Les attaques de phishing latérales (escroqueries ciblant les utilisateurs à partir de comptes de messagerie compromis au sein d'une organisation) sont de plus en plus préoccupantes aux États-Unis.

Alors que dans le passé, les attaquants envoyaient des escroqueries par hameçonnage à partir de comptes de messagerie externes à une organisation, récemment, il y a eu une explosion d'escroqueries par e-mail dans lesquelles des attaquants compromettent les comptes de messagerie au sein des organisations, puis utilise ces comptes pour lancer des e-mails de phishing internes à d'autres employés, le type d'attaques connues sous le nom de phishing latéral.

Et lorsqu'un e-mail de phishing provient d'un compte interne, la grande majorité des systèmes de sécurité de messagerie ne peuvent pas l'arrêter. Les systèmes de sécurité existants détectent largement les cyberattaques qui viennent de l'extérieur, en s'appuyant sur des signaux tels que l'IP et la réputation du domaine, qui sont inefficaces lorsque l'email provient d'une source interne. Les attaques de phishing latérales sont également coûteuses. Les données du FBI montrent, par exemple, que ces cyberattaques ont causé plus de 12 milliards de dollars de pertes entre 2013 et 2018. Et au cours des deux dernières années, les attaques ont entraîné une augmentation de 136% des pertes.

Pour pallier ce problème croissant, Le membre du Data Science Institute, Asaf Cidon, a aidé à développer un prototype de détecteur basé sur l'apprentissage automatique qui détecte et arrête automatiquement les attaques de phishing latérales.

Le détecteur utilise plusieurs fonctionnalités pour arrêter les attaques, y compris détecter si le destinataire s'écarte de quelqu'un avec qui un employé communiquerait habituellement ; si le texte de l'e-mail est similaire à d'autres attaques de phishing connues ; et si le lien est anormal. Le détecteur peut détecter la grande majorité de ces attaques avec un taux de précision élevé et un faible taux de faux positifs, soit moins de quatre faux positifs pour chaque million d'e-mails envoyés par les employés.

Cidon faisait partie d'une équipe de recherche qui a analysé un ensemble de données de 113 millions d'e-mails envoyés par les employés de près de 100 entreprises. Ils ont également caractérisé 147 incidents de phishing latéral, dont chacun impliquait au moins un e-mail de phishing. L'étude a été menée conjointement avec Barracuda Networks, une société de sécurité réseau qui a fourni des données sur ses clients aux chercheurs dans le but de développer un détecteur de phishing latéral.

Les chercheurs ont également rédigé un article sur l'étude, Détecter et caractériser le phishing latéral à grande échelle, qui a récemment remporté un Distinguished Paper Award à Usenix Security 2019, une conférence de premier plan sur la cybersécurité.

« Les attaques analysées dans cette étude représentent l'un des types de cyberattaques les plus difficiles à détecter automatiquement, puisqu'elles émanent du compte interne d'un salarié, " dit Cidon, professeur adjoint de génie électrique et d'informatique (conjointement affilié) à Columbia Engineering ainsi qu'un membre du Data Science Institute. "La clé pour arrêter de telles attaques ciblées d'ingénierie sociale est d'utiliser des méthodes basées sur l'apprentissage automatique qui peuvent s'appuyer sur le contexte unique de l'expéditeur, destinataire et organisation.

Lorsque les attaquants lancent une attaque de phishing, leur objectif est de convaincre l'utilisateur que l'e-mail est légitime et de le cajoler pour qu'il effectue une certaine action. Quoi de mieux pour convaincre un utilisateur qu'un email est légitime, donc, qu'en utilisant un compte de messagerie piraté d'un collègue qu'ils connaissent et en qui ils ont confiance. Et en phishing latéral, les attaquants utilisent un compte de messagerie compromis pour envoyer des e-mails de phishing à d'autres utilisateurs de l'organisation, bénéficiant de la confiance implicite des collègues et des informations contenues dans le compte de l'utilisateur piraté. Les classificateurs que Cidon a aidé à développer recherchent des anomalies dans les modèles de communication. Par exemple, les classificateurs signaleraient un employé envoyant soudainement une rafale d'e-mails avec des liens obscurs ou un employé supprimant systématiquement les e-mails de ses dossiers d'éléments envoyés, essayant de masquer leurs escroqueries.

S'appuyant sur ce type d'attaques de phishing, ainsi qu'à partir d'une collection d'incidents signalés par les utilisateurs, les chercheurs ont utilisé l'apprentissage automatique pour quantifier l'ampleur du phishing latéral, identifier le contenu thématique et les stratégies de ciblage des destinataires utilisées par les attaquants. Ils ont ensuite pu caractériser deux stratégies utilisées par les attaquants pour adapter leurs attaques :la personnalisation du contenu et du nom. La personnalisation du contenu est la façon dont l'attaquant adapte le contenu de l'e-mail pour obliger le destinataire à cliquer sur le lien et à tomber dans le piège de l'e-mail de phishing. La personnalisation de contenu la plus courante qu'ils ont découverte était un contenu d'hameçonnage générique (par exemple, "Vous avez reçu un nouveau document, cliquez ici pour ouvrir"). Mais ils ont également constaté que certains attaquants adaptaient l'e-mail au contexte spécifique de l'organisation (par exemple, "Veuillez consulter l'annonce ci-jointe concernant le 25e anniversaire d'Acme"). La personnalisation du nom est la façon dont les attaquants personnalisent l'e-mail à un destinataire en utilisant son nom et son rôle dans l'organisation (par exemple, "Bob, veuillez consulter le bon de commande ci-joint, " et dans ce cas, Bob travaille dans la comptabilité).

Voici quelques conclusions clés de leur analyse de plus de 100 millions d'e-mails qui ont compromis près de 100 organisations :

• Plus de 10 % des incidents aboutissent à une compromission interne supplémentaire réussie (il s'agit d'un pourcentage de plusieurs ordres de grandeur plus élevé que les attaques provenant de l'extérieur).
• La majorité des attaques sont des e-mails de phishing relativement simples. Mais un pourcentage important d'attaquants adaptent fortement leurs e-mails en fonction du rôle du destinataire et du contexte de l'organisation.
• Plus de 30 % des attaquants adoptent une sorte de comportement sophistiqué :soit en cachant leur présence dans l'attaque (par exemple, en supprimant les e-mails sortants) ou en dialoguant avec le destinataire de l'attaque pour s'assurer qu'elle réussit.

Cidon affirme que ces types d'attaques représentent la nouvelle frontière de la cybercriminalité :des attaques hautement personnalisées où les attaquants sont prêts à passer des jours et des semaines à « faire de la reconnaissance ».

"Dans cette étude, nous nous sommes concentrés sur le phishing latéral basé sur des liens, " ajoute Cidon. " Il y a encore beaucoup de travail à faire, cependant, en explorant les attaques sans liens ou les attaques qui combinent d'autres médias sociaux tels que les messages texte et la voix. Mais nous espérons que notre détecteur aidera à lutter contre le fléau croissant des attaques de phishing latérale. »