Email Threat Review Mars 2022
Résumé
Les informations notables de ce mois-ci :
- Augmentation des pièces jointes Excel malveillantes utilisées dans les attaques dues à Emotet.
- Réduction de l’indice de menace de l’industrie par rapport au mois dernier, mais indice de menace global toujours supérieur aux moyennes de l’année dernière.
- Les hameçonneurs tentent une fraude à grande échelle en usurpant l’identité d’ONG et de réfugiés ukrainiens, demandant des dons pour les réfugiés ukrainiens et les victimes de la guerre – principalement en Bitcoin. Des dispositifs similaires et plus ciblés ont également été observés.
Sommaire
Dans cette édition de notre revue mensuelle des menaces par courriel (Email Threat Review), nous présentons un aperçu des menaces par courriel observées en mars 2022 et les comparons aux menaces du mois précédent.
Le rapport fournit des informations sur :
- Courriels indésirables par catégorie
- Types de fichiers utilisés dans les attaques
- Indice des menaces par courriel de l’industrie
- Techniques d’attaque
- Marques et organisations usurpées
Courriels indésirables par catégorie
Le tableau suivant montre la répartition des courriels indésirables par catégorie.
Catégorie de courriel | % |
Rejeté | 72.98 |
Pourriel | 20.55 |
Menace | 5.27 |
AdvThreat | 1.16 |
Contenu | 0.04 |
L’histogramme temporel suivant montre le volume de courriels par catégorie et par jour.
Méthodologie
Les catégories de courriels répertoriées correspondent aux catégories du Email Live Tracking du Control Panel de Hornetsecurity. Nos utilisateurs les connaissent donc déjà. Pour les autres, les catégories sont :
Catégorie | Description |
Pourriel | Ces courriels sont indésirables et sont souvent promotionnels ou frauduleux. Les courriels sont envoyés simultanément à un grand nombre de destinataires. |
Contenu | Ces courriels contiennent une pièce jointe non autorisée. Les administrateurs définissent dans le module de contrôle de contenu (Content Control) les types de pièces jointes qui ne sont pasautorisées. |
Menace | Ces courriels contiennent du contenu nuisible, comme des pièces jointes ou des liens malveillants, ou ils sont envoyés pour commettre des actes délictuels comme l’hameçonnage. |
AdvThreat | La solution de protection avancée contre les menaces (Advanced Threat Protection) a détecté une menace dans ces courriels. Les courriels sont utilisés à des fins illégales et nécessitent des moyens techniques sophistiqués qui ne peuvent être contournés qu’en utilisant des procédures dynamiques avancées. |
Rejeté | Notre serveur de courriel rejette ces courriels directement pendant le dialogue SMTP en raison de caractéristiques externes, comme l’identité de l’expéditeur, et les courriels ne sont pas analysés en profondeur. |
Types de fichiers utilisés dans les attaques
Le tableau suivant montre la répartition des types de fichiers utilisés dans les attaques.
Type de fichier (utilisé dans les courriels malveillants) | % |
Archive | 36.9 |
Excel | 22.3 |
HTML | 14.7 |
9.4 | |
Fichiers d’images de disque | 4.8 |
Exécutable | 4.4 |
Autres | 3.7 |
Word | 3.5 |
Fichier de script | 0.4 |
Courriel | 0.1 |
Fichier LNK | 0.0 |
Powerpoint | 0.0 |
L’histogramme suivant montre le volume de courriels par type de fichier utilisé dans les attaques sur sept jours.
Les attaques utilisant des pièces jointes HTML ont continué de baisser de 33,6 % à 14,7 %. L’augmentation continue des pièces jointes Excel malveillantes de 12,4 % à 22,3 % peut toujours être attribuée au fait qu’Emotet se propage actuellement avec des documents Excel malveillants.
Indice des menaces par courriel de l’industrie
Le tableau suivant présente notre Indice des menaces par courriel de l’industrie (Industry Email Threat Index) calculé en fonction du nombre de courriels de menace par rapport aux courriels propres reçus pour chaque industrie (en médiane).
