Neutralisation du bombardement électronique : explication de l’attaque et des moyens de s’en protéger

Imaginez que vous vous réveillez avec des milliers d’emails qui inondent votre boîte de réception, des abonnements auxquels vous n’avez jamais souscrits, des notifications aléatoires et des emails indésirables qui s’accumulent plus vite que vous ne pouvez les supprimer. Il s’agit d’une attaque calculée et perturbatrice, appelée « bombardement électronique » (mail bombing), conçue pour éclipser les emails qui comptent vraiment pour vous et votre entreprise. En novembre 2024, nous avons observé des attaques de bombardement électronique dans le cadre des opérations du ransomware Black Basta, où les attaquants combinent l’avalanche d’emails avec l’ingénierie sociale basée sur Microsoft Teams, amenant la cible à accepter de fausses demandes informatiques et à accorder l’accès via des outils de surveillance et de gestion à distance (RMM). 

Cet article explique comment fonctionne le bombardement électronique, pourquoi il est plus qu’une simple nuisance et comment vous pouvez défendre votre boîte de réception contre cette tactique sournoise. 

Qu’est-ce que le bombardement électronique et pourquoi est-il important ? 

Le bombardement électronique, également connu sous le nom d’inondation de mails ou de bombardement d’emails est un type d’attaque par déni de service (DoS) qui submerge une adresse ou un serveur de messagerie en l’inondant de centaines ou de milliers de messages. Un acteur unique ou un groupe peut mener cette attaque à l’aide d’un réseau de “zombies”. L’objectif final pour l’attaquant est de rendre la boîte de réception électronique de la victime pratiquement inutilisable, en dissimulant sous un déluge de spam ou de courrier indésirable des emails authentiques, tels que des réinitialisations de comptes et de mots de passe, des informations sensibles sur une transaction financière ou des confirmations de commandes en ligne. 

Ce type de vecteur d’attaque exploité par les acteurs de la menace consiste à utiliser des vulnérabilités telles que l’absence de limites de débit sur les serveurs d’emails ou les applications web pour cibler une fonctionnalité d’abonnement qui envoie des emails de confirmation sans limites de débit robustes du côté du serveur ou sans captchas du côté du client. Si le système se contente de vérifier si un email est déjà souscrit avant d’envoyer un message « abonnement réussi », les attaquants peuvent automatiser le processus pour inonder la boîte de réception de la victime de milliers d’emails, provoquant ainsi des perturbations importantes. Les services d’abonnement à des newsletters par email qui n’utilisent pas d’email de vérification pour s’assurer que vous avez vraiment voulu vous inscrire constituent une autre variante de ces attaques, bien que cet email de vérification fasse souvent partie de l’attaque. 

La motivation et le type d’attaques

Cette tactique est principalement utilisée comme un leurre, pour masquer un email déjà compromis afin de mener des activités encore plus malveillantes pour poursuivre des objectifs. Le but de l’attaque par abonnement, qui provoque un déni de service, est de dissimuler les traces du mouvement latéral de l’acteur de la menace pour faciliter l’accès ou le déploiement vers l’infrastructure de l’entreprise, limitant ainsi les chances de détection par l’équipe de sécurité. J’expliquerai brièvement comment ces attaques se déroulent et quelles sont les méthodes utilisées : 

• L’attaque basée sur l’abonnement est souvent utilisée comme une distraction pour noyer des emails importants, tels que des emails de transaction légitimes, dans des tas d’emails de confirmation d’abonnement. Ainsi, la victime pourrait perdre des informations et des emails importants, si elle tente d’effectuer une suppression massive pour se débarrasser de cette attaque par bombardement spécifique, sans en avoir conscience. Par exemple, si un attaquant s’est emparé du compte Payoneer d’une victime et a effectué une transaction frauduleuse, la victime recevra généralement un email de confirmation de Payoneer contenant des informations détaillées sur la transaction. Dans ce cas, la victime peut facilement alerter l’équipe d’assistance de Payoneer et refuser la transaction. Toutefois, si l’attaquant masque cette transaction par une attaque par bombardement d’abonnement, l’adresse électronique de la victime sera inondée d’un grand nombre (normalement des centaines, voire des milliers) d’emails non sollicités et l’email relatif à la transaction frauduleuse sera noyé dans une pile désorganisée, qui durera probablement plusieurs heures ou plusieurs jours. Ce désordre créé par les attaquants entrave la recherche de la transaction (si elle est détectée par l’utilisateur final ou l’équipe de sécurité) qui, à ce moment-là, pourrait être trop tardive, et l’acteur de la menace aurait atteint son objectif final, soit en se déplaçant latéralement, soit en obtenant des informations encore plus sensibles, en utilisant le déluge d’emails comme écran de fumée. 
• L’attaque par déni de service (DoS) a la même finalité mais utilise une approche légèrement différente. Comme mentionné précédemment, des attaques de ce type pourraient être exploitées si le serveur de messagerie n’a pas de règles de limitation de débit, ouvrant potentiellement un vecteur d’attaque pour le déni de service, inondant le serveur avec des milliers d’emails en peu de temps, le rendant inutilisable, ce qui empêchera les emails critiques d’être reçus dans votre entreprise, ce qui aura un impact énorme sur la continuité des affaires et les opérations de service.

