Les administrateurs de messagerie sont conscients des dangers du phishing, mais ce n’est que lorsqu’une organisation est spécifiquement ciblée que les choses deviennent sérieuses.
Les attaques de phishing qui se déroulent de manière aléatoire sont généralement détectées par des filtres de messagerie, mais celles de spear phishing sont beaucoup plus sophistiquées et utilisent les données de base des employés pour contourner les filtres web et fournir un meilleur retour sur investissement aux pirates informatiques.
Un attaquant peut passer des jours (voire des semaines) à recueillir des données sur vos employés et utiliser ces informations pour pouvoir leur envoyer directement des emails.
En adoptant une bonne technique, un cybercriminel peut repartir avec plusieurs gigaoctets de données intellectuelles, d’informations sensibles sur vos clients et employés et d’importants documents qui peuvent valoir de l’argent pour vos concurrents.
Avec plus de 155 millions d’utilisateurs …
L’administration du service de messagerie électronique est une tâche ardue. Face aux problèmes de routage, aux quotas d’espaces de stockage, aux problèmes récurrents tels que les moments où les utilisateurs arrivent à envoyer, mais ils ne peuvent pas recevoir des messages… les administrateurs ont souvent des difficultés à gérer le courrier électronique d’une entreprise.
Il n’est donc pas étonnant que de nombreuses solutions proposent des services d’hébergement de messagerie électronique, tels qu’Office 365. Ce dernier est devenu très populaire, notamment grâce à la possibilité d’utiliser les solutions de stockage et de gestion des emails dans le cloud. Office 365 peut même intégrer des fonctions de sécurité de base dédiées à mieux protéger les utilisateurs des attaques cybercriminelles récentes.
Office 365 vise également à simplifier l’expérience de ses utilisateurs. Ces derniers peuvent par exemple accéder directement à une page Web via Office 365, saisir leurs informations d’identification et se connecter à leur compte email depuis l’endroit de leur choix. Ajoutez à cela la réduction des coûts de fonctionnement de votre entreprise grâce à la possibilité d’utiliser le service de messagerie dans le cloud.
Tout ceci explique la montée en flèche de l’utilisation d’Office 365.
On estime que plus de 155 millions d’utilisateurs professionnels utilisent actuellement ce service. Mais le très populaire Microsoft Office 365 est aussi victime de son succès. Il est devenu un service très privilégié par les pirates informatiques, à travers des attaques de phishing sophistiquées. Étant une plateforme multisystème, il combine des applications de messagerie, des systèmes stockage de fichiers, de collaboration et de productivité telle que SharePoint et OneDrive. Ensemble, ces solutions représentent une véritable mine d’informations sensibles que les pirates s’efforcent d’exploiter.
Selon une étude menée par le Ponemon Institute, 52 % des données confidentielles ou sensibles de l’organisation des répondants sont stockées dans SharePoint. Il peut s’agir d’une information financière ou de données critiques, dont le vol ou l’exploitation pourrait causer des dommages irréparables. Pourtant, sachez qu’avec un seul ensemble de justificatifs d’identité Office 365 légitimes, un pirate informatique peut mener des attaques de phishing à partir de l’intérieur de l’entreprise, se faire passer pour l’un de vos employés et faire une demande de remboursement financier par virement bancaire, obtenir des titres de compétences pour ensuite les répartir dans d’autres organisations, etc.
… Office 365 est un trésor pour le phishing
Récemment, les attaquants se sont directement concentrés sur les utilisateurs d’Office 365. Office 365 propose la messagerie d’entreprise à l’aide de serveurs Microsoft Exchange, mais les administrateurs ont l’habitude d’utiliser des informations d’identification pour plusieurs facettes d’Office 365, notamment One Drive, Skype, SharePoint et Office Store.
En interne, cela ne pose pas de problème, mais au cas où un attaquant parviendrait à accéder aux informations d’identification d’un utilisateur par le biais d’une campagne de spear phishing, il aurait donc accès à plusieurs autres ressources.
Lors d’une attaque de phishing en 2017, les utilisateurs d’Office 365 ont été ciblés principalement pour leurs identifiants de messagerie. Les attaquants savent que seul un petit pourcentage d’utilisateurs tomberont dans le piège d’un email non sollicité et provenant d’un étranger. Par contre, ils savent aussi que les utilisateurs font souvent confiance aux personnes figurant sur leur liste de contacts.
