Triage : décider quand enquêter

Cas d’utilisation

Lorsque vous recevez un message suspect, effectuez un triage initial afin de déterminer s’il est effectivement malveillant, de déterminer la meilleure réponse rapide pour le ou les destinataires ciblés, le cas échéant, et de déterminer si une enquête plus approfondie est nécessaire. Pour la plupart des messages, il suffit de mener des heuristiques de base pour séparer les menaces non ciblées des menaces ciblées et identifier les actions de réduction des risques.

Objectifs

Au terme de ce sous-thème, le participant devrait être en mesure de faire la distinction entre les e-mails légitimes, les courriers indésirables non ciblés ou les e-mails d’hameçonnage, et les e-mails ciblés en fonction de plusieurs indicateurs heuristiques.

Connaissances de base

Le participant devrait être en mesure de reconnaître les techniques des e-mails d’hameçonnage courantes et les objectifs des cybercriminels. Il devrait être en mesure de repérer les signes révélateurs courants d’un message d’hameçonnage. Si vous avez besoin de vous rafraîchir la mémoire sur ce sujet, consultez le questionnaire sur l’hameçonnage de Jigsaw.

Les approches peu techniques pour déterminer si un message a été envoyé par une personne que vous connaissez sont souvent le moyen le plus simple et le plus rapide de déterminer si le message en question est authentique. Un bon exemple d’une telle approche low tech est le suivi avec l’expéditeur d’un e-mail potentiellement suspect (en supposant que vous le connaissez) sur un autre support de communication comme une messagerie instantanée pour vous assurer que c’est bien cette personne qui a envoyé l’e-mail et que celui-ci est légitime.

Consultez également ces deux articles contenant des exemples de tactiques et de techniques trompeuses couramment utilisées dans les messages d’hameçonnage : 6 attaques d’hameçonnage courantes et 5 techniques d’hameçonnage courantes (vadesecure.com).

Critères pratiques de triage

Le spam et les messages d’hameçonnage non ciblés sont une triste réalité sur Internet. Enquêter sur les messages et les infrastructures malveillantes associées n’est qu’un exercice pratique et utile dans un petit nombre de cas. Tenez compte des critères suivants pour décider s’il vaut la peine d’examiner le message et l’infrastructure connexe :

• Ciblage : le message a-t-il été personnalisé (affichage de l’ingénierie sociale et de la connaissance préalable de l’identité de la personne ciblée) pour augmenter la probabilité qu’elle effectue l’action prévue (par exemple, cliquer sur un lien, télécharger une pièce jointe malveillante)?
• Menace : quel est l’objectif visé par le message ou la campagne? Quel est le contexte de risque/menace de la personne, de l’organisation ou de la collectivité ciblée?
• Valeur de l’intervention : quel est l’intérêt d’enquêter et d’intervenir davantage? L’interruption de l’infrastructure des cybercriminels aurait-elle une incidence valable sur l’endiguement des attaques actuelles ou futures? Quelle est la probabilité que la même infrastructure malveillante soit réutilisée? L’exposition/attribution publique la rendrait-elle moins susceptible de mener d’autres attaques? L’exposition publique contribuerait-elle à alerter d’autres cibles qui pourraient être compromises?
• Investissement : de combien de temps et de ressources un cybercriminel a-t-il besoin pour créer ce message? Ont-ils par exemple créé de nouveaux domaines et de nouvelles infrastructures?
• Unicité : le message est-il unique? Le même texte peut-il être trouvé en recherchant des citations du message sur les moteurs de recherche?

Une règle générale veut que seuls les messages ciblés valent généralement la peine d’être étudiés. De nombreux e-mails de spam ou d’hameçonnage s’avèrent de mauvaise qualité ou envoyés en masse. Ceux-ci sont généralement envoyés par des cybercriminels qui pourraient avoir des motifs financiers, mais qui n’ont pas ciblé l’organisation spécifiquement en raison de son travail en matière de droits de la personne ou de société civile. Ils sont donc moins susceptibles d’attaquer les ONG à l’avenir, et un compte rendu de leurs activités serait moins bénéfique pour la communauté.

Les cybercriminels qui utilisent des messages de moindre qualité ou envoyés en masse sont également susceptibles d’être attrapés par des tests et des règles automatisés, et de changer simplement de messagerie, contrairement à ceux qui poursuivent des attaques ciblées nécessitant un investissement beaucoup plus important. Les cybercriminels qui envoient des messages ciblés ont souvent des motivations (géo)politiques et peuvent utiliser l’hameçonnage dans le cadre d’une campagne hybride plus large, qui pourrait également s’adresser à d’autres ONG. Enquêter sur les messages ciblés peut donc souvent contribuer à découvrir de telles campagnes.

⚠️ N’oubliez pas que si vous avez besoin d’une aide supplémentaire et que vous ne vous sentez pas en mesure de répondre au niveau de risque ou aux besoins d’analyse d’un message malveillant, contactez les membres de CiviCERT ou les fournisseurs d’assistance énumérés dans la trousse à outils numériques.

⚠️ Lorsque vous envisagez ou menez une enquête, assurez-vous de trouver un équilibre entre les besoins en matière de réduction des dommages et de soutenir tout objectif visant à mettre en œuvre des mesures de réduction des dommages en temps opportun, comme celles énumérées dans la section Récupérer un compte éventuelle possiblement compromis (securityinabox.org).

Contrôle de compétence

Passez du temps sur le questionnaire d’hameçonnage de Shira jusqu’à ce que vous ayez l’impression de pouvoir réussir les tests et de reconnaître avec précision l’hameçonnage dans plusieurs catégories d’applications. \

Discutez des deux situations suivantes avec un pair ou un mentor :

• Un utilisateur reçoit un e-mail suspect qui s’adresse à lui par son nom complet et fait référence à une boutique en ligne qu’il visite parfois pour effectuer des achats. Demandez à votre pair ou mentor pourquoi il ne s’agit peut-être pas d’un e-mail ciblé.
• Réponse possible : la base de données des clients de cette boutique a pu être piratée, ce qui aurait permis aux cybercriminels d’envoyer des e-mails « personnalisés » à tous les clients.
• Un utilisateur reçoit un e-mail et vous concluez que l’expéditeur est un acteur malveillant connu qui peut avoir une raison de le cibler. Cependant, l’e-mail ne contient pas de lien ou de pièce jointe. Discutez-en avec votre pair ou mentor et donnez deux raisons pour lesquelles cela pourrait être le cas.
  • Réponses possibles : l’expéditeur peut avoir fait une erreur. Ou l’expéditeur peut attendre que le destinataire envoie une réponse et seulement ensuite envoyer un fichier malveillant ou un lien, après qu’une relation de confiance a été construite. (Ce scénario peut se produire.)

Ressources d’apprentissage