Email Threat Review Février 2022
Résumé
- Hornetsecurity a enregistré une augmentation de courriels menaçants en février 2022.
- Les attaques par courriel et par hameçonnage basées sur des URL continuent d’être importantes.
- Avec 47,1 % de marques usurpées, LinkedIn a été la marque la plus usurpée dans les campagnes de phishing en cours.
Sommaire
Dans cet épisode de notre Email Threat Review, nous présentons un aperçu des menaces par courriel observées en février 2022 et les comparons aux menaces du mois précédent.
Le rapport fournit des informations sur :
- Courriels indésirables par catégorie
- Types de fichiers utilisés dans les attaques
- Indice des menaces par courriel de l’industrie
- Techniques d’attaque
- Marques et organisations usurpées
Courriels indésirables par catégorie
Le tableau suivant montre la répartition des courriels indésirables par catégorie.
| Catégorie de courriel | % |
| Rejeté | 79.77 |
| Pourriel | 14.20 |
| Menace | 5.13 |
| AdvThreat | 0.87 |
| Contenu | 0.03 |
L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.
Le pic de courriels rejetés à partir du 16/02/2022 peut être attribué à une campagne d’escroquerie récurrente à grande échelle de sextorsion en allemand. Cette campagne est ensuite passée en néerlandais le 2022-02-24. Parallèlement à ces campagnes, nous avons également enregistré davantage de courriels menaçants.
Méthodologie
Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont :
| Catégorie | Description |
| Pourriel | Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires. |
| Contenu | Ces courriels contiennent une pièce jointe non autorisée. Les administrateurs définissent dans le module de contrôle de contenu (Content Control) les types de pièces jointes qui ne sont pasautorisées. |
| Menace | Ces courriels contiennent du contenu nuisible, comme des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des actes délictuels comme l’hameçonnage. |
| AdvThreat | La solution de protection avancée contre les menaces (Advanced Threat Protection) a détecté une menace dans ces courriels. Les courriels sont utilisés à des fins illégales et nécessitent des moyens techniques sophistiqués qui ne peuvent être contournés qu’en utilisant des procédures dynamiques avancées. |
| Rejeté | Notre serveur de courriel rejette ces courriels directement pendant le dialogue SMTP en raison de caractéristiques externes, comme l’identité de l’expéditeur, et les courriels ne sont pas analysés en profondeur. |
Types de fichiers utilisés dans les attaques
Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.
| Type de fichier (utilisé dans les courriels malveillants) | % |
| HTML | 33.6 |
| Archive | 29.0 |
| Excel | 12.4 |
| 9.9 | |
| Fichiers d’images de disque | 4.6 |
| Exécutable | 3.7 |
| Autres | 3.5 |
| Word | 2.9 |
| Fichier script | 0.3 |
| Fichier LNK | 0.1 |
| Courriel | 0.0 |
| Powerpoint | 0.0 |
L’histogramme temporel suivant montre le volume de courriels selon type de fichier utilisé dans les attaques par tranche de 7 jours.
Il y a eu une baisse des attaques par courriel utilisant des documents HTML pour la livraison de données utiles ou le phishing d’informations d’identification par rapport aux mois précédents. Pour les remplacer, les attaques utilisant des fichiers d’archive, par exemple des documents ZIP, pour encapsuler des fichiers de script malveillants et d’autres exécutables étaient en augmentation. L’augmentation des documents Excel malveillants de 10 % à 12,4 % peut être attribuée à l’activité d’Emotet, qui utilise actuellement des documents Excel malveillants comme vecteur d’infection.
Indice des menaces par courriel de l’industrie
Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).
| Industries | Part des menaces dans les courriels de menace et légitimes |
| Recherche | 10.5 |
| Divertissement | 7.3 |
| Santé | 7.3 |
| Éducation | 7.0 |
| Hospitalité | 6.9 |
| Fabrication | 6.7 |
| Media | 6.6 |
| Automobile | 6.6 |
| Vente au détail | 6.1 |
| Services publics | 5.6 |
Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.
Dans l’ensemble, notre indice de menaces par courriel a augmenté dans tous les secteurs. Les positions des quatre principales industries restent inchangées. Cependant, l’indice de menace de l’industrie de la recherche a augmenté le plus parmi toutes les industries observées. Alors que l’indice de menace de l’industrie de la recherche est passé de 6,8 % à 10,5 %, l’indice de menace de l’industrie du divertissement n’a augmenté que de 6,4 % à 7,3 %. L’indice de menace du secteur de la santé est passé de 5,3 % à 7,3 %.
Méthodologie
Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.
Techniques d’attaque
Le tableau suivant montre les techniques utilisées dans les attaques.
| Technique d’attaque | % |
| Phishing | 48.4 |
| Autres | 32.0 |
| URL | 10.6 |
| Extorsion | 2.3 |
| Arnaque des frais à l‘avance | 2.2 |
| Exécutable dans une archive/image disque | 1.9 |
| Usurpation d’identité | 1.8 |
| Maldoc | 0.8 |
| LNK | 0.0 |
L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.
Marques et organisations usurpées
Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.
| Marque ou organisation usurpée | % |
| 47.1 | |
| Volks- und Raiffeisenbank | 24.4 |
| Sparkasse | 9.2 |
| Amazon | 5.2 |
| Fedex | 4.1 |
| Deutsche Post / DHL | 2.2 |
| Postbank | 0.6 |
| UPS | 0.4 |
| Microsoft | 0.4 |
| Autres | 6.4 |
L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.
LinkedIn a été usurpé dans plusieurs campagnes de phishing ce mois-ci.
De plus, nous avons détecté la poursuite des campagnes de phishing contre les banques allemandes, à savoir la Volks- und Raiffeisenbank, la Sparkasse et la Postbank.