La campagne de phishing s’est concentrée sur le vol d’identifiants d’email et l’envoi d’un email avec un document HTML malveillant en pièce jointe. Plus précisément, l’attaquant a envoyé la pièce jointe malveillante à des personnes figurant sur la liste de contacts de la victime. L’email provenait donc d’un utilisateur que des douzaines d’autres utilisateurs connaissent. De cette manière, l’attaquant a pu augmenter sa chance de soutirer des informations d’identification de l’utilisateur.
Ce type d’attaque sophistiquée n’est pas nouveau, mais en se focalisant davantage sur les utilisateurs d’Office 365, l’attaquant a une meilleure chance d’accéder aux données sensibles.
Pour aller plus loin, le pirate informatique a utilisé les identifiants Skype de la victime pour se connecter à un profil et envoyer un fichier malveillant aux cibles dans sa liste de contacts. Cette méthode de spear phishing, qui cible les utilisateurs d’Office 365, ont permis aux cybercriminels de faire passer l’attaque de quelques dizaines à des centaines de personnes.
Il suffit de quelques bonnes cibles pour qu’un attaquant puisse télécharger n’importe quel nombre de documents de propriété intellectuelle, secrets d’entreprise, données financières sur les employés et les clients et de nombreux autres fichiers qui pourraient porter gravement atteintes à l’intégrité de l’organisation.
Utiliser les emails comme vecteurs d’attaque
La sécurité des emails est indéniablement une question stratégique dans la politique de sécurité de toute organisation.
Si vous voulez protéger efficacement votre service de messagerie électronique, vous devez vous focaliser sur deux aspects.
La technologie
La plupart des systèmes de sécurisation des emails que les entreprises utilisent actuellement ne sont rien d’autre que de simples filtres antispam. Ceux-ci fonctionnent selon un système de signature et peuvent stopper de nombreuses attaques de masse par email connu.
Pourtant, ils ne parviennent pas à détecter les menaces du type Zero Day, ainsi que les emails de spear phishing ciblées.
Les employés
Pire encore, les cybercriminels de nos jours peuvent utiliser les emails pour cibler le maillon fable dans votre chaîne de cybersécurité, c’est-à-dire vos employés. Vos collaborateurs peuvent cliquer sur un lien, ou répondre à un email de phishing ou de spear phishing lorsqu’ils en reçoivent un dans leur boîte de réception.
Malgré les efforts que vous pourrez faire pour informer vos employés, sachez que 20 à 30 % d’entre eux sont susceptibles d’ouvrir des messages de phishing de masse lorsque ceux-ci passent à travers les filtres antispam, et 12 à 20 % peuvent cliquer sur les liens présents dans ces messages frauduleux. Ces taux, déjà importants, peuvent impliquer de nombreux dommages à votre organisation.
Un exemple d’attaque du type « Man-in-The-Middle » contre les utilisateurs d’Office 365
Comme nous l’avons mentionné ci-dessus, la plate-forme d’Office 365 a connu une croissance énorme.
Beaucoup d’entreprises préfèrent migrer leurs comptes vers Microsoft Business ou Enterprise. Les escrocs sont conscients de ce fait et profitent de la situation pour développer de nouvelles attaques d’ingénierie sociale efficaces, ciblant les utilisateurs d’Office 365.
Au cours du dernier trimestre 2017, Microsoft a par exemple affirmé avoir bloqué une quantité anormale d’escroqueries de phishing du type BEC (Business Email Compromise). Il s’agit d’une version des attaques du type « man-in-the-middle – MiTM » dont le but est d’exploiter la confiance d’un employé vis-à-vis des cadres au sein de son entreprise.
Les groupes d’escroquerie d’Afrique de l’Ouest (probablement du Nigeria) ont également cherché des techniques d’ingénierie sociale similaires, mais plus avancées, lesquelles ont finalement abouti à la fraude financière et au vol de titres de compétences.
Nous avons documenté les données de ces attaques MiTM. Ci-dessous, vous trouverez les différentes étapes par lesquelles les pirates sont passés pour cibler les utilisateurs d’Office 365, en récoltant les justificatifs d’identité de leurs victimes.
