La majorité des entreprises ont subi une attaque de phishing au cours de l’année passée et, selon une enquête sur les PME aux États-Unis, 72 % d’entre elles ont subi une attaque de phishing au cours des trois derniers mois.
Dans le secteur de la santé, le phishing est la principale cause de fuites de données. En novembre 2019, 17 cas de violations de données sur 33 ont été signalés comme liées au phishing au Bureau des droits civils (OCR ou Official Rights Bureau) du Département de la santé et des services sociaux.
Si on considère que l’OCR ne rend public que les rapports de violation ayant entraîné l’exposition de 500 enregistrements ou plus, le nombre total d’attaques de phishing pourrait encore être plus élevé.
Les attaques de phishing sont en augmentation. La raison est simple : le phishing est le moyen le plus simple d’attaquer une organisation pour diffuser des malwares ou pour obtenir des informations sensibles. En effet, le phishing cible le maillon le plus faible d’une organisation, c’est-à-dire les employés.
Les employés s’améliorent dans l’identification des emails de phishing grâce à des formations de sensibilisation à la sécurité. Mais les cybercriminels sont aussi conscients de ce fait et ont réagi, en créant désormais des attaques de phishing très sophistiquées et beaucoup plus difficiles à identifier pour les employés.
Qu’est-ce qu’une attaque de spear-phishing ?
On constate également une augmentation des attaques de spear-phishing. Il s’agit d’une forme de phishing beaucoup plus ciblée. Au lieu d’envoyer des millions d’emails dans le cadre d’une campagne, les pirates n’en envoient qu’une poignée à des cibles très précises. Les messages sont rédigés de manière à maximiser les chances de succès et sont généralement personnalisés.
Le spear-phishing est une tentative qui vise essentiellement à voler des informations sensibles comme des identifiants de connexion ou des informations financières à une victime spécifique.
Comment fonctionne le spear-phishing ?
Les attaques de spear-phishing peuvent sembler simples à réaliser, mais ce n’est pas le cas. Au cours des dernières années, les pirates doivent s’efforcer d’améliorer leurs tactiques lorsqu’ils rédigent leurs e-mails pour augmenter leurs chances de réussite. Ainsi, les messages malveillants sont devenus très difficiles à détecter si vous n’avez pas de connaissances préalables en matière de protection contre le spear-phishing.
Les attaquants ciblent les victimes qui mettent des informations personnelles sur Internet. En parcourant un site de réseau social, ils peuvent par exemple consulter des profils individuels et connaître la ville natale de leurs cibles, leurs contacts, leurs employeurs ou encore les produits qu’elles ont récemment achetés en ligne.
Les pirates peuvent alors se faire passer pour une entité familière ou un ami et envoyer des e-mails convaincants mais frauduleux à leurs cibles. Ces messages renferment souvent des explications urgentes sur la raison pour laquelle les pirates ont besoin de ces informations.
Ensuite, les victimes sont invitées à cliquer sur un lien intégré à l’e-mail, qui les redirige vers un site web usurpé ou à ouvrir une pièce jointe malveillante. Dans d’autres cas, elles sont invitées à fournir leurs numéros de compte ou leurs codes PIN.
Un pirate qui se fait passer pour un ami peut aussi demander des noms d’utilisateur et des mots de passe pour diverses plateformes en ligne – comme Facebook ou Zoom – afin de pouvoir accéder aux photos que ses victimes ont publiées. Ces mots de passe lui permettront d’accéder à différents sites web contenant des informations confidentielles comme des informations sur les cartes de crédit ou des numéros de sécurité sociale. Grâce à cela, les criminels peuvent accéder aux comptes bancaires de leurs victimes, voire créer une nouvelle identité en utilisant les informations qu’il a collectées.
Enfin, une attaque de spear-phishing peut consister à une incitation des utilisateurs du web à télécharger des malwares ou des codes malveillants lorsque ces derniers ouvrent des pièces jointes ou cliquent sur des liens fournies dans les messages malveillants.
Les 3 principaux catégories de spear-phishing
Pour résumer, on peut subdiviser les attaques de spear-phishing en trois grandes catégories, notamment :
- Le clone phishing,
- La compromission d’emails professionnels (Business Email Compromise – BEC),
- Le whaling.
