Une nouvelle tude montre que si un pirate a compromis un compte de messagerie, il peut utiliser les rgles de la bote de rception pour se cacher la vue de tous, tout en dplaant discrtement des informations hors de votre rseau via votre bote de rception et en masquant les avertissements de scurit.
Le rapport de Barracuda rvle des techniques telles que l’tablissement d’une rgle pour transfrer vers une adresse externe tous les courriels contenant des mots cls sensibles et potentiellement lucratifs, tels que « paiement » ou « confidentiel », afin de voler des informations ou de l’argent.
« L’utilisation abusive des rgles de la bote de rception des courriels est une tactique d’attaque brillamment efficace qui permet de se dissimuler et qui est facile mettre en uvre une fois qu’un attaquant a compromis un compte« , dclare Prebh Dev Singh, responsable de la gestion des produits de protection des courriels chez Barracuda. « Mme si la dtection des emails a progress au fil des ans et que l’utilisation de l’apprentissage automatique a permis de reprer plus facilement la cration de rgles suspectes, nos chiffres de dtection montrent que les attaquants continuent de mettre en uvre cette technique avec succs. La cration de rgles malveillantes constitue une menace srieuse pour l’intgrit des donnes et des actifs d’une organisation. Comme il s’agit d’une technique post-compromission, elle indique que les attaquants sont dj prsents dans votre rseau. Une action immdiate est ncessaire pour les faire sortir« .
Pour les attaques de type BEC (Business Email Compromission), la mise en place d’une rgle qui supprime tous les courriels entrants provenant d’un certain collgue, comme le directeur financier (CFO), permet aux attaquants de faire semblant de ne pas tre au courant de la situation. Cela permet aux attaquants de se faire passer pour le directeur financier et d’envoyer leurs collgues de faux courriels pour les convaincre de transfrer des fonds de l’entreprise sur un compte bancaire contrl par les attaquants.
Ce qui est inquitant, c’est que si la rgle malveillante n’est pas repre, elle reste oprationnelle mme si le mot de passe de la victime est modifi, si elle active l’authentification multifactorielle, si elle impose d’autres politiques strictes d’accs conditionnel ou si son ordinateur est entirement reconstruit. Tant que la rgle reste en place, elle reste efficace.
Source : Rapport de Barracuda
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous cette tude de Barracuda crdible et pertinente ?
Voir aussi