Etape 1 : Envoi de messages de phishing
Bien que les techniques de phishing changent constamment, nous avons étudié les résultats et identifié que les différentes campagnes présentent des caractéristiques similaires.
Grâce à notre système de journalisation, nous avons constaté une augmentation anormale des messages qui provenaient des adresses IP Office 365 qui ont été mises en quarantaine pour les clients utilisant notre système de filtrage.
Pourtant, force est de constater que ces messages malveillants ont été envoyés par des utilisateurs Office 365 compromis. Les liens contenus dans les messages redirigeaient les utilisateurs vers des sites de récupération de justificatifs d’identité concernant Office 365 et DocuSign.
Etape 2 : Redirection vers un portail web malveillant pour acquérir les justificatifs d’identité des utilisateurs
Les utilisateurs doivent être attentifs et sensibilisés quant aux techniques suspectes pour ne pas se faire duper par des campagnes de phishing qui volent des justificatifs d’identité.
En effet, les e-mails qu’ils ont reçus comprenaient des urls trompeuses ou incorrectes, des erreurs grammaticales, des erreurs typographiques ou encore des erreurs de formatage. De nombreux sites malveillants incluaient également plusieurs services qui n’ont aucun rapport les uns avec les autres.
Ces services, qui semblaient légitimes, ne partageaient pas les adresses e-mail ainsi que les informations d’identification des utilisateurs. Ils ne redirigeaient pas les utilisateurs vers un site d’identification universel. Ce sont quelques signes d’avertissement que les victimes des attaques de phishing ont dû reconnaître.
Etape 3 : Envoi de messages de phishing pour établir la persistance
Lors des travaux d’assainissement des boites électroniques des utilisateurs, nous avons remarqué que ces derniers avaient initialement déclaré ne pas avoir reçu de messages sur leur compte de messagerie.
Pourtant, les attaquants avaient envahi leurs boîtes de réception à leur insu. Des règles de messagerie ont dû être créées pour supprimer ces messages persistants afin de protéger les utilisateurs contre les activités suspectes.
Des règles ont également été établies dans le but de filtrer les messages ; de supprimer ceux qui sont malveillants et de transférer les messages sains vers les comptes des utilisateurs.
Etape 4 : Campagne de phishing contre les contacts des utilisateurs ciblés
Une fois que les attaquants parviennent à accéder au compte de messagerie de leurs victimes, ils passent par leurs contacts et leurs carnets d’adresses pour pouvoir compromettre d’autres comptes.
Dans la plupart des cas, les pirates essaient de répondre aux conversations précédentes que les victimes ont eues avec leurs contacts. En fin de compte, les pirates voulaient tout simplement manipuler le service des finances et de facturation, en amenant les contacts des victimes à effectuer des transactions financières frauduleuses.
Tous les contacts susceptibles de payer des factures frauduleuses et de répondre à des demandes de virement bancaire étaient ciblés par les attaques de phishing via la messagerie électronique d’Office 365.
Quant aux contacts non ciblés, ils ont reçu d’autres messages de phishing qui les redirigeaient vers des portails de vol de justificatifs d’identité. Et le processus pouvait donc se poursuivre à nouveau à partir de la première étape.
Pourquoi les utilisateurs mordent-ils à l’hameçon ?
Si les attaques de phishing ou de spear phishing ont beaucoup de succès, c’est parce que les attaquants ne cessent d’améliorer leur stratégie. Leurs messages sont de plus en plus convaincants et les moyens de diffusion qu’ils utilisent sont plus que jamais sophistiqués et innovants.
Pour le cas d’Office 365, les attaquants ont souvent tendance à imiter les protocoles et l’apparence des messages et des interfaces Office 365 dans le but de duper les utilisateurs. Ces derniers sont donc plus enclins à divulguer leurs identifiants de connexion et d’autres informations sensibles.
Dans certains cas, les attaquants profitent du stockage BLOB (Microsoft Azure Binary Large OBject) afin de créer des pages d’accueil avec des certificats signés par Microsoft et un domaine windows.net. Ils construisent des pages de vol d’informations sur la même plate-forme que celle utilisée par le destinataire de l’email pour mieux le tromper.
Dès qu’ils ont accès aux informations d’identification Microsoft légitimes de l’utilisateur, les pirates peuvent mener des attaques à plusieurs niveaux via Office 365. Grâce au phishing et au spear phishing, ils peuvent usurper l’identité des utilisateurs et les inciter à effectuer des virements électroniques, à acheter des cartes-cadeaux, à partager des données confidentielles sur les employés, et bien plus encore.
