Vade Retro : Phishing et virus relayé par Spam

Suite à cette étude menée entre août et septembre 2015, premier constat, l’email reste toujours le moyen de propagation des menaces favorisé par les pirates. Auparavant, si le spam présentait un risque pour la productivité, il représente un danger désormais pour le système d’information puisque servant à véhiculer des virus et des attaques de phishing. 9 emails sur 10 envoyés à des messageries professionnelles sont des spams en hausse puisque avec un taux de 91,3% en août et 87,5% en septembre alors qu’il était de 79% en janvier et 71% en février et mars 2015.

Au milieu de cette immense proportion de spam, les emails prioritaires représentaient 3,8% en août et 6% en septembre. A préciser que lorsque la solution de filtrage traditionnelle anti-spam est mise en place, ils représentent 55,5% du flux des emails arrivant finalement sur les boîtes en août et 51,8% en septembre. Des pourcentages bien meilleurs mais à remettre en perspective avec le fait que le reste soit du graymail, ces mails de notification qui eux aussi sont à la base de la baisse de productivité dans les entreprises.

Autre constat, les vagues massives de spam adoptent de plus en plus la méthode consistant à contenir un fichier vérolé en .zip ou des documents corrompus Microsoft Office. Et cette adaptabilité se retrouve également par secteur, les RH reçoivent des CV de candidats vérolés ou les services financiers des factures en pièce-jointe corrompues. En 2015, le malware bancaire Dridex en est la parfaite illustration. Initié par des vagues de spam, il a finalement pu être à l’origine de pertse financières importante et a même motivé de nouvelles tentatives comme Shifu.

Régis Bénard, Consultant Technique Vade Retro commente  « Nous avons observé 3 techniques: en matière de spam (et diffusion de virus et phishing) les hackers s’appuient désormais sur des botnets/spambots utilisant des adresses IP non reconnues ce qui est particulièrement efficace pour franchir les systèmes de filtrage traditionnels par signatures. Les virus ont également gagné en intelligence puisque les hackers sont désormais capables de les commander à distance une fois qu’ils ont pénétré dans le réseau de l’entreprise et de les utiliser au besoin par exemple comme actif d’un spambot de grande envergure voire même pour une attaque de cryptolockage. Depuis cette année, nous avons également observé que certaines hackers – les plus chevronnés – étaient capables d’envoyer des emails de phishing utilisant des liens URL activables à distance une fois les outils de filtrage franchis. Une menace qui si elle se généralise peut représenter une grande menace ! » 

Il est donc impératif d’informer et former ses équipes qu’elles soient de différents services de l’entreprise afin de se prémunir contre de possibles attaques. Vade Retro conseille de n’ouvrir les pièces jointes suspectes (fichiers .zip, .xls ou .doc.) que si l’expéditeur est confirmé, de supprimer le message d’un expéditeur suspect inconnu sans y répondre, de refuser de confirmer l’accusé de réception dans le cas d’un expéditeur inconnu suspect évitant ainsi la validation et la diffusion de l’adresse email de l’utilisateur à son insu, de remonter les emails identifiés comme spam auprès de son service informatique et lorsque le doute s’installe de contacter son service informatique. Plus généralement, il faut être vigilant et ne pas hésiter à décrocher si besoin le téléphone pour vérifier que l’information vient bien d’un client, partenaires ou autres. Ces quelques minutes de vérification pourraient bien sauver le SI !