Cybersecurity

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Phishing : comment -vraiment- en sortir ?

Mar 2, 2021 | Cyber Security | 0 commentaires

Comment reconnaître les arnaques de phishing les plus courantes ? Et donc comment les éviter ? Quelques pistes de réflexion avec Vade Secure.

91 % des attaques démarrent par un mail ! Si cet ordre de grandeur dépasse l’entendement, c’est pourtant une réalité. Question : malgré les dispositifs mis en œuvre et les actions de sensibilisation effectuées, pourquoi ce type d’attaque continue-t-il de piéger les utilisateurs ?

«Bien qu’ils soient très présents dans notre quotidien, les mails de phishing n’en demeurent pas moins difficiles à repérer, observe Adrien Gendre, Directeur Associé, Architecte Solutions, Vade Secure. En effet, ils sont très sophistiqués et contournent de mieux en mieux les filtres des messageries. Les hackers progressent sans cesse afin de se cacher des utilisateurs et de les duper.»

Rien de tel qu’une facture…

Néanmoins, un grand nombre de ces mails suivent le même schéma, partageant des caractéristiques identiques. Partant de son expérience, Vade Secure a identifié les arnaques les plus fréquentes. La première, la plus connue : l’arnaque à la facture. Celle-ci consiste à usurper l’identité d’un collègue, d’une marque ou d’un fournisseur. Puis d’envoyer un email en son nom à l’utilisateur visé, contenant en pièce jointe une soi-disant facture importante. Cette facture pourra contenir un lien vers une page de phishing invitant le destinataire à se connecter et à payer la somme réclamée. Autre possibilité : lors de son ouverture, la pièce jointe lance le téléchargement d’un malware ou d’un ransomware.

Adrien Gendre : “Dans le monde professionnel, une interruption de service, quelle qu’elle soit, peut entraîner une perte de chiffre d’affaires, un arrêt de l’informatique et même une perte de clientèle si ces interruptions interviennent régulièrement…”

«Dans le milieu professionnel et personnel, nous recevons tous les jours des alertes de sécurité de la part d’éditeurs de logiciels ou d’applications. Le plus souvent, commente Adrien Gendre, ces notifications expliquent qu’une activité suspecte a été détectée sur un compte, qu’une personne s’est connectée à un compte depuis un appareil inconnu ou qu’un mot de passe va expirer prochainement.»

Nous contraindre à agir à l’instinct

Dans le cadre de l’activité professionnelle, ce sont les alertes émanant des banques, des services cloud et des fournisseurs de messagerie. D’autant que les hackers se donnent les moyens de rendre leurs emails de phishing similaires à de réelles alertes. Ainsi, l’utilisateur croyant à une vraie menace et souhaitant protéger son entreprise, va agir en conséquence en cliquant sur le lien et en se connectant à son compte afin de régler le problème. Et c’est exactement l’objectif de ces attaques : pousser le destinataire à effectuer une action rapide.

Lors d’une arnaque à la mise à jour de moyen de paiement, le destinataire est informé d’une erreur de paiement. Il apprend que sa carte bancaire a expiré ou est sur le point de l’être. Il est donc prié de se connecter à son compte afin de procéder à la mise à jour. Bingo !

« Pour certaines attaques, les hackers prennent le temps d’analyser l’entreprise. Et de cibler un salarié susceptible de gérer la mise à jour des comptes. Dans le monde professionnel, une interruption de service, quelle qu’elle soit, peut entraîner une perte de chiffre d’affaires, un arrêt de l’informatique. Pire : une perte de clientèle si ces interruptions interviennent régulièrement. Cette technique, donc, est très efficace. Elle pousse les destinataires à agir à l’instinct», conclut Adrien Gendre.

Notifications via des comptes Microsoft 365 compromis

Autre moyen, une attaque de fichiers partagés. Celle-ci consiste à envoyer une fausse notification SharePoint ou OneDrive ainsi qu’un lien -de phishing- censé permettre de visualiser le document partagé. Dans la plupart des cas, les hackers usurpent l’adresse email d’une personne connue du destinataire. Et pour les attaques les plus sophistiquées, les hackers conçoivent de vraies notifications SharePoint et OneDrive via Microsoft 365.

Summum du progrès : la génération de notifications par l’intermédiaire de comptes Microsoft 365 compromis. Selon Adrien Gendre, ce type d’attaque s’est rapidement généralisé ces dernières années. De fait, les entreprises ont de plus en plus recours aux services d’hébergement de fichiers.

Et par message vocal…

«Dans le cas d’une arnaque au message vocal, l’email est souvent assez court puisqu’il ne fait qu’informer l’utilisateur de la réception d’un nouveau message», note Adrien Gendre.

Généralement, l’email provient d’une adresse usurpée afin d’être similaire à des alertes légitimes de services comme Microsoft 365. Le destinataire est alors invité à se connecter à son compte via un lien pour pouvoir écouter son message.

Le message vocal peut aussi prendre la forme d’une pièce jointe incluant un lien de phishing. Ce type d’arnaque permet également le téléchargement de ransomwares lors de l’ouverture de la pièce jointe ou lorsque l’utilisateur accepte d’activer les macros dans le document.

Des indices pour reconnaître un phishing ?

Disons-le tout net, il est de plus en plus difficile aujourd’hui de repérer les emails de phishing. Il faut souvent réaliser un examen approfondi. en effet, les hackers veillent à dissimuler toute trace prouvant qu’il ne s’agit pas d’un vrai mail.

Voici néanmoins plusieurs manières de déterminer si vous êtes victime d’une tentative de phishing :
• L’objet du mail : lorsque l’objet de l’email est menaçant ou très insistant, il convient de se méfier.
• L’adresse email de l’expéditeur : il est important de vérifier que le domaine de messagerie de l’expéditeur correspond à celui de la marque, qu’il n’y a pas de caractères superflus.
• Les signes de personnalisation : est-ce que l’email est personnalisé avec un prénom ou est-il totalement impersonnel ?
• Les liens : avant de cliquer, il est préférable de passer son curseur sur le lien pour vérifier la destination. Un lien de phishing sera souvent long et avec de nombreux caractères spéciaux.
• Le site de la marque : taper l’adresse de la marque dans le navigateur permet d’éviter d’avoir à cliquer sur le lien et d’accéder au site directement. Il existe aussi des services permettant d’analyser les URL de phishing.

Découvrez et testez la technologie Vade Secure ! Cyber Security Management vous propose de le faire à travers un PoC (Proof of Concept) gratuit durant un mois ! Inscrivez-vous ici sans plus attendre.