Les pirates informatiques envoient désormais beaucoup moins d’emails de phishing. Mais au lieu de cela, ils sont plus dynamiques que jamais et utilisent des attaques plus ciblées. Voici quelques-unes des techniques qu’ils utilisent souvent.
L’attaque par message vocal
Lorsque les pirates utilisent cette technique, il vous envoie un email. Outlook Office 365 va donc vous indiquer que vous avez reçu un message, dont l’objet se présente comme suit : « E-mail entrant : Vous avez reçu un message vocal du numéro…, durée : 250 secondes. ».
L’email est personnalisé avec vos noms et prénoms dans le corps du message et dans le champ expéditeur, vous trouverez « microsoft.com ». En plus du fait que le numéro de téléphone semble réel, l’email contient un lien de phishing sur lequel vous pouvez êtes prié de cliquer pour écouter le message vocal.
C’est pourtant un piège !
En cliquant sur ce lien, vous serez envoyé vers un écran de connexion Microsoft qui semble parfaitement réel, mais vous allez atterrir sur un site de phishing conçu pour voler vos identifiants de connexion Office 365.
L’attaque « Action requise »
L’autre forme de phishing avec Office 365 est un message qui arrive dans votre boîte de réception. La ligne d’objet contient la mention « Action requise : Votre… est périmée. Vous devez revalider votre compte. »
Comme les exemples précédents, le message peut aussi comprendre un lien qui est hébergé sur un site web légitime. Il s’agit d’une arnaque qui vous incite à divulguer vos informations d’identification Office 365.
Souvent, cette menace est utilisée en tant que première étape d’une attaque à plusieurs niveaux. Elle va donc permettre à l’attaquant d’avoir tout ce dont il a besoin pour commencer une série d’attaques de plus grande envergure au sein de votre organisation.
L’attaque de fichier partagé
Pour ce genre attaque, vous allez recevoir une notification de partage de fichier dans votre boite email. Le message peut sembler provenir d’un collaborateur connu.
Si le collaborateur existe réellement au sein de votre organisation, vous pourriez donc avoir pensé que l’email est légitime et être redirigé vers une véritable page de connexion OneDrive. Seulement, il permet au cybercriminel de récupérer vos identifiants de compte sur cette plateforme, sans que vous doutiez de ce qui se passe réellement.
Les campagnes de phishing sur Office 365 de 2017
Les leurres les plus utilisés lors d’une attaque de phishing en 2017 étaient les notifications frauduleuses de faible espace de disque et les demandes d’examen d’un document sur DocuSign. Les emails contenaient des lignes d’objet comprenant des mots clés du genre « FYI », « Facture approuvée » ou « Fw : Paiements. » et invitaient les utilisateurs à fournir leurs identifiants Office 365.
Une fois que l’utilisateur saisit ses identifiants Office 365, l’attaquant les utilise pour envoyer des emails de phishing à d’autres cibles potentiels qui figurant dans sa liste de contacts.
Rappelons que fin 2017, Microsoft a décidé de renforcer la sécurité d’Outlook Office 365. Les utilisateurs peuvent désormais bénéficier d’une meilleure protection contre les malwares et les attaques de phishing, car le service de messagerie offre déjà un système de filtrage robuste des virus et des spams.
De plus, Outlook Office 365 a été enrichi de nouvelles composantes de sécurité tels que l’analyse des pièces jointes ou encore la de vérification des liens glissés dans les e-mails. Ainsi, lorsqu’un utilisateur clique sur un lien malveillant, il en sera alerté en temps réel.
Les attaques zero-day représentent le plus grand risque
De nombreuses applications de filtrage et de sécurité de messagerie peuvent bloquer les malwares connus qui sont utilisés dans les attaques de phishing. Malheureusement, il est beaucoup plus difficile de détecter les attaques zero-day.
Les attaques zero-day sont des campagnes de malware qui n’ont pas encore été démasquées par les filtres anti-spam classiques. La raison est que les logiciels antivirus dépendent beaucoup des fichiers de signatures d’attaques connues pour pouvoir les bloquer. Pourtant, les attaques zero-day n’en ont pas.
