Phishing Dévoilé : Les Dangers Cachés des Arnaques par Email
Apprends comment les attaques de phishing profitent des réseaux de confiance pour voler des infos.
Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
― 10 min lire
Table des matières
- Pourquoi le Phishing, c'est un Problème
- Le Côté Obscur des Réseaux de Mail
- Comment les Emails de Phishing Sont Livrés
- Le Jeu de Données : Une Plongée Profonde
- Le Pouvoir des En-têtes d'Email
- Combien d'Emails de Phishing Passent ?
- Évolution du Phishing
- Services de Filtrage d'Email : Est-ce qu'ils Aident ?
- Un Regard Sur l'Infrastructure des Attaquants
- Identifier les Campagnes de Phishing
- Le Défi de l'Authentification des Emails
- Le Rôle des Services d'Hébergement
- Distribution Géographique des Emails de Phishing
- Études de Cas sur le Comportement de Phishing
- Nouvelles Stratégies pour la Détection de Phishing
- Résultats Concrets de la Nouvelle Approche
- Conclusions et Points Clés
- Source originale
- Liens de référence
Le phishing, c'est une arnaque en ligne où des attaquants envoient des emails frauduleux pour piéger les gens et leur soutirer des infos persos. Pense à un pêcheur qui lance sa ligne pour attraper des poissons, mais là, ils essaient de choper tes données sensibles. Ces emails semblent souvent venir de sources fiables et contiennent généralement des liens vers des sites faux qui ont l'air légitimes.
Pourquoi le Phishing, c'est un Problème
Les attaques de phishing représentent une grosse menace pour les entreprises, leur coûtant des milliards. Ça peut perturber les opérations, voler des informations sensibles et même menacer la sécurité nationale. Dans le monde en ligne d'aujourd'hui, où les emails sont une forme de communication principale, il est crucial d'être au courant des tactiques utilisées par les arnaqueurs et de savoir comment se protéger, toi et ton entreprise.
Le Côté Obscur des Réseaux de Mail
On pense souvent que des boîtes comme Microsoft et Amazon sont des endroits sûrs pour envoyer et recevoir des mails, mais c'est fou de voir qu'une part importante des emails de phishing vient de leurs serveurs. Imagine découvrir que ton épicerie du coin sert des fruits pourris—c'est choquant !
Les attaquants n'envoient généralement pas d'emails directement depuis des serveurs louches. Ils préfèrent utiliser ces services connus car ils ont plus de chances de passer à travers les filtres. Donc, même si la plupart des emails de ces entreprises sont inoffensifs, une partie des emails de phishing parvient quand même à passer.
Comment les Emails de Phishing Sont Livrés
Chaque email passe par une série de serveurs avant d'arriver à destination—comme un camion de livraison qui fait des arrêts en route. Chaque serveur ajoute un enregistrement de son parcours dans les en-têtes de l'email, qui contiennent des infos sur l'origine de l'email.
Quand un email est envoyé, il traverse ces serveurs, chacun ajoutant des en-têtes "Reçu" pour montrer le chemin de l'email. Si un email traverse plein de serveurs avant d'arriver chez toi, ça peut être un signal d'alarme. Pense à un paquet qui fait trop de détours—ça peut être suspect !
Le Jeu de Données : Une Plongée Profonde
Pour comprendre comment fonctionnent les emails de phishing, des chercheurs ont analysé un énorme jeu de données pendant un an. Ce jeu de données incluait des milliards d'emails et a montré qu'un nombre surprenant d'emails de phishing provient de réseaux de confiance. Plus de 800 000 emails de phishing ont été suivis, donnant des insights précieux sur le comportement de ces messages malveillants.
Le Pouvoir des En-têtes d'Email
Les en-têtes d'email, c'est un peu comme les actes de naissance des emails—ils racontent l'histoire de d'où vient un email et comment il est arrivé dans ta boîte de réception. En examinant ces en-têtes, les chercheurs peuvent catégoriser les réseaux qui envoient des emails de phishing.
Deux grandes catégories sont apparues :
- Réseaux à Faible Concentration de Phishing : Ce sont des réseaux où la majorité des emails sont légitimes, mais une petite part provient de tentatives de phishing.
- Réseaux à Haute Concentration de Phishing : Ces réseaux envoient principalement des emails de phishing avec très peu de messages légitimes.
C'est un peu comme découvrir que certains restos servent uniquement de la bonne bouffe, tandis que d'autres proposent principalement des plats qui te feraient remettre en question tes choix de vie.
