Les menaces véhiculées par les courriels de masse et celles ciblant des organisations précises étaient au cœur d’une récente présentation de l’entreprise mondiale de cybersécurité Kaspersky. Les chercheurs y ont présenté les enseignements tirés de l’analyse de plus de 197 millions de pourriels bloqués par les filtres de l’entreprise en 2024. 

Parmi les tendances jugées préoccupantes par les chercheurs figurent une hausse de 26% du nombre de tentatives d’hameçonnage observées. Ils soulignent également qu’un courriel d’entreprise sur deux est un pourriel, un problème même lorsque ces messages ne sont pas malveillants, puisqu’ils accaparent du temps aux employés qui doivent les traiter. 

La présentation s’est ensuite divisée en deux volets : les menaces par courriel de masse et les menaces ciblées. « Les menaces par courriel de masse prennent principalement la forme d’arnaques, de tentatives d’hameçonnage et de messages malveillants. Ces courriels sont génériques et visent toute personne ou entreprise ayant eu la malchance de se retrouver sur la liste d’envoi des fraudeurs. Les menaces par courriel ciblées, par définition, visent certaines organisations et peuvent donc être plus complexes », explique Anna Lazaricheva, analyste spécialisée dans les pourriels. 

Dans une discussion portant sur les technologies disponibles (Kaspersky faisait la promotion de ses propres solutions), les intervenants ont indiqué qu’en pratique, ils constatent que les entreprises comprennent mal le rôle des différentes technologies et ne les utilisent pas adéquatement. « C’est pourquoi les attaques réussissent, entraînant la compromission de comptes, des fuites de données et des situations encore plus graves. Voilà pourquoi il est essentiel de comprendre les menaces et d’associer chacune d’elles aux bonnes technologies », ajoute Alexander Rumyantsev, gestionnaire principal de produits. 

Anna Lazaricheva qualifie la catégorie des courriels frauduleux de particulièrement intéressante, puisque les fraudeurs inventent constamment de nouvelles méthodes et de nouveaux outils pour contourner les différentes solutions de protection. Les exemples de courriels d’extorsion présentés imitaient notamment des offres d’emploi provenant de services des ressources humaines, des demandes de connexion d’un fournisseur d’électricité et d’autres expéditeurs. Les chercheurs ajoutent que la « sextorsion » est la forme de chantage la plus répandue : les destinataires sont accusés de faire l’objet de poursuites criminelles pour avoir envoyé ou reçu du contenu interdit. Pour faire annuler les accusations, les victimes sont invitées à fournir leurs renseignements personnels et à payer une « amende » afin d’éviter des procédures criminelles

Menaces et conclusions 

Parmi les leçons tirées du webinaire, les chercheurs de Kaspersky affirment que le simple fait de porter attention à certains détails et de comprendre ce qu’est l’ingénierie sociale permet d’éviter la plupart des menaces. « Soyez très attentifs, affirme Sergey Zarovny, gestionnaire du lancement de produits. Votre vigilance, tout comme celle de vos employés, est extrêmement importante. » 

Des courriels malveillants commencent à être envoyés en demandant à la victime de fournir un mot de passe, souvent inclus dans le courriel à l’apparence légitime, afin de télécharger un contenu malveillant. La situation est d’autant plus complexe que ces messages peuvent sembler provenir de partenaires d’affaires et reprendre des échanges de correspondance authentiques, ce qui leur confère une apparence de légitimité. D’autres liens et pièces jointes malveillants peuvent aussi être déguisés en factures, offres commerciales, bons de commande, appels d’offres, horaires, avis de tribunaux ou autres documents. 

Les menaces ciblées par courriel, quant à elles, utilisent souvent une forme d’usurpation d’identité (spoofing, en anglais), où le nom de l’expéditeur paraît légitime alors que l’adresse courriel sous-jacente ne l’est pas. Les chercheurs indiquent que cette technique est largement employée dans les attaques de compromission de courriels d’affaires. Les attaquants sont également connus pour usurper les véritables noms de domaine d’organisations afin de tromper les utilisateurs. 

Enfin, les codes QR ont aussi été abordés. Les chercheurs soulignent qu’ils prennent souvent la forme de fichiers image, mais qu’ils sont de plus en plus intégrés dans des documents PDF afin de les rendre moins accessibles aux systèmes de protection et plus difficiles à détecter. 

Même si vous recevez un courriel provenant d’une source supposément digne de confiance, voire d’une personne que vous connaissez, Sergey Zarovny insiste: « Il demeure très judicieux, et même essentiel, de prendre un moment pour examiner attentivement les messages. Dans le monde d’aujourd’hui, où nous recevons des dizaines, voire des centaines de messages par jour et où nous nous empressons de passer à la tâche suivante, il est facile de négliger les détails et de devenir victime d’une attaque. » 

En 2024, l’entreprise a observé une hausse des courriels contenant des fichiers SVG (Scalable Vector Graphics) malveillants, déguisés en images. Ceux-ci exécutent des scripts qui installent des logiciels malveillants sur les appareils des victimes, puis les redirigent vers de fausses pages de connexion permettant aux attaquants de voler leurs identifiants. Dans un autre cas, les attaquants présentaient une pièce jointe SVG comme un document nécessitant un examen et une signature. 

Toujours en 2024, l’entreprise a découvert une campagne d’hameçonnage exploitant de véritables notifications de Facebook. Les pirates renommaient des comptes Facebook compromis et remplaçaient leur image par un visuel officiel et alarmant (dans cet exemple, un point d’exclamation orange), avant de publier des messages avertissant les victimes que leur compte était sur le point d’être suspendu. Le mécanisme proposé pour contester cette suspension permettait en réalité de récolter les identifiants des utilisateurs. Cette tactique s’est révélée particulièrement efficace contre les personnes qui administrent des comptes professionnels sur Facebook. 

« Le sentiment d’urgence est l’outil des cybercriminels, conclut Sergey Zarovny. Ils cherchent souvent à vous faire agir rapidement, mais vous devriez toujours prendre un moment pour respirer et examiner attentivement le message que vous recevez. »