Email Threat Review Décembre 2021
Sommaire
Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en décembre 2021 et les comparons aux menaces du mois précédent.
Le rapport fournit des informations sur :
- Courriels indésirables par catégorie
- Types de fichiers utilisés dans les attaques
- Indice des menaces par courriel de l’industrie
- Techniques d’attaque
- Marques et organisations usurpées
Courriels indésirables par catégorie
Le tableau suivant montre la répartition des courriels indésirables par catégorie.
| Catégorie de courriel | % |
| Rejeté | 80.70 |
| Pourriel | 14.27 |
| Menace | 4.15 |
| AdvThreat | 0.84 |
| Contenu | 0.04 |
L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.
Les lecteurs de nos rapports précédents ont probablement déjà deviné que la flambée de courriels rejetés au début du mois de décembre peut être attribuée à une campagne mensuelle à grande échelle d’arnaques de sextorsion ciblant les victimes germanophones.
Méthodologie
Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont :
| Catégorie | Description |
| Pourriel | Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires. |
| Contenu | Ces courriels contiennent une pièce jointe non autorisée. Les administrateurs définissent dans le module de contrôle de contenu (Content Control) les types de pièces jointes qui ne sont pasautorisées. |
| Menace | Ces courriels contiennent du contenu nuisible, comme des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des actes délictuels comme l’hameçonnage. |
| AdvThreat | La solution de protection avancée contre les menaces (Advanced Threat Protection) a détecté une menace dans ces courriels. Les courriels sont utilisés à des fins illégales et nécessitent des moyens techniques sophistiqués qui ne peuvent être contournés qu’en utilisant des procédures dynamiques avancées. |
| Rejeté | Notre serveur de courriel rejette ces courriels directement pendant le dialogue SMTP en raison de caractéristiques externes, comme l’identité de l’expéditeur, et les courriels ne sont pas analysés en profondeur. |
Types de fichiers utilisés dans les attaques
Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.
| Type de fichier (utilisé dans les courriels malveillants) | % |
| Archive | 28.8 |
| HTML | 22.8 |
| 18.5 | |
| Excel | 11.8 |
| Fichiers d’images de disque | 4.8 |
| Autres | 4.4 |
| Exécutable | 4.4 |
| Word | 3.6 |
| Courriel | 0.7 |
| Fichier script | 0.2 |
La répartition des types de fichiers dans les attaques utilisant des pièces jointes est pratiquement la même que les mois précédents.
Indice des menaces par courriel de l’industrie
Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).
| Industries | Part des menaces dans les courriels de menace et légitimes |
| Fabrication | 4.8 |
| Media | 4.6 |
| Éducation | 4.3 |
| Recherche | 4.1 |
| Mines et carrières | 4.1 |
| Santé | 4.0 |
| Agriculture | 3.9 |
| Automobile | 3.9 |
| Hôtellerie et hébergement | 3.7 |
| Divertisseemnt | 3.5 |
Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.
L’indice de menace de l’industrie de la recherche est passé de 6,0 à 4,1. De plus, l’industrie hôtelière a fait partie du top 10. Cela est probablement dû au ciblage des criminels qui savent que d’autres industries auront réduit le trafic de messagerie en raison des vacances, ce qui rendra plus difficile la pénétration des courriels menaçants, tandis que l’industrie hôtelière (hôtels , restaurants, etc.) a augmenté son activité pendant les vacances.
Méthodologie
Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.
Techniques d’attaque
Le tableau suivant montre les techniques utilisées dans les attaques.
| Technique d’attaque | % |
| Phishing | 49.2 |
| Autres | 31.4 |
| URL | 7.3 |
| Extorsion | 3.3 |
| Usurpation d’identité | 3.0 |
| Arnaque des frais à l‘avance | 2.5 |
| Exécutable dans une archive/image disque | 2.5 |
| Maldoc | 0.8 |
| LNK | 0.0 |
L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.
Marques et organisations usurpées
Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.
| Marque ou organisation usurpée | % |
| Sparkasse | 50.1 |
| Volks- und Raiffeisenbank | 24.0 |
| Amazon | 5.2 |
| Postbank | 4.2 |
| Other | 3.8 |
| Deutsche Post / DHL | 3.6 |
| PayPal | 1.5 |
| DocuSign | 1.0 |
| 0.9 | |
| Microsoft | 0.8 |
| 1&1 | 0.7 |
L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.
Le 2021-12-05, la longue campagne de phishing à grande échelle contre les deux associations bancaires allemandes, Sparkasse et Volks- und Raiffeisenbanken, visait également la Postbank allemande. Les courriels utilisent le même leurre que les campagnes dont nous avons précédemment parlé. L’utilisateur est informé d’un prétendu changement au niveau de la banque concernant la directive European Payment Services Directive 2 (PSD2). L’utilisateur est prié d’examiner et de confirmer les modifications apportées à ses données.
Campagne de Noël Emotet
Emotet est connu pour envoyer des campagnes pour des événements saisonniers spécifiques. Nous avons souligné la campagne Halloween d’Emotet. Emotet a également envoyé des courriels de menace ce Noël.
The emails were very primitive and only featured one link.
Comme d’habitude, le lien dans le courriel télécharge un document Office dont le code de macro malveillant télécharge et exécute le logiciel malveillant Emotet.