En plus de ce qui précède, une attaque DoS sur le serveur d’emails pourrait être une attaque menée pour masquer une autre cyberattaque en cours, comme par exemple : 

• L’exfiltration de données : pendant que l’équipe de sécurité s’efforce d’atténuer la surcharge d’emails, les acteurs de la menace pourraient exploiter des vulnérabilités ailleurs, exfiltrer des données, déployer des ransomwares ou compromettre davantage l’infrastructure. 
• Tester le positionnement en matière de sécurité de l’organisation, en surchargeant le serveur, pourrait potentiellement révéler des configurations manquantes (ou inexistantes) afin que les auteurs de l’attaque puissent ensuite concevoir une attaque encore plus efficace. 
• L’extorsion est un cas d’utilisation courant des attaques par déni de service sur le serveur d’emails car de nombreuses entreprises risquent de perdre des clients potentiels et de nuire à leur réputation si leur service de messagerie ne fonctionne pas comme prévu pendant une période prolongée, les attaquants demandant une rançon pour la disponibilité du service. 
• Une autre tactique courante consiste à utiliser la boîte de réception submergée pour attirer l’aide de l’« assistance informatique ». Alors que l’utilisateur final regarde sa boîte de réception avec incrédulité, un informaticien serviable (les attaquants, à l’origine de la deuxième partie de leur attaque) apparaît sur Teams, via un appel téléphonique ou un autre canal et explique qu’il a remarqué le problème et que si l’utilisateur pouvait simplement installer cet outil pratique d’accès à distance, il résoudrait le problème pour vous. Nous avons vu cette tactique utilisée par le gang du ransomware Black Basta, mais d’autres suivront certainement.

Comment se défendre contre les attaques de bombardement électronique 

Une défense en profondeur doit être mise en place. Aucune stratégie unique n’est efficace pour protéger vos actifs, ce qui signifie que l’utilisation de techniques de détection multicouches et d’approches d’apprentissage automatique puissantes constitue un moyen solide de prévenir et de contribuer à la lutte contre les attaques par emails. Une méthode efficace consiste à classer les emails dans des groupes tels que le spam et le courrier en vrac, tout en ajoutant des filtres pour les emails nuisibles tels que les logiciels malveillants, le BEC (Business Email Compromise) et l’hameçonnage. Ces filtres garantissent la mise en quarantaine des emails malveillants avant même qu’ils n’atteignent la boîte de réception de l’utilisateur. Ces filtres fonctionnent également au niveau de l’utilisateur car ils l’aident à comprendre le danger. Et lorsque les utilisateurs comprennent les risques, ils sont moins susceptibles d’être victimes de tentatives malveillantes. 

Le fait de disposer d’une solution de suivi dotée de solides capacités de recherche et d’un contrôle étendu du flux d’emails, avec détection des menaces en temps réel et balises d’avertissement pour les emails, accroît la sensibilisation des utilisateurs, facilitant ainsi la mise en place d’un pare-feu humain indispensable à la prise de décisions plus sûres. 

Nous examinerons ci-dessous le système intelligent de détection et de protection de Hornetsecurity qui, sans aucun doute, renforcera l’identification et la prévention des attaques par bombardement électronique. 

L’identification des schémas de notification 

La protection contre les spams et les logiciels malveillants d’Hornetsecurity protège contre les attaques DOS à grande échelle et les attaques ciblées par bombardement électronique. Le système détecte automatiquement divers types d’emails de notification, tels que les abonnements à des newsletters, les enregistrements de comptes, les réinitialisations de mots de passe et les alertes de sécurité. En outre, il surveille la fréquence de ces emails et active la protection si nécessaire. Une fois activé, le système met automatiquement en quarantaine les emails qui correspondent au schéma d’attaque. 