Industries | Part des menaces dans les courriels de menace et légitimes |
Recherche | 6.6 |
Fabrication | 5.9 |
Santé | 5.8 |
Media | 5.7 |
Automobile | 5.6 |
Éducation | 5.3 |
Vente au détail | 4.6 |
Mines et carrières | 4.6 |
Services professionnels | 4.5 |
Construction | 4.5 |
Le graphique à barres suivant visualise la menace basée sur les courriels posée à chaque secteur.
Même si son indice de menace est passé de 10,5 % à 6,6 %, l’industrie de la recherche reste l’industrie la plus menacée. L’indice de menace médian de toutes les industries a légèrement diminué, passant de 4,9 % à 4,2 %. À titre de comparaison, l’indice de menace médian global de toutes les industries pour l’année 2021 était de 4,0 %. Cela signifie que même si nous constatons une baisse par rapport aux valeurs élevées du mois dernier, les valeurs sont toujours supérieures à la moyenne de l’année dernière.
Méthodologie
Différentes organisations reçoivent un nombre absolu de courriels différent selon leur taille. Ainsi, nous calculons le ratio de courriels de menace par rapport aux courriels propres en pourcentage des courriels reçus pour chaque organisation pour ainsi mieux les comparer. Nous calculons ensuite la médiane de ces valeurs en pourcentage pour toutes les organisations du même secteur pour former le score de menace final du secteur.
Techniques d’attaque
Le tableau suivant montre les techniques utilisées dans les attaques.
Technique d’attaque | % |
Phishing | 36.1 |
Autres | 28.5 |
URL | 12.1 |
Arnaque des frais à l‘avance | 11.8 |
Exécutable dans une archive/image disque | 3.4 |
Maldoc | 3.3 |
Extorsion | 2.7 |
Usurpation d’identité | 2.1 |
L’histogramme suivant montre le volume de courriels par technique d’attaque utilisée par heure.
Le pic du 2022-03-16 dans les arnaques des frais à l‘avance est causé par des courriels faisant référence à l’émission télévisée d’investissement allemande « Höhle der Löwen » (version allemande de l’émission télévisée britannique Dragon’s Den ou américaine Shark Tank). Les courriels signalent une opportunité d’investissement qui était trop belle et donc interdite de diffusion dans l’émission télévisée.
Les attaquants tentent d’inciter les victimes à « investir » dans un bot de trading Bitcoin ou, d’une autre manière, à transférer de l’argent aux attaquants en échange de rendements monétaires importants. Les rendements financiers ne sont pas vrais et l’offre est une arnaque.
Les courriels ont été envoyés dans un laps de temps très court, provoquant cette forte augmentation des données. Les autres pics d’activité moins prononcés de cette campagne d’ arnaques des frais à l‘avance ont eu lieu les 2022-03-03, 2022-03-10, 2022-03-20, 2022-03-26 et 2022-03-31. Cependant, le volume de courriels par heure était inférieur à celui de la campagne du 2022-03-16.
Marques et organisations usurpées
Le tableau suivant indique les marques d’entreprise et les organisations pour lesquelles nos systèmes ont le plus détectées dans les attaques d’usurpation d’identité.
Marque ou organisation usurpée | % |
Sparkasse | 66.7 |
Autres | 11.7 |
Amazon | 7.6 |
Deutsche Post / DHL | 3.1 |
Volks- und Raiffeisenbank | 3.1 |
Postbank | 2.4 |
Fedex | 1.6 |
1.4 | |
Dropbox | 1.0 |
Microsoft | 0.9 |
Strato | 0.5 |
Hornetsecrurity a observé ce mois-ci un nouveau pic d’arnaques d’ONG (par exemple, « Autre » comme indiqué ci-dessus). La guerre en cours en Ukraine attire les fraudeurs dans le mélange. Les fraudeurs se font passer pour des ONG et des réfugiés ukrainiens pour recueillir des dons en dollars américains ou en bitcoins. En général, en temps de crise, les arnaques à la collecte de fonds sont imminentes.
L’histogramme suivant montre le volume de courrielsmails pour les marques d’entreprise et les organisations détectées dans les attaques d’usurpation d’identité par heure.
Après la campagne de phishing à grande échelle sur LinkedIn du mois dernier, la banque allemande Sparkasse prend à nouveau la première place pour la marque la plus usurpée dans les attaques.