Avec les emails, il est encore plus difficile d’éviter les faux positifs tout en protégeant le système interne contre les attaques de phishing. Les faux positifs créent des ennuis pour l’utilisateur et peuvent affecter sa productivité. Le filtrage des emails est dans ce cas le moyen le plus efficace d’empêcher que les e-mails malveillants atteignent la boîte de réception de leurs destinataires.
Pour améliorer la protection des emails contre les menaces en ligne, l’administrateur Exchange a besoin d’une solution de messagerie sécurisée utilisant des algorithmes avancés et qui permettent de prédire les attaques zero-day. Cette solution doit associer vérification des pièces jointes, analyse du contenu, anti-typosquattage, protection des liens et chiffrement.
La combinaison de ces couches de protection fournit une solution complète anti-phishing et anti-malware. Comme Microsoft Exchange s’intègre à un environnement réseau Windows, la solution doit également fonctionner avec Active Directory et LDAP.
En 2020, quelles seront les principales menaces de phishing ?
Dans ce paragraphe, nous allons faire un tour d’horizon autour des quatre principales menaces lancées via les emails en 2020.
Les attaques BEC
D’abord, il y a les attaques de type BEC. Selon des informations obtenues auprès du FBI, celles-ci restent la principale menace pour les entreprises. En fait, le nombre d’attaques de type BEC a augmenté de 100 % entre le mois de mai 2018 et celui d’octobre 2019. Et sachez qu’en 2018, ces attaques ont coûté environ 1,2 milliard d’euros. Depuis 2016, elles ont déjà coûté environ 26 milliards d’euros.
La plupart des emails de phishing commencent par du « pretexting ». Les pirates utilisent par exemple un terme simple, du type « Bonjour, êtes-vous disponible ? ». De cette manière, le contenu semble légitime et l’email parvient souvent à contourner les filtres basés sur l’analyse de texte. Pire encore, certains fournisseurs de services gérés peuvent ajouter l’email en liste blanche une fois que le destinataire y répond. Ainsi, le pirate informatique peut devenir un expéditeur de confiance et continuer à échanger facilement avec sa victime.
Par ailleurs, les attaques de type BEC seront de plus en plus sophistiquées avec l’apprentissage machine, surtout grâce à des algorithmes de synthèse vocale qui peuvent imiter des voix. Les pirates informatiques continueront à exploiter cette technologie pour générer des spams téléphoniques, des appels automatiques, voire des messages personnalisés qui imitent par exemple la voix d’un PDG ou d’un cadre.
La sextorsion
La sextorsion a toujours existé, mais vous devez savoir qu’en 2020, cette forme d’attaque sera de plus en plus sophistiquée. Elle va revenir en force et son taux de réussite va se renforcer grâce aux nouvelles techniques que les pirates utilisent.
L’un des exemples que les pirates préfèrent actuellement utiliser est l’envoi d’emails dont le texte est une image. Afin de contourner les filtres web des entreprises, ils insèrent une capture d’écran d’un email dans le corps du message électronique qu’ils envoient à leurs victimes. Cette capture est hébergée sur un site internet et il n’inclut pas de contenu qui peut être analysé par les filtres. Cette technique sera utilisée par les pirates pour lancer des emails de sextorsion, et son taux de réussite va augmenter, car de nombreux filtres ne sont pas encore capables de détecter et d’interpréter des images.
Il existe une autre technique qui pourrait également gagner en popularité. En fait, les pirates peuvent diffuser des contenus malveillants cachés dans des fichiers Microsoft Office ou PDF. Pour ce faire, ils exploitent les fonctionnalités d’aperçu des pièces jointes des serveurs de messagerie comme Apple Mail. Une campagne de sextorsion récente a révélée qu’un e-mail avait une pièce jointe au format PDF. Grâce à la fonctionnalité d’aperçu des pièces jointes, celle-ci était visible directement par l’utilisateur. Quoi qu’il en soit, de nombreux filtres de messagerie ne sont pas encore en mesure de détecter et bloquer les contenus malveillants inclus dans les e-mails.