Un rapport de la société de sécurité Barracuda a révélé que 83 % des attaques de spear-phishing reposent sur le clone phishing, une tactique qui vise l’usurpation d’identité. Dans le cadre d’une telle attaque, les escrocs créent une réplique presque identique d’un message électronique authentique dans le but de faire croire aux victimes qu’il est légitime. En général, le message semble provenir d’une adresse électronique réelle, car il utilise un domaine typosquatté ou une fausse URL donnant l’impression que l’e-mail est valide. Cependant, le message contient une pièce jointe ou un lien hypertexte qui renvoie la victime vers un site web cloné avec un domaine usurpé, où elle sera invitée à communiquer ses informations sensibles.
Quant à l’attaque de type BEC, ou littéralement la compromission de l’email professionnel, elle permet aux cybercriminels d’usurper le compte de messagerie d’un cadre supérieur, comme le PDG d’une société. Une fois que les pirates obtiennent l’accès au compte, ils vont l’utiliser pour demander des informations de connexion, de l’argent et d’autres informations sensibles à ses subalternes (cadres supérieurs, responsables informatiques, etc.). Une attaque BEC réussie permet au pirate d’obtenir un accès illimité au compte de la victime, ce qui peut avoir des effets très néfastes et entraîner d’énormes pertes financières pour son organisation.
Lors d’une attaque de whaling (également appelée « la chasse à la baleine »), les pirates informatiques ciblent les hauts responsables pour voler les informations les plus précieuses de leur entreprise. Étant donné que les PDG et les directeurs ont souvent beaucoup de pouvoir au sein de leur organisation, ils ont aussi accès aux des données les plus sensibles. Les cybercriminels préfèrent donc cibler ces « baleines » plutôt que d’hameçonner les petits « poissons » de l’entreprise. A titre d’exemple, un pirate peut envoyer un e-mail qui accuse un haut responsable d’avoir téléchargé ou visionné du contenu à caractère sexuel puis le convaincre de verser de l’argent à son compte. Dans ce cas, il peut menacer sa victime de divulguer le contenu compromettant à ses contacts au cas où il ne paie pas la rançon. A noter que les attaques de whaling ne visent pas seulement les dirigeants d’entreprises, mais aussi les personnes célèbres comme les stars et les hommes politiques.
Ces trois types d’attaques sont des exemples parfaits de spear-phishing. Ce qui les caractérise, c’est que leur mise en œuvre nécessite plus de temps et d’efforts de la part des pirates informatiques que les attaques de phishing ordinaires.
Conseils à donner aux employés pour éviter d’être victime d’une attaque de spear-phishing
Malheureusement, il n’existe pas de solution miracle. Les entreprises doivent adopter une approche de défense en profondeur pour améliorer de manière significative leur résistance aux attaques de phishing.
Faites attention avant de divulguer vos données personnelles sur Internet. S’il y a certaines informations que vous ne voulez pas qu’un pirate potentiel voie, ne les publiez pas. Si vous devez le faire, assurez-vous au moins que vous avez configuré les paramètres de confidentialité de la plate-forme en ligne utilisé pour limiter ce que les autres peuvent voir.
L’autre chose importante à retenir est de ne pas utiliser un seul mot de passe (ou des variations d’un mot de passe) pour chaque compte que vous possédez. Si vous le faites, et au cas où un pirate parviendrait à déchiffrer l’un de vos mots de passe, il aura effectivement accès à tous vos comptes. Comme astuce, utilisez des mots de passe composés de chiffres, de phrases, de caractères spéciaux et de lettres aléatoires.
Mettez également vos logiciels à jour : dès que votre fournisseur de logiciels publie une nouvelle mise à jour, appliquez-la immédiatement pour vous aider à vous protéger contre les attaques courantes.
Ne cliquez pas sur les liens dans les emails : si une organisation qui vous semble familière – comme votre banque – vous invite à cliquer sur un lien, ne le faites pas. Le mieux serait de lancer votre navigateur et de vous rendre directement sur le site officiel de votre banque au lieu de cliquer sur le lien lui-même. Il est dans votre intérêt de vérifier la destination du lien en le survolant simplement avec votre souris. Si l’URL qui s’affiche ne correspond pas au texte d’ancrage du lien ou à la destination indiquée dans le message électronique, il est fort probable que le lien soit malveillant. Attention toutefois, car de nombreux pirates qui utilisent le spear-phishing peuvent brouiller les destinations des liens en utilisant un texte d’ancrage ressemblant à une URL légitime.
