Comment Barracuda détecte et bloque les attaques BEC (Business Email Compromise)

La compromission des courriels d’entreprise (BEC) est l’un des types de cybercriminalité les plus coûteux dans le monde d’aujourd’hui. Le FBI IC3 estime que les pertes mondiales dues aux attaques BEC dépasseront les 2,9 milliards de dollars en 2023 – et il ne s’agit là que des incidents signalés. Qu’est-ce qui rend les attaques BEC si dangereuses ? Ces attaques contournent les filtres anti-spam traditionnels parce qu’elles ne contiennent pas de liens malveillants ou de pièces jointes – il s’agit d’e-mails construits avec précision qui ressemblent à une correspondance légitime émanant d’une personne de confiance. Barracuda propose des mécanismes de détection BEC spécialisés qui s’attaquent à ce problème là où les défenses classiques échouent.

Table des matières

1. Qu’est-ce qu’une attaque BEC et pourquoi est-elle si difficile à détecter ?
2. À quoi ressemble une attaque BEC typique ?
3. Pourquoi les filtres anti-spam traditionnels ne détectent-ils pas les BEC ?
4. Comment Barracuda détecte-t-il les attaques BEC ?
5. Protection contre la prise de contrôle des comptes
6. Intelligence artificielle et analyse comportementale des courriels
7. Principales conclusions
8. FAQ
9. Résumé

Qu’est-ce qu’une attaque BEC et pourquoi est-elle si difficile à détecter ?

Le Business Email Compromise est une catégorie d’attaques dans laquelle un cybercriminel se fait passer pour une personne de confiance – le plus souvent un PDG, un directeur financier, un avocat de l’entreprise ou un fournisseur de confiance – afin d’amener un employé à effectuer un virement bancaire, à divulguer des informations confidentielles ou à réaliser une autre action financière ou informationnelle.

La difficulté de détecter les BEC est due à plusieurs facteurs. Tout d’abord, les attaques BEC sont très ciblées et personnalisées – les criminels étudient l’organisation, se renseignent sur sa structure, le style de communication de la direction et les projets en cours avant d’attaquer. Le message est rédigé de manière à ressembler à la correspondance naturelle d’une personne spécifique, plutôt qu’à un hameçonnage générique. Deuxièmement, les messages BEC ne contiennent généralement pas de liens malveillants ni de pièces jointes – il ne s’agit que de texte, ce qui fait que les filtres de signatures de logiciels malveillants et les scanners d’URL n’ont rien à « attraper ». Troisièmement, les messages sont souvent envoyés à partir de domaines légèrement modifiés (lookalike domains) ou par l’intermédiaire de comptes d’employés détournés, ce qui les rend crédibles pour le destinataire.

À quoi ressemble une attaque BEC typique ?

Une attaque BEC typique se déroule en plusieurs phases. La phase de reconnaissance : le criminel examine LinkedIn, le site web de l’entreprise, les médias sociaux, les documents publics, afin de recueillir des informations sur la structure de l’organisation, qui est le directeur financier, qui est responsable des transferts, quels sont les projets et les commandes en cours.

Phase de préparation : enregistrement d’un domaine similaire (par exemple, company-invoices.com au lieu de company.com), ou prise de contrôle du compte de messagerie d’un employé par hameçonnage, keylogger ou attaque par force brute sur un mot de passe faible.

Phase d’attaque : envoi d’un message prétendant être le PDG ou un fournisseur avec une demande urgente de transfert « en dehors de la procédure standard » (parce que nous avons un audit, parce que la transaction est confidentielle, parce que nous devons agir rapidement). La pression du temps et l’autorité sont des éléments clés de l’ingénierie sociale des BEC.

Phase d’exécution : l’employé effectue le transfert – et la découverte de la fraude intervient généralement quelques jours plus tard, lorsque la personne réelle s’enquiert d’une commande qu’elle n’a pas passée.

Pourquoi les filtres anti-spam traditionnels ne détectent-ils pas les BEC ?

Les filtres anti-spam classiques fonctionnent sur la base de signatures – modèles connus d’URL malveillants, hachages de fichiers malveillants, listes de réputation des adresses IP des spammeurs. Le BEC n’utilise aucun de ces éléments : le message provient d’une adresse malveillante inconnue mais non étiquetée, ne contient ni lien ni pièce jointe et son contenu est le seul indicateur de malveillance.

SPF, DKIM et DMARC – mécanismes standard d’authentification du courrier électronique – protègent contre l’usurpation de l’identité du domaine de l’entreprise par des expéditeurs externes, mais ne sont d’aucune utilité lorsque l’attaque provient d’un domaine « lookalike » (un domaine différent, mais qui semble similaire) ou lorsque le compte d’un employé a été pris en charge.

Comment Barracuda détecte-t-il les attaques BEC ?

Barracuda Email Protection offre un mécanisme de détection BEC multicouche basé sur l’intelligence artificielle et l’analyse comportementale. Un élément clé est Barracuda Sentinel, un moteur d’intelligence artificielle qui apprend les modèles de communication normaux d’une organisation.

