Conversation hijacking
Qu'est-ce que Conversation hijacking ?
Conversation hijackingAttaque par e-mail ou un criminel injecte des reponses malveillantes dans un fil de discussion existant de confiance pour livrer un malware ou des instructions frauduleuses.
Dans le conversation hijacking, l'attaquant compromet d'abord une boite mail ou en derobe l'acces via vol d'identifiants, ATO ou breche chez un partenaire. Il lit les fils existants puis y repond, heritant de la confiance, du sujet et de la signature de l'expediteur legitime. Le message injecte peut transporter un malware (Emotet diffusait Trickbot via des fils detournes), une demande de changement de RIB typique du BEC ou un lien de vol d'identifiants. La reponse apparaissant dans un echange en cours, victimes et filtres traditionnels baissent leur garde. Defenses: DMARC, MFA sur les comptes mail, detection d'anomalies dans les patterns de reponse, bandeaux pour expediteurs externes et confirmation hors-bande pour tout changement de paiement.
● Exemples
- 01
Emotet 2018-2021: des reponses malveillantes a des fils en cours livraient des documents Office armes.
- 02
Des acteurs BEC detournent la boite d'un fournisseur et injectent une fausse reponse avec un nouveau RIB.
● Questions fréquentes
Qu'est-ce que Conversation hijacking ?
Attaque par e-mail ou un criminel injecte des reponses malveillantes dans un fil de discussion existant de confiance pour livrer un malware ou des instructions frauduleuses. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Conversation hijacking ?
Attaque par e-mail ou un criminel injecte des reponses malveillantes dans un fil de discussion existant de confiance pour livrer un malware ou des instructions frauduleuses.
Comment fonctionne Conversation hijacking ?
Dans le conversation hijacking, l'attaquant compromet d'abord une boite mail ou en derobe l'acces via vol d'identifiants, ATO ou breche chez un partenaire. Il lit les fils existants puis y repond, heritant de la confiance, du sujet et de la signature de l'expediteur legitime. Le message injecte peut transporter un malware (Emotet diffusait Trickbot via des fils detournes), une demande de changement de RIB typique du BEC ou un lien de vol d'identifiants. La reponse apparaissant dans un echange en cours, victimes et filtres traditionnels baissent leur garde. Defenses: DMARC, MFA sur les comptes mail, detection d'anomalies dans les patterns de reponse, bandeaux pour expediteurs externes et confirmation hors-bande pour tout changement de paiement.
Comment se défendre contre Conversation hijacking ?
Les défenses contre Conversation hijacking combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Conversation hijacking ?
Noms alternatifs courants : Detournement de fil mail, Reply-chain attack.
● Termes liés
- attacks№ 135
Compromission de messagerie d'entreprise
Fraude ciblée où un attaquant usurpe ou prend le contrôle d'une boîte mail d'entreprise pour pousser un employé à virer de l'argent, modifier des coordonnées bancaires ou exfiltrer des données.
- attacks№ 821
Hameçonnage
Attaque d'ingénierie sociale où un attaquant se fait passer pour une entité de confiance afin de pousser la victime à révéler des identifiants, transférer de l'argent ou exécuter un logiciel malveillant.
- attacks№ 140
Callback phishing
Hameconnage en deux temps ou un e-mail d'apparence anodine convainc la victime d'appeler un numero, ou un operateur humain la guide pour installer un malware.
- attacks№ 010
Prise de controle de compte (ATO)
Attaque par laquelle un criminel prend le controle non autorise d'un compte legitime pour voler fonds, donnees ou commettre d'autres fraudes.
- attacks№ 1065
Ingénierie sociale
Manipulation psychologique amenant des personnes à effectuer des actions ou à divulguer des informations confidentielles au profit d'un attaquant.
- attacks№ 375
Usurpation d'e-mail
Falsification des en-têtes d'un e-mail pour qu'il semble provenir d'un expéditeur de confiance, généralement à des fins de phishing, fraude ou diffusion de malware.