Combien d'Emails de Phishing Passent ?
Les entreprises utilisent souvent des filtres, comme des listes noires statiques, pour se protéger contre le phishing. Ces listes bloquent les expéditeurs malveillants connus, mais elles ne sont pas infaillibles. En fait, beaucoup d'emails de phishing parviennent encore à passer ces barrières. C'est comme avoir un agent de sécurité à la porte d'entrée qui finit par s'endormir pendant son service—certaines arnaques réussissent à entrer !
Malgré ces filtres, des centaines de milliers d'emails de phishing échappent à la Détection. C'est parce que les arnaqueurs adaptent constamment leurs méthodes. Les adresses email et la propriété des serveurs changent si souvent que les listes statiques deviennent vite obsolètes.
Évolution du Phishing
Le paysage du phishing est en constante évolution. Les attaquants changent souvent de Réseau pour éviter d'être attrapés, comme un cambrioleur qui change de déguisement après chaque coup. Ça complique la vie des défenses traditionnelles pour suivre les tactiques évolutives des arnaqueurs.
Les chercheurs ont voulu mieux comprendre ces comportements changeants. En étudiant les réseaux qui livrent des emails de phishing dans le temps, ils ont découvert que beaucoup de réseaux n'envoient des emails de phishing que par rafales. Ça suggère que les mesures de sécurité actuelles peuvent ne pas suffire, et qu'il faut des méthodes plus dynamiques pour lutter contre le phishing.
Services de Filtrage d'Email : Est-ce qu'ils Aident ?
Certaines entreprises utilisent des services de filtrage d'email capables de détecter et bloquer les tentatives de phishing avant qu'elles n'atteignent les boîtes de réception des utilisateurs. Cependant, il s'avère que ces filtres ne capturent pas tout. Dans une étude, 75 % des organisations utilisant des services de filtrage d'email étaient encore vulnérables aux attaques de phishing. C'est comme avoir une serrure sur ta porte d'entrée mais laisser la fenêtre grande ouverte !
Un Regard Sur l'Infrastructure des Attaquants
Bien que les fournisseurs de services d'email semblent dignes de confiance, ils hébergent parfois des services abusés par des attaquants. Ces réseaux peuvent être catégorisés selon la quantité de phishing qu'ils envoient et leur stabilité dans le temps.
Certains réseaux réputés, comme Amazon et Microsoft, sont étonnamment impliqués dans le phishing malgré leur réputation pour des services légitimes. Les attaquants pourraient utiliser ces plateformes pour envoyer des emails de phishing car ils savent qu'ils sont moins susceptibles d'être signalés par les filtres de sécurité.
Identifier les Campagnes de Phishing
Tous les emails de phishing ne se valent pas. Les chercheurs classifient les emails de phishing en campagnes selon l'expéditeur et le sujet. En analysant plusieurs campagnes, ils peuvent voir des tendances et identifier quelles tactiques fonctionnent le mieux pour les attaquants.
Les données ont révélé qu'un petit nombre de campagnes contribuent à une quantité significative d'emails de phishing. Ça veut dire que même s'il y a des milliers d'attaquants, quelques-uns sont responsables de la majorité des emails frauduleux circulant sur internet. C'est un peu comme un jeu de Whac-A-Mole—peu importe combien tu en frappes, quelques-uns continuent de surgir !
Le Défi de l'Authentification des Emails
Divers protocoles existent pour authentifier les expéditeurs d'email et contrer le spoofing. Parmi eux, on trouve SPF, DKIM et DMARC. Cependant, beaucoup d'emails parviennent encore à passer malgré l'échec de ces contrôles. Le problème, c'est que ces méthodes d'authentification ne sont pas infaillibles, souvent mal configurées ou appliquées de manière inconsistante.
En réalité, moins de la moitié des emails propres réussissent à passer la validation DMARC. Ce faible taux de réussite souligne les défis auxquels les organisations font face pour lutter contre le phishing uniquement par l'authentification.
Le Rôle des Services d'Hébergement
Un nombre important d'emails de phishing provient de services d'hébergement cloud reconnus. Ça a du sens, car beaucoup d'attaquants exploitent ces plateformes pour envoyer des emails sans éveiller de soupçons. Les organisations doivent trouver comment repérer les mauvais acteurs utilisant ces services—comme un videur qui laisse entrer des personnages louches sans s'en rendre compte.