La surveillance des attaques de bombardement électronique grâce à l’Email Live Tracking 

Si votre système devient soudainement paresseux (les emails sont lents ou ne semblent pas être envoyés ou reçus), la raison peut être que votre expéditeur essaie de traiter un grand nombre de messages. Cette attaque peut être stoppée en surveillant votre serveur d’emails à l’aide du module Email Live Tracking de Hornetsecurity, qui offre aux utilisateurs et aux administrateurs une visibilité complète et en temps réel du trafic d’emails. Les utilisateurs peuvent surveiller leurs propres emails entrants et sortants, y compris ceux provenant d’adresses alias. Cela permet aux administrateurs d’obtenir un contrôle supplémentaire, en visualisant le trafic sur des domaines entiers ou des clients, en ajustant leur possibilité d’action dans le panneau de contrôle. 

En outre, les administrateurs peuvent rapidement filtrer ou rechercher les emails marqués par « Mail Bombing » afin de les examiner ou de prendre des mesures. 

Le marquage et l’identification 

• Type d’email : les emails mis en quarantaine sont classés dans la catégorie des spams. 
• Le motif : chaque email est signalé par le motif spécifique « Mail Bombing ». 

Cette approche de l’étiquetage contribue à rationaliser la gestion et permet de rétablir rapidement les communications légitimes si l’email faussement positif est mis en quarantaine. 

Ce module s’intègre également aux services d’archivage, offrant un accès à l’historique des emails. Avec des vues personnalisables, un filtrage avancé et des options d’exportation, Email Live Tracking assure une gestion efficace des emails et une flexibilité permettant de détecter les comportements anormaux. Les auditeurs externes peuvent accéder au trafic des emails à des fins de conformité, ce qui améliore la surveillance tout en préservant la confidentialité des données pour les emails privés marqués.

Les stratégies d’atténuation par le biais de listes d’autorisations 

Outre la surveillance, une stratégie défensive proactive efficace consiste à gérer les autorisations d’emails au moyen de listes d’autorisation. L’objectif du module Deny & Allow Lists est de gérer efficacement le filtrage des emails. Chaque utilisateur peut ainsi créer des listes personnalisées tandis que les administrateurs peuvent superviser des listes individuelles et des listes au niveau du domaine. Les listes de refus signalent des emails spécifiques comme étant des spams et les redirigent vers la quarantaine tandis que les listes d’autorisation garantissent que les emails fiables passent les filtres anti-spam. Au niveau du domaine, les administrateurs peuvent personnaliser les règles de contournement des filtres. 

Fonctionnalités clés 

• Le contrôle personnel et le contrôle du domaine : les utilisateurs gèrent des listes individuelles tandis que les administrateurs contrôlent les paramètres de l’ensemble du domaine. 
• Des filtres configurables : les listes d’autorisation peuvent contourner les filtres anti-spam et autres filtres au niveau du domaine. 
• Une gestion facile : importez/exportez des listes d’emails avec des valeurs séparées par des virgules (CSV) pour des mises à jour massives. 

Les modules présentés ci-dessus peuvent grandement aider les organisations dans le mécanisme de prévention car ils permettent une gestion efficace des filtres anti-spam et fournissent une surveillance proactive en temps réel. Cette approche constitue une forme puissante de renforcement contre la menace croissante des attaques par déni de service (DoS), qui augmentent à un taux de croissance annuel composé (TCAC) de 14 % par an. 

---

Protégez votre email contre le bombardement électronique avec Hornetsecurity

Ne laissez pas les attaques de bombardement électronique perturber vos opérations commerciales. Avec le système de protection contre les spams et les logiciels malveillants d’ Hornetsecurity, vous pouvez maintenir la continuité des emails et sécuriser efficacement votre boîte de réception. 

Demandez une démonstration dès aujourd’hui pour découvrir comment Hornetsecurity peut améliorer la sécurité des emails de votre organisation. 

---

Conclusion 

En gardant ces informations à l’esprit, nous pouvons avoir une chance d’échapper au cycle sans fin des méthodes, techniques et tactiques employées par les acteurs de la menace. L’email étant la ressource clé et le moyen de communication entre les entreprises et les clients, il est souvent ciblé et exploité car les humains sont et seront la cible principale des escrocs, ce qui est triste mais vrai. Nous pouvons soit fermer les yeux et espérer le meilleur, soit être proactifs et renforcer notre infrastructure en employant des techniques et des outils préventifs afin de nous défendre contre ce type d’attaque par bombardement électronique !