OPSWAT Proactive DLP (Data Loss Prevention) est de détecter et de protéger les données sensibles et confidentielles contre les violations. Moyennant quelques modifications de la configuration, vous pouvez également tirer parti de la technologie OCR (reconnaissance optique de caractères) intégrée à Proactive DLP pour aider à détecter les contenus de phishing dans les images.
Qu'est-ce que l'hameçonnage ?
Le phishing est un acte de cybercriminalité dans lequel des acteurs de la menace se font passer pour une personne ou une organisation légitime afin d'"appâter" des victimes sensibles et les inciter à effectuer une action (par exemple, cliquer sur un lien, installer une pièce jointe malveillante ou accorder à des acteurs de la menace l'accès à votre ordinateur ou au réseau de votre organisation) afin de voler des informations sensibles.
Le courrier électronique est le canal le plus courant pour l'hameçonnage. Les cybercriminels envoient des messages frauduleux avec un langage séduisant pour gagner la confiance du destinataire et éventuellement l'inciter à prendre des mesures préjudiciables.
Hameçonnage à l'aide de macros dans Microsoft Office
La macro est l'un des vecteurs d'attaque les plus utilisés par les acteurs de la menace. Dans ce blog, nous avons expliqué comment les cybercriminels exploitent la macro Excel 4.0 pour stocker des logiciels malveillants cachés.
La chaîne d'attaque commence généralement par un courrier électronique. Tout d'abord, le pirate envoie un courriel trompeur censé provenir d'une source fiable. Ce courriel contient généralement une pièce jointe avec une macro malveillante intégrée. Lorsque la victime ouvre et active la macro, elle active immédiatement le téléchargement du logiciel malveillant et permet au processus d'infection de commencer.
Lorsque vous téléchargez un document Word (.doc) à partir d'Internet, il s'ouvre automatiquement en mode protégé. Ce mode isole les contenus web non fiables afin de limiter les risques d'ouvrir par inadvertance des logiciels malveillants, des logiciels espions ou tout autre code potentiellement dangereux.
L'affichage protégé vous permet de lire le fichier sans exécuter d'éventuels logiciels malveillants cachés. Si vous êtes certain que le fichier est sûr et que vous souhaitez y apporter des modifications, vous pouvez cliquer sur "Autoriser l'édition". Si le fichier contient des macros, une autre barrière de sécurité se présente. Microsoft Office vous demandera d'autoriser ou non le contenu interne via le bouton "Activer le contenu".
D'une part, les acteurs de la menace ont mis au point des technologies d'exploitation des macros qui permettent de contourner les défenses de sécurité, notamment le code obscurci, le piétinement ou les fichiers protégés par un mot de passe. D'autre part, ils ont dû accroître la crédulité de leurs cibles en faisant croire qu'il était essentiel de cliquer sur "Activer l'édition" et "Activer le contenu". Des messages tels que "Veuillez activer l'édition et le contenu pour voir ce document" peuvent permettre de mettre en œuvre ce stratagème avec succès.
Cette tactique d'ingénierie sociale est simple mais efficace pour la diffusion de logiciels malveillants et de charges utiles, à tel point qu'elle a été la méthode d'évasion des logiciels malveillants avancés pour l'écrasement de VBA ou la distribution principale d'Emotet, le logiciel malveillant le plus dangereux au monde.
Utilisation de la reconnaissance optique des caractères pour détecter les images d'hameçonnage
OPSWAT Proactive DLP prend en charge la ROC (reconnaissance optique de caractères), ce qui peut aider à bloquer les documents de phishing. La technologie combine l'OCR avec des expressions régulières (RegEx) et des mots-clés pour détecter les mots-clés de phishing dans les images.
L'OCR est une technologie courante utilisée pour reconnaître du texte dans des images. Elle examine et extrait les données de textes manuscrits ou imprimés - qu'il s'agisse d'un document scanné ou d'une image - puis convertit le texte dans un format lisible par une machine, qui peut ensuite être utilisé pour le traitement des données. Plus le système OCR est avancé, plus la précision de la reconnaissance est élevée.
Voici un exemple de la configuration de Proactive DLP dans OPSWAT MetaDefender Core . Dans la section "Vérifier les expressions régulières", vous pouvez utiliser le champ "RegEx" pour saisir des mots-clés de phishing potentiels et ajouter tout autre mot-clé pertinent (par exemple, "décrypter", "protégé") dans le champ "Mots-clés" pour réduire le nombre de faux positifs.
Si le fichier contient des mots-clés de phishing, il sera bloqué. Voici le résultat du test :
OPSWAT Proactive DLP
OPSWAT Proactive DLP détecte et supprime automatiquement les données sensibles et confidentielles dans les fichiers et les courriels, notamment les numéros de carte de crédit, les numéros de sécurité sociale, les adresses IPv4, le CIDR (Classless Inter-Domain Routing) ou toute expression régulière personnalisée. Grâce à l'intégration de l'OCR, Proactive DLP permet également de bloquer les documents de phishing et de signaler les informations personnelles identifiables (PII) dans les images et les fichiers PDF non consultables.
Notre technologie facilite également la conformité avec les réglementations en matière de protection des données et les exigences de sécurité standard de l'industrie telles que PCI, HIPAA, Gramm-Leach-Bliley, FINRA, etc. Proactive DLP est une technologie clé dans de nombreux produits OPSWAT : MetaDefender Core, MetaDefender ICAP Server, MetaDefender Email Security, MetaDefender Kiosket MetaDefender Managed File Transfer.
Pour en savoir plus sur Proactive DLP et sur la façon dont OPSWAT peut protéger votre organisation,contactez l'un de nos experts en cybersécurité des infrastructures critiques.