Faites preuve de logique lorsque vous ouvrez un e-mail. Lorsque vous recevez un message de la part de l’un de vos contacts et qui vous demande des informations personnelles, vérifiez toujours que l’adresse email est une adresse que vous avez déjà utilisée ou vue par le passé. Une entreprise réelle ne vous enverrait pas un message qui vous demande votre mot de passe ou votre nom d’utilisateur, entre autres. En cas de doute, contactez la personne ou l’entreprise qui vous a envoyé le message via d’autres moyens comme le téléphone ou le site web officiel de l’entreprise pour vous assurer que c’est bien elle qui vous a contacté.
Comment une entreprise peut-elle améliorer ses défenses contre le phishing et le spear-phishing ?
Les employés constituent le maillon faible souvent visé par les cybercriminels. Vous devez donc vous assurer qu’ils soient formés à la reconnaissance des emails de phishing. Vous devez leur dispenser régulièrement une formation de sensibilisation afin de développer une culture de sensibilisation à la sécurité dans votre organisation. Avec le temps, vos employés seront capables de réagir correctement et de signaler les menaces de phishing à l’équipe de sécurité.
Effectuez également des exercices de simulation de phishing pour vous assurer que la formation a été efficace. Si un ou plusieurs employés ne réussissent pas à la simulation de phishing, vous pourrez donc les identifier et leur dispenser une formation complémentaire.
Si toutes les défenses ci-dessus échouent, il existe encore une autre couche que vous pouvez mettre en place pour assurer la protection de votre entreprise : l’authentification à facteurs multiples. L’authentification à facteurs multiples exige qu’un autre facteur soit utilisé avant de pouvoir accéder à un compte de messagerie ou à un autre système.
Si les identifiants de connexion d’un employé sont divulgués lors d’une attaque de phishing, l’authentification à facteurs multiples devrait empêcher un cybercriminel d’utiliser uniquement ces informations pour accéder à des comptes de messagerie électronique et à d’autres systèmes.
Dans la mesure du possible, il est vital pour les organisations de veiller à activer les mises à jour automatiques de leurs logiciels. Elles se protègent ainsi des dernières attaques en ligne. Cela permet également aux clients de messagerie, aux outils de sécurité et aux navigateurs web d’avoir les meilleures chances d’identifier les attaques de spear-phishing et de minimiser les dommages potentiels. Veillez également à ce qu’un programme de protection des données et une technologie de prévention des pertes de données soient mis en place au sein de votre organisation afin de protéger les données contre le vol et les accès non autorisés.
N’oubliez pas de mettre en place un programme de protection des données dans votre entreprise. Un programme de protection des données doit inclure la formation des utilisateurs aux meilleures pratiques en matière de sécurité des données et de cyberhygiène.
Le filtrage du spam, la solution idéale pour se protéger du spear-phishing ?
Le meilleur point de départ est la mise en place d’une solution de sécurité avancée pour la messagerie électronique. Le phishing nécessite une certaine forme d’action manuelle de la part de vos employés pour réussir.
Si vous empêchez les emails de phishing d’atteindre leurs boîtes de réception, ils ne pourront pas cliquer sur les liens dans ces messages malveillants ou télécharger des malwares. En effet, une solution avancée de sécurité des emails peut donc bloquer la grande majorité des emails de phishing avant qu’ils n’atteignent votre système de messagerie.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Des emails de phishing arrivent-ils toujours dans votre boîte de réception ou celles de vos employés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité, l’EOP (Exchange Online Protection) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25% des emails de phishing n’étaient pas bloqués par EOP. Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez donc utiliser une solution antispam et antiphishing tierce en plus de l’EOP.
L’une des solutions efficaces que vous pouvez adopter en guise de complément de l’EOP et qui offre une meilleure protection web est SpamTitan.
Si vous parvenez à bloquer les emails de phishing, votre sécurité sera bien meilleure, mais vous ne devez pas vous arrêter là. Force est de constater qu’il n’existe aucune solution qui pourra bloquer toutes les menaces de phishing à tout moment. Il suffit que l’un de vos employés clique sur un email de phishing pour qu’une violation de données se produise. Vous devez donc ajouter une autre couche à vos défenses.
