Qui n’a jamais reçu d’email de phishing ? Nous avons tous été victimes d’une tentative d’attaque de ce genre. Avec le temps, les utilisateurs finaux et les solutions de sécurité de l’email ont appris à les reconnaître, forçant les hackers à changer leur fusil d’épaule. Une de leurs nouvelles techniques, dite du « contact initial », reste probablement moins connue.

Dans les films de science-fiction, les extraterrestres établissent un contact initial à l’occasion d’une simple visite d’exploration. L’idée est alors d’évaluer les terriens avant de les envahir. Le concept est le même dans le contexte du spear phishing. Le cybercriminel veut établir un contact légitime avec sa victime avant de passer à l’attaque.

Qu’est-ce qu’un contact initial ?

Les emails de contact initial n’incluent aucun élément malveillant, qu’il s’agisse de liens ou de pièces jointes. Ils sont généralement concis et posent une question du type « Tu es disponible ?», « Tu es au bureau ?» ou encore « Tu peux m’aider sur un projet ? ». L’idée est d’attirer l’attention du destinataire pour obtenir une réponse. Lorsque l’utilisateur répond, il est mûr pour l’attaque : il s’attend à ce que son correspondant lui demande quelque chose.

Toute l’idée de ce type d’e-mail est là : pousser l’utilisateur à répondre pour que l’adresse du hacker soit ajoutée en liste blanche par le filtre de sécurité de l’email. En effet, la réponse de l’utilisateur rend la conversation légitime et ouvre la voie à de nouveaux échanges.

Exemples de contact initial

Dans une récente campagne de ce type, les hackers ont exploité la pandémie de COVID-19. Aux États-Unis, ils ont ciblé des chercheurs en maladies infectieuses et du domaine médical en se faisant passer pour un journaliste d’une revue connue.
Comme le rapporte l’UCLA, « après avoir établi un contact initial, les cybercriminels semblent lancer des échanges suivis avec toute personne leur ayant répondu. L’attaquant peut même programmer une conversation téléphonique et envoyer pour ce faire un faux lien Microsoft Teams. Une fois que l’utilisateur a accepté le lien, le code malveillant essaie de s’exécuter sur son système pour le compromettre et récupérer des informations personnelles et financières. »

Il n’est pas étonnant que les hackers soient parvenus à utiliser ou usurper l’identité de Microsoft. D’après une étude*, 56 % des e-mails de spear phishing ciblant des tenants Microsoft 365 basés aux États-Unis, au cours du 4e trimestre 2021, peuvent être rangés dans la catégorie des attaques de contact initial, contre seulement 9,4 % dans la catégorie de la fraude au président. Pour les tenants Microsoft 365 basés en Europe, ces chiffres étaient de 63 % pour le phishing de contact initial et seulement 6,2 % pour la fraude au président
Les produits cloud de Microsoft sont très prisés par les entreprises, et leurs utilisateurs sont donc des cibles faciles pour les hackers. En usurpant l’adresse d’une personne haut placée membre de l’environnement cloud de Microsoft, il devient bien plus facile de trouver une victime potentielle. Ces attaques de spear phishing offrent un point d’entrée efficace, car ce type d’e-mail ne ressemble pas à du spam et ne contient ni lien ni pièce jointe malveillants.

Ces e-mails aident également l’attaquant à cibler l’utilisateur qui lui sera le plus utile. Bien souvent, ils lui servent ainsi de moyen d’exploration. Par exemple, il peut chercher un employé en mesure d’autoriser des transferts de fonds ou le paiement de facture, ou le contact des RH qui peut modifier les comptes bancaires et numéros de routage des comptes sur lesquels sont versés les salaires.
L’efficacité de ce type de scam, consistant à préparer l’utilisateur avant de passer à l’attaque, repose sur plusieurs niveaux de confiance. Le destinataire fait confiance à l’expéditeur. Les échanges n’étant pas inhabituels, l’utilisateur est suffisamment confiance pour répondre.

Cette confiance est bien mal placée, car les adresses e-mail professionnelles, en particulier dans les plateformes cloud, sont faciles à usurper et n’offrent qu’un obstacle très limité. Toute personne recevant des dizaines d’e-mails par jour sait bien qu’elle ne jette à chacun qu’un coup d’œil rapide avant de décider d’y répondre ou non. Si aucun point de l’e-mail de contact initial ne sort de l’ordinaire, son destinataire y répondra.

C’est une victoire facile pour les hackers, car les victimes ne comprennent l’attaque que lorsqu’il est trop tard. Tant que les utilisateurs n’auront pas bénéficié d’une formation de sensibilisation pour mieux reconnaître les e-mails de contact initial, ils continueront d’y répondre et de faire courir un risque à leur organisation.
*Étude Vade sur le spear phishing, août 2019