Sentinel analyse des centaines de milliers de messages électroniques au sein d’une organisation, en construisant des modèles de comportement pour chaque employé : avec qui il correspond habituellement, à quelle heure, avec quel style, à partir de quels appareils. Lorsqu’un message s’écarte de ces modèles, même s’il provient d’une adresse valide, le système génère une alerte ou bloque le message.

Barracuda compare le domaine de l’expéditeur avec ceux de partenaires de confiance et de l’organisation interne, en identifiant les domaines similaires mais différents (par exemple barracuda.com vs. barracuda-support.com). L’inspection des en-têtes détecte les divergences entre « From » (l’expéditeur affiché) et « Reply-To » (l’adresse de réponse réelle) – une astuce classique de BEC.

L’intégration avec des solutions de sécurité web crée une protection multicouche contre les attaques d’ingénierie sociale.

Protection contre la prise de contrôle des comptes

De nombreuses attaques BEC utilisent des comptes d’employés détournés, ce qui les rend extrêmement difficiles à détecter car le message provient d’un compte d’entreprise légitime. Barracuda Sentinel détecte les comptes détournés grâce à une analyse comportementale : connexions soudaines à partir de nouveaux emplacements géographiques, modification du modèle d’envoi, envoi d’un grand nombre de messages à des destinataires externes, modification des règles de transfert des courriels.

Lorsque le système détecte un compte potentiellement détourné, il envoie une alerte à l’administrateur et peut automatiquement déconnecter la session et exiger une nouvelle authentification de la part du MFA. L’analyse rétrospective permet également d’identifier les messages envoyés depuis le compte pendant une période où il a pu être contrôlé par un attaquant.

Intelligence artificielle et analyse comportementale des courriels

Barracuda Sentinel forme des modèles d’IA sur les données de communication réelles de l’organisation – et non sur des modèles génériques de phishing. C’est la différence qui compte : Le PDG d’une entreprise écrit différemment de celui d’une autre entreprise, correspond avec des personnes différentes et à des moments différents. Un modèle « adapté » à une organisation spécifique est beaucoup plus efficace que des règles générales.

Le moteur analyse : le contenu du message (style, vocabulaire, longueur des phrases), l’objet du message, la relation entre l’expéditeur et le destinataire, l’heure d’envoi, le modèle des titres, l’historique de la correspondance entre des personnes spécifiques. Le résultat de l’analyse est une évaluation du risque, sur la base de laquelle le système prend une décision : délivrer, mettre en quarantaine, bloquer ou ajouter une bannière d’avertissement pour le destinataire.

Principales conclusions

• Le BEC est le type de cybercriminalité le plus coûteux, car il contourne les filtres traditionnels par l’absence de liens et de pièces jointes.
• Barracuda Sentinel détecte les BEC grâce à l’IA et à l’analyse comportementale spécifique à l’organisation, et non grâce à des signatures génériques.
• La détection des sosies de domaines et l’inspection des en-têtes permettent de lutter contre les techniques d’usurpation d’identité les plus courantes.
• La protection contre la prise de contrôle des comptes détecte les anomalies comportementales qui indiquent la compromission d’un compte.
• Les modèles d’IA formés sur les communications réelles d’une organisation sont plus performants que les règles génériques.

FAQ

Barracuda Email Protection fonctionne-t-il avec Microsoft 365 et Google Workspace ? Oui – Barracuda s’intègre nativement à Microsoft 365 et Google Workspace via des API, complétant la protection native des emails de ces plateformes avec la détection des BEC et l’analyse comportementale avancée.

Combien de temps faut-il pour « enseigner » le modèle comportemental Sentinel ? Sentinel a généralement besoin de 2 à 4 semaines d’historique de communication pour construire un modèle comportemental fiable. Pendant cette période, il fonctionne en mode de surveillance non bloquant.

Barracuda peut-il avertir automatiquement les utilisateurs des messages suspects ? Oui – Barracuda peut insérer automatiquement des bannières d’avertissement dans les messages suspects, informant le destinataire que le message provient d’une adresse externe ou que des anomalies ont été détectées.

Comment Barracuda signale-t-il les incidents BEC à l’équipe de sécurité ? Barracuda propose un tableau de bord des incidents avec catégorisation des menaces, historique des incidents et exportation vers SIEM. Les alertes peuvent être envoyées par courriel ou par webhook aux systèmes de billetterie.

Résumé

Les attaques BEC sont précises, personnalisées et de plus en plus coûteuses pour les victimes. La protection traditionnelle des emails ne les détecte tout simplement pas car elle fonctionne sur la base de signatures que les BEC n’ont pas. Barracuda Sentinel et la protection multicouche des emails de Barracuda répondent à ce problème grâce à l’IA et à l’analyse comportementale adaptée aux spécificités de l’organisation. Contactez Ramsdata pour découvrir comment Barracuda peut protéger votre organisation contre les attaques BEC et autres menaces par email.