AI Hacking - Comment les pirates utilisent l'intelligence artificielle dans les cyberattaques

Lire la suite
Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/ Blog / L'hameçonnage à la vue de tous : Pourquoi l'authentification des...
Analyse des logiciels malveillants

L'hameçonnage au vu et au su de tous : Pourquoi l'authentification des courriels ne suffit plus

par OPSWAT
Partager cet article

En 2025, les cybercriminels ne se contentent pas de contourner les défenses traditionnelles, ils les transforment en armes. 

Une nouvelle vague d'attaques par hameçonnage utilise des services de confiance tels que Google pour échapper aux boîtes de réception les plus sensibles à la sécurité. Ces messages passent souvent les contrôles SPF, DKIM et DMARC. Ils proviennent de domaines légitimes. Ils portent cette rassurante coche verte dans l'espace de travail de Google. Et pourtant, ils sont malveillants. 

Le problème ? L'authentification par courrier électronique n'inspecte pas le comportement.

Couche de sécuritéCatégorieObjectifCe qu'il protège
SPF (Sender Policy Framework)AuthentificationValidation de l'IP du serveur d'envoiEmpêche l'usurpation d'identité des serveurs d'envoi
DKIM (DomainKeys Identified Mail)AuthentificationGarantir l'intégrité des messagesProtège le message contre la falsification
DMARC (application de la politique)AuthentificationAlignement du SPF/DKIM sur l'expéditeur visibleEmpêche l'utilisation non autorisée du domaine From :.
Protection contre l'usurpation de marqueConfiance zéro/Confiance de contenuDétecte l'usurpation d'identité des marques, et pas seulement des domainesEmpêche l'hameçonnage visuel grâce à une conception trompeuse
Analyse des URL et des pagesConfiance zéro/comportementAnalyse les liens intégrés et les pages d'atterrissageDétecte les pièges d'hameçonnage et d'identification
Sandbox et émulation de comportementMetaDefender Sandbox)Confiance zéro/comportementObserver le comportement dynamique des liens, des fichiers et des formulairesDétecte les intentions, les logiciels malveillants, les IOC, même dans les domaines de confiance

Pour rester dans la course, les équipes de sécurité des entreprises ont besoin de plus que des signaux basés sur la confiance. Elles ont besoin d'une détection basée sur le comportement. Et c'est là qu'intervient OPSWAT MetaDefender Sandbox d'OPSWAT.

Signé, scellé et compromis : La faille de relecture de la DKIM 

L'une des tactiques émergentes est l'attaque DKIM par relecture, qui consiste pour un pirate à réutiliser un en-tête de courrier électronique légitimement signé en y ajoutant un contenu malveillant au-delà de la partie signée. 

Voici comment cela fonctionne :

  • DKIM utilise une signature pour vérifier qu'une partie du message n'a pas été modifiée. 
  • Mais si la balise l= (longueur) est utilisée, seule une partie du message est signée. 
  • Un pirate peut insérer un contenu malveillant après cette partie signée, ce qui laisse la vérification DKIM totalement intacte. 
  • DMARC passe, car il dépend de SPF ou DKIM pour valider la source. 

Le résultat ? Un message parfaitement authentifié qui délivre un contenu de phishing.

OAuth Phishing Abuse : Détourner la confiance de l'intérieur Google Alerts 

Une autre tendance inquiétante est l'utilisation abusive de l'infrastructure OAuth de Google. 

Les attaquants sont :

  • Création de fausses applications OAuth nommées "Google Security Update" ou "Account Review Required". 
  • Envoi d'alertes de sécurité signées Google pour informer les utilisateurs de l'existence de ces applications 
  • Intégrer des liens d'hameçonnage dans ces alertes, soutenues par les domaines légitimes de non-réponse de Google 

L'ensemble du leurre d'hameçonnage se présente sous la forme d'une marque Google, utilisant des alertes en filigrane et la réputation du domaine pour désarmer les utilisateurs. Il ne s'agit pas d'une usurpation d'identité, mais d'un site hébergé par Google.

La coche verte ne suffit pas 

Il s'agit d'un faux sentiment de sécurité. Un message qui passe SPF, DKIM et DMARC peut quand même.. :

  • Contient des pages de collecte de données d'identification 
  • Utiliser des astuces d'interface utilisateur pour masquer les champs de connexion 
  • Exploiter les espaces blancs pour retarder les charges utiles malveillantes 
  • héberger de fausses pages de connexion Microsoft ou Google sur une infrastructure légitime (par exemple, sites.google.com)

L'authentification des courriers électroniques ne valide que l ' origine du message, et non son contenu.

MetaDefender Sandbox: Une couche de défense critique pour le comportement des emails 

LeSandbox MetaDefender d'OPSWAT ajoute une visibilité critique. Plutôt que de s'appuyer sur les signatures ou la validation de l'expéditeur, le bac à sable émule le comportement du courrier électronique :

  • Inspection dynamique des liens - suit les liens intégrés dans un environnement sécurisé afin d'évaluer le comportement de la page en temps réel. 
  • Analyse de l'interface utilisateur et de la présentation - Identifie les faux écrans de connexion, les champs cachés et les pièges à informations d'identification. 
  • Détection des flux de phishing - Détecte les redirections, les soumissions de formulaires et les points d'extrémité contrôlés par les attaquants.

Parce qu'il ne fait pas confiance au courrier électronique par défaut, MetaDefender Sandbox détecte ce que les solutions basées sur l'authentification ne détectent pas. Même les emails signés, authentifiés et "vérifiés" peuvent être utilisés comme arme. MetaDefender révèle l'intention réelle.

Diagramme illustrant les couches d'authentification du courrier électronique, les tactiques de phishing et le flux de détection de MetaDefender Sandbox .

Ce que les entreprises doivent faire maintenant

Le phishing évolue. Vos défenses doivent l'être aussi. Voici comment prendre de l'avance :

  1. Adoptez la Email Security "Zero Trust" - Ne vous fiez pas uniquement aux en-têtes et aux métadonnées. Inspectez le contenu et le comportement des courriels. 
  2. Ajout d'un sandboxing basé sur le comportement - Améliorez votre pile de détection avec une analyse dynamique des liens, des formulaires et des charges utiles. 
  3. Secure alertes et les courriels du système - OAuth et l'abus de domaine font que même les courriels d'alerte sont un vecteur de menace potentiel.

Inspecter ce que l'authentification seule ne peut pas voir 

Découvrez comment OPSWAT MetaDefender Sandbox détecte le phishing avancé, même à partir de sources "fiables" comme les alertes Google. Parlez à un expert dès aujourd'hui et découvrez comment vous pouvez placer notre bac à sable avancé en première ligne de votre stratégie de sécurité des emails.

Parler à un expert
Tags :

Derniers messages

S'inscrire à la lettre d'information OPSWAT

Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT les nouvelles qui font avancer l'industrie.
Signez-moi

Suivez-nous sur les réseaux sociaux Media

Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !

Restez à jour avec OPSWAT!

Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise, de l'entreprise, des histoires, des informations sur les événements, et plus encore.
S'abonner