser les permutations de noms de domaine et vous fournir une liste de domaines potentiellement frauduleux qui pourraient être utilisés contre votre marque.
Avec cette liste à portée de main, vous pouvez commencer à exécuter des requêtes dans Censys pour trouver ces instances et commencer à les supprimer ou à les bloquer avant qu'une attaque ne soit lancée.
Dans cet exemple, nous avons recherché des domaines potentiellement frauduleux similaires à binance.com, un site populaire d'échange de crypto-monnaies. Voici les résultats de cette recherche. Cette requête renvoie un certain nombre de résultats, mais un ensemble suffisamment restreint pour pouvoir être examiné manuellement.
Grâce à des outils open source et à Censys, vous pouvez prendre de l'avance sur les attaques potentielles et les bloquer avant qu'elles ne posent problème. Bien que ces recherches de domaines frauduleux ne constituent pas une solution complète pour lutter contre l'hameçonnage, elles vous aideront à émettre des demandes de retrait et à bloquer des comptes dont vous n'aviez probablement pas connaissance avant d'effectuer ces analyses. Plus vous en saurez, mieux ce sera.