Les liens de phishing
En 2019, les campagnes de phishing qui incluent de fausses notifications de partage de fichiers sur SharePoint et OneDrive se sont multipliées. Les pirates utilisaient des URL SharePoint et OneDrive pour rediriger leurs victimes vers des pages de phishing. Dans certaines attaques plus sophistiquées, ils utilisaient des URL SharePoint et OneDrive authentiques. Ensuite, ils cachent des liens de phishing dans des fichiers légitimes pour qu’ils ne soient pas détectés par les technologies d’analyse des URL.
En 2020, cette technique pourrait toucher d’autres services d’hébergement, comme Google, DropBox, Evernote et WeTransfer.
Concrètement, lors d’une telle attaque, les pirates vous envoient un email qui vous informe qu’un de vos collaborateurs a partagé un document DropBox avec vous. Le message inclut un lien vers DropBox. Pourtant, le lien pourrait pointer vers une page de phishing ou lancer automatiquement le téléchargement d’un malware une fois que vous cliquez dessus.
Les fuites de données
Au cours des neuf premiers mois de l’année dernière, plus de 5 180 violations de données ont été signalées, selon les chiffres fournis par Risk Based Security, soit une augmentation de 33 % par rapport aux chiffres constatés en 2018. Au total, 7,9 milliards de comptes de messagerie ont été exposés à des risques de fuites de données. Des noms d’utilisateurs et des mots de passe ont été volés lors des campagnes de phishing. Ces informations se vendent actuellement sur le marché noir.
Grâce à ces informations, les pirates informatiques peuvent créer un profil virtuel de leurs victimes, étant donné qu’ils peuvent désormais connaitre vos loisirs, vos habitudes d’achat, votre orientation politique, etc. Ainsi, ils peuvent créer des emails personnalisés, ce qui augmente le taux de réussite de leurs campagnes de phishing. En effet, les fuites de données en 2019 se ressentiront certainement en 2020.
Méfiez-vous également des fausses alertes VPN qui escroquent les login Office 365
Les pirates peuvent tenter de voler les mots de passe de Microsoft Office 365 avec de faux e-mails de phishing d’alertes VPN. Selon un rapport de la société de cybersécurité Abnormal Security, ils utilisent de fausses alertes de mise à jour VPN dans le but de cibler les travailleurs à distance et de voler leurs identifiants Microsoft Office 365.
Dans cette escroquerie, les cybercriminels envoient des e-mails de phishing informant les utilisateurs d’une prétendue mise à jour VPN. Lorsque la victime clique sur un lien dans l’e-mail, il atterrit sur un faux site web qui lui vole son mot de passe et son nom d’utilisateur.
L’adresse électronique de l’expéditeur est usurpée pour se faire passer pour le domaine des organisations respectives des cibles. Jusqu’à 15 000 boîtes aux lettres électroniques d’entreprises ont reçu cet e-mail de phishing et de nombreuses versions de cette attaque ont été observées.
Selon ledit rapport, les e-mails se sont fait passer pour des messages de notification du support informatique de l’entreprise des destinataires. En masquant l’URL réelle, l’utilisateur peut ignorer que le site auquel il accède n’est pas la page légitime de Microsoft Office.
Les e-mails de phishing sont conçus à l’aide d’une messagerie visant à tromper les victimes en leur faisant croire qu’ils ont été envoyés par le service informatique de leur entreprise. Comme beaucoup d’emails de phishing, les victimes sont encouragées à agir immédiatement.
Les e-mails de phishing contiennent un lien qui prétend être une alerte de nouvelle configuration VPN accès à domicile. L’objectif de l’e-mail de phishing est de voler les informations d’identification de Microsoft Office 365. Si le destinataire clique sur le lien, il est dirigé vers une fausse page de connexion Microsoft où il est invité à saisir son nom d’utilisateur et son mot de passe. Comme beaucoup d’e-mails de phishing et de sites web usurpés, la page de renvoi utilisée lors d’une telle attaque ressemble beaucoup à la véritable page de connexion de Microsoft. Elle comprend les couleurs et le logo de Microsoft.
Pour rendre plus difficile la détection du site malveillant, il est hébergé sur une plate-forme Microsoft.net. Il dispose d’un certificat de sécurité valide permettant à l’arnaque d’échapper aux outils de détection des malwares. L’URL du site est masquée, de sorte que toute personne qui survole le lien ne se rend pas compte qu’il ne s’agit pas de la page de connexion légitime de Microsoft Office.