Se protéger du phishing avec une solution de filtrage internet DNS
Une solution de filtrage DNS offre une meilleure protection web contre les attaques de phishing. Au cas où un employé cliquerait sur un lien dans un email et s’il sera dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware pourrait être téléchargé, la tentative d’accès au site malveillant est bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing avant le téléchargement de tout contenu web. Si une tentative d’accès à un site de phishing se produit, l’employé sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne soit causé. Les filtres DNS peuvent également bloquer les téléchargements de malwares provenant de sites qui ne sont pas encore connus pour être malveillants.
Les administrateurs savent bien que lorsqu’on parle de filtres DNS, il faut également parler des protocoles DKIM, SPF et DMARC, lesquels peuvent contribuer à réduire les violations de données, les pertes financières et plusieurs autres menaces en ligne.
Le protocole DKIM
DKIM, ou « DomainKeys Identified Mail » est un protocole de vérification cryptographique des e-mails. Il peut être utilisé pour bloquer les l’usurpation d’identité. Il peut également être utilisé pour garantir l’intégrité des e-mails, ou pour s’assurer que les messages n’ont pas été modifié à partir du moment où il quitte le serveur de messagerie d’origine jusqu’à ce qu’il arrivé au vôtre.
Pour les messages entrants, lorsque le serveur récepteur voit qu’un message a été signé par DKIM, il récupère la clé publique dans les enregistrements DNS du serveur expéditeur, puis compare cette clé à la signature cryptographique du message pour en déterminer la validité.
Si le message entrant ne peut être vérifié, le serveur récepteur saura donc qu’il contient une adresse usurpée ou qu’il a été altéré ou modifié. Un message qui échoue à ce test peut alors être rejeté ou accepté, mais son score de spam peut être modifié.
Le protocole SPF
Il s’agit d’un autre protocole qui permet d’éviter l’usurpation d’identité. Le SPF ou « Sender Policy Framework » permet aux propriétaires de domaines de publier des enregistrements DNS, ou enregistrements SPF, afin d’identifier les emplacements qui seront autorisés à envoyer des messages pour leur domaine.
En effectuant une recherche SPF sur les messages entrants, il est possible de déterminer si le serveur d’envoi est autorisé ou non à distribuer des messages pour le domaine d’envoi supposé et pour déterminer si l’adresse de l’expéditeur a été usurpée ou falsifiée.
Pour protéger votre serveur contre les attaques de spear-phishing qui tentent d’usurper votre propre domaine, il est donc recommandé de configurer un enregistrement SPF dans votre serveur DNS.
Le protocole DMARC
Créé conjointement par Google, PayPal, Microsoft et Yahoo, le protocole DMARC, ou « Domain-based Message Authentication, Reporting and Conformance », donne aux organisations un aperçu et un contrôle de leur serveur de messagerie. Il protège les marques contre l’utilisation du phishing et d’autres attaques de spear-phishing.
Lorsque ce protocole est mis en œuvre dans votre enregistrement DNS, l’enregistrement DMARC d’un expéditeur indiquera au destinataire les actions à effectuer, à savoir accepter, mettre en quarantaine ou rejeter un e-mail qui prétend provenir d’un expéditeur suspect.
En fait, l’utilisation de ces trois protocoles est plus que recommandée aujourd’hui. C’est devenu une norme pour la sécurisation de la messagerie électronique.
Le mot de la fin
Toutes les couches de sécurité susmentionnées sont nécessaires pour bloquer les menaces de phishing sophistiquées d’aujourd’hui. Cela peut sembler très coûteux, mais les mesures anti-phishing ci-dessus ne doivent pas l’être.
De plus, face à la crise de la COVID-19, qui affecte également l’univers de la communication numérique, les pirates informatiques trouvent de nouvelles tactiques pour augmenter les chances de réussite de leurs campagnes de phishing et de spear-phishing. Par conséquent, le fait de sécuriser et d’authentifier les e-mails entrants et sortants est devenu plus que nécessaire si vous voulez éviter de vous faire pirater.
Même si TitanHQ ne peut pas former vos employés à devenir des titans de la sécurité, la marque vous propose des solutions fiables pour le filtrage des contenus web et des e-mails. Grâce à SpamTitan et au filtre DNS de WebTitan, vous bénéficierez des meilleures protections anti-phishing du marché.