Distribution Géographique des Emails de Phishing
Quand les chercheurs ont analysé d'où venaient les emails de phishing, ils ont découvert qu'ils provenaient souvent de pays connus pour leurs services en ligne. Des pays comme les États-Unis et le Royaume-Uni apparaissaient fréquemment comme sources d'emails propres et de phishing.
Fait intéressant, les emails de phishing parcouraient souvent plus de pays que les emails légitimes. Le parcours d'un email peut en dire long sur sa crédibilité. S'il traverse les pays comme un globe-trotteur, il cache peut-être quelque chose.
Études de Cas sur le Comportement de Phishing
Pour illustrer le comportement de phishing, les chercheurs ont examiné des réseaux spécifiques connus pour leur haute ou basse concentration d'emails de phishing. Par exemple, certaines adresses IP de fournisseurs bien connus, comme Amazon et Microsoft, étaient responsables d'un nombre surprenant de tentatives de phishing. Dans certains cas, ils ont découvert que ces emails avaient été envoyés en utilisant des comptes compromis.
D'autres réseaux ont montré des comportements paroxystiques, envoyant un grand volume d'emails de phishing en rafales puis disparaissant. Cela souligne le besoin de mesures adaptatives qui peuvent répondre à des changements soudains dans les schémas de trafic des emails.
Nouvelles Stratégies pour la Détection de Phishing
Avec toute cette connaissance sur les réseaux de phishing et leurs comportements, les chercheurs ont collaboré avec des entreprises de sécurité email pour développer un nouveau classificateur. Cet outil vise à s'adapter au paysage en constante évolution des attaques de phishing.
Au lieu de se fier uniquement à des listes statiques, le nouveau système met constamment à jour sa compréhension des réseaux qui livrent des emails de phishing. En utilisant une fenêtre glissante pour surveiller le trafic email, il peut améliorer les taux de détection et repérer des attaques de phishing auparavant non détectées.
Résultats Concrets de la Nouvelle Approche
Quand la nouvelle méthode de détection a été testée, elle a réussi à identifier 3-5 % d'emails de phishing en plus par rapport aux méthodes précédentes. Ça veut dire qu'avoir un système qui reconnaît les schémas changeants peut mener à une meilleure protection contre les arnaques de phishing, ce qui est de la musique aux oreilles de tout le monde !
Conclusions et Points Clés
En résumé, le phishing reste une menace significative, avec un nombre surprenant d'attaques émanant de réseaux de confiance. Beaucoup d'emails de phishing passent à travers les défenses traditionnelles, et les attaquants adaptent continuellement leurs tactiques pour rester un pas devant.
En évaluant comment les emails sont livrés et en créant des méthodes de détection adaptables, les organisations peuvent renforcer leurs défenses contre les attaques de phishing. Donc, la prochaine fois que tu vois un email te demandant des infos persos, prends un moment pour réfléchir—est-ce que ça pourrait être une tentative de phishing astucieuse ? Mieux vaut prévenir que guérir !
Titre: Characterizing the Networks Sending Enterprise Phishing Emails
Résumé: Phishing attacks on enterprise employees present one of the most costly and potent threats to organizations. We explore an understudied facet of enterprise phishing attacks: the email relay infrastructure behind successfully delivered phishing emails. We draw on a dataset spanning one year across thousands of enterprises, billions of emails, and over 800,000 delivered phishing attacks. Our work sheds light on the network origins of phishing emails received by real-world enterprises, differences in email traffic we observe from networks sending phishing emails, and how these characteristics change over time. Surprisingly, we find that over one-third of the phishing email in our dataset originates from highly reputable networks, including Amazon and Microsoft. Their total volume of phishing email is consistently high across multiple months in our dataset, even though the overwhelming majority of email sent by these networks is benign. In contrast, we observe that a large portion of phishing emails originate from networks where the vast majority of emails they send are phishing, but their email traffic is not consistent over time. Taken together, our results explain why no singular defense strategy, such as static blocklists (which are commonly used in email security filters deployed by organizations in our dataset), is effective at blocking enterprise phishing. Based on our offline analysis, we partnered with a large email security company to deploy a classifier that uses dynamically updated network-based features. In a production environment over a period of 4.5 months, our new detector was able to identify 3-5% more enterprise email attacks that were previously undetected by the company's existing classifiers.
Auteurs: Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
Dernière mise à jour: 2024-12-16 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2412.12403
Source PDF: https://arxiv.org/pdf/2412.12403
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.