Prévention des attaques de phishing via Office 365
Les services de messagerie dans le cloud comme Office 365 seront encore très utilisés pendant des années, étant donné les nombreux avantages qu’ils présentent. Mais le fait est que, dans le contexte actuel, les cybercriminels feront aussi tout leur possible pour accroître l’efficacité de leurs attaques.
Le phishing d’Office 365 échappe à bon nombre des solutions de sécurité informatique standard. De plus, les logiciels antimalware et les filtres antispam basés sur la réputation ne peuvent pas les repérer tous.
Pour renforcer votre sécurité informatique, vous pouvez donc :
- Mettre en place des niveaux d’exigences rigoureuses en termes de sécurité des mots de passe.
- Activer l’authentification multifactorielle ainsi que les alertes e-mails en cas d’activité suspecte.
- Séparer les comptes utilisateurs des comptes professionnels.
- Établir une politique de verrouillage des sessions après un certain nombre d’échecs de tentatives de connexion
- Désactiver les protocoles et outils de messagerie inutiles et qui peuvent être utilisés par les pirates pour masquer leurs actions malveillantes.
- Établir des politiques d’archivage des e-mails.
- Faire appel à une solution de sécurité comme SpamTitan.
N’oubliez pas de mettre en place des systèmes de vérifications verbales lorsqu’on demande à vos employés de faire des virements bancaires, et de déployer une technologie antiphishing avancée.
Enfin, n’oubliez pas de réaliser régulièrement des exercices de simulation de phishing pour former vos employés à reconnaître les e-mails malveillants et à adopter les mesures adéquates en cas de besoin.
Protection contre le phishing avec EOP
EOP – une fonctionnalité de Microsoft qui n’utilise pas Microsoft Defender pour Office 365 – contient des fonctionnalités permettant d’aider à protéger votre organisation contre les menaces de phishing.
Le spoofing
Comme l’expéditeur usurpe l’adresse e-mail de vos employés, il se fait passer pour un utilisateur de l’un des domaines de votre organisation ou pour un utilisateur d’un domaine externe qui envoie des messages à votre organisation. Les pirates qui usurpent l’adresse d’un expéditeur pour envoyer du spam ou du phishing doivent être bloqués.
Avec Microsoft 365, les messages électroniques entrants sont automatiquement protégés contre l’usurpation. EOP utilise les renseignements sur l’usurpation d’identité dans le cadre de la défense globale de votre entreprise contre le phishing.
Les politiques anti-phishing
Vous pouvez activer ou désactiver la fonction d’identification d’un expéditeur non authentifié dans Outlook. Il est également possible de spécifier l’action pour les expéditeurs usurpés bloqués.
Lorsque vous annulez le verdict de l’analyse des renseignements sur l’usurpation d’identité, l’expéditeur malveillant devient une entrée manuelle d’autorisation ou de blocage qui apparaît uniquement dans l’onglet « Usurpation d’identité » de la liste des locataires bloqués ou autorisés. Vous pouvez également créer manuellement des entrées de blocage ou d’autorisation pour les expéditeurs avant qu’ils ne soient détectés par le système anti-spoofing.
L’authentification implicite des e-mails
En plus des solutions susmentionnées, sachez qu’EOP améliore les contrôles d’authentification standard des e-mails entrants via différents protocoles (SPF, DKIM et DMARC) avec la réputation et l’historique de l’expéditeur, l’historique du destinataire, l’analyse comportementale et d’autres techniques qui aident à identifier les faux expéditeurs.
Protection supplémentaire contre le phishing avec Microsoft Defender
Microsoft Defender contient des fonctionnalités anti-phishing supplémentaires et plus avancées. Pour ce faire, vous pouvez configurer les paramètres de protection contre l’usurpation d’identité pour des expéditeurs de messages et des domaines expéditeurs spécifiques, les paramètres d’intelligence des boîtes aux lettres, etc.
L’apprentissage automatique et l’heuristique permettent d’identifier et d’analyser les messages qui participent à des attaques de phishing coordonnées contre l’ensemble du service et votre organisation.
Les administrateurs peuvent aussi créer de faux messages de phishing et les envoyer à vos employés en tant qu’outil de formation.
Utiliser Microsoft Outlook pour stopper les e-mails de phishing
Microsoft Outlook dispose de quelques outils intégrés pouvant aider à bloquer les e-mails de phishing. À partir de votre compte administrateur, il suffit