Phishing : tout savoir pour mieux l'éviter
92% des attaques démarrent par un mail de phishing : un chiffre qui ne diminue pas malgré les dispositifs mis en oeuvre et les actions de sensibilisation. Alors pourquoi ce type d'attaque fait-il toujours recette?
Je m'abonneLes e-mails de phishing sont de plus en plus sophistiqués et contournent de mieux en mieux les filtres des messageries. Les hackers progressent sans cesse afin de se cacher des utilisateurs et de les duper. Néanmoins, un grand nombre de ces mails suivent le même schéma et partagent des caractéristiques identiques.
Phishing : les indices qui ne trompent pas
Les hackers veillent à dissimuler toute trace prouvant qu'il ne s'agit pas d'un vrai mail. Il faut donc réaliser un examen approfondi :
- Il convient de se méfier de l'objet du mail : si celui-ci est menaçant ou très insistant, mieux vaut de pas l'ouvrir et ne pas cliquer.
- Il est important de vérifier l'adresse e-mail de l'expéditeur : le domaine de messagerie doit correspondre à celui de la marque, sans caractères superflus.
- Est-ce que l'e-mail est personnalisé avec un prénom ou est-il totalement impersonnel ?
- Avant de cliquer, il est préférable de passer son curseur sur le lien pour vérifier la destination. Un lien de phishing sera souvent long et avec de nombreux caractères spéciaux.
- Taper directement l'adresse de la marque dans le navigateur permet d'éviter d'avoir à cliquer sur le lien et d'accéder au site directement. Il existe aussi des services permettant d'analyser les URL de phishing (https://isitphishing.ai/ par exemple).
Autant d'indices qui peuvent mettre la puce à l'oreille...
Le top 5 des arnaques les plus fréquentes
L'arnaque à la facture consiste à usurper l'identité d'un collègue, d'une marque ou d'un fournisseur, puis d'envoyer un e-mail en son nom à l'utilisateur visé, contenant en pièce jointe une soi-disant facture importante, mais contenant surtout un lien vers une page de phishing invitant le destinataire à se connecter et à payer la somme réclamée. Il arrive également que lors de son ouverture, la pièce jointe lance le téléchargement d'un malware ou d'un ransomware.
Nous recevons tous les jours des alertes de sécurité de la part d'éditeurs de logiciels ou d'applications. Le plus souvent, ces notifications expliquent qu'une activité suspecte a été détectée sur un compte, qu'une personne s'est connectée à un compte depuis un appareil inconnu ou qu'un mot de passe va expirer prochainement.
Ces faussent alertes émanent des banques, des services Cloud et des fournisseurs de messagerie. Les hackers se donnent les moyens de rendre leurs e-mails de phishing similaires à de réelles alertes. Ainsi, l'utilisateur croyant à une vraie menace, va cliquer sur le lien et en se connectant à son compte en croyant régler le (faux) problème. L'objectif de ces attaques : pousser le destinataire à effectuer une action rapidement.
Lors d'une arnaque à la mise à jour de moyen de paiement, le destinataire est informé d'une erreur de paiement, que sa carte bancaire a expiré ou est sur le point d'expirer. Il est donc prié de se connecter à son compte afin de procéder à la mise à jour de sa carte. Pour certaines attaques, les hackers prennent le temps d'analyser l'entreprise et de cibler un salarié susceptible de gérer la mise à jour des comptes. Or, une interruption de service quelle qu'elle soit peut entraîner une perte de chiffre d'affaires, un arrêt de l'informatique et même une perte de clientèle si ces interruptions interviennent régulièrement. Cette technique donc est très efficace car elle pousse les destinataires à agir à l'instinct.
Une attaque de fichiers partagés consiste à envoyer une fausse notification SharePoint ou OneDrive ainsi qu'un lien de phishing censé permettre de visualiser le document partagé. Dans la plupart des cas, les hackers usurpent l'adresse e-mail d'une personne connue du destinataire (un collègue ou partenaire commercial). Et pour les attaques les plus sophistiquées, les hackers conçoivent de vraies notifications SharePoint et OneDrive via Office 365. Summum du progrès : certains d'entre eux génèrent des notifications par l'intermédiaire de comptes Office 365 compromis. Ce type d'attaque s'est beaucoup généralisé ces dernières années, les entreprises ayant de plus en plus recours aux services d'hébergement de fichiers.
Dans le cas d'une arnaque au message vocal, l'e-mail est souvent assez court puisqu'il ne fait qu'informer l'utilisateur de la réception d'un nouveau message. Généralement, l'e-mail provient d'une adresse usurpée afin d'être similaire à des alertes légitimes de services comme Office 365. Le destinataire est alors invité à se connecter à son compte Office 365 via un lien pour pouvoir écouter son message. Le message vocal peut aussi prendre la forme d'une pièce jointe incluant un lien de phishing. Ce type d'arnaque permet également le téléchargement de ransomware lors de l'ouverture de la pièce jointe ou lorsque l'utilisateur accepte d'activer les macros dans le document.
Le phishing est une technique utilisée depuis des dizaines d'années. Il n'a cessé d'évoluer et demeure aujourd'hui l'une des principales méthodes utilisées par les attaquants pour pénétrer les systèmes d'entreprise ou dérober des informations sensibles. Pour cela, l'usurpation de marques connues est l'un de leur grand classique pour tromper les utilisateurs via les différentes techniques listées dans cet article. La technologie a beaucoup progressé et on utilise de plus en plus des techniques de pointe basées sur l'intelligence artificielle.
C'est bien l'utilisateur qui joue un rôle primordial pour lutter contre le phishing, il est donc indispensable de lui donner les clés pour le comprendre et le détecter.
Pour en savoir plus
Chief Product & Services Officer chez Vade Secure et conférencier au M3AAWG (Messaging, Malware & Mobile Anti-Abuse Working Group), Adrien Gendre est spécialiste de la sécurité de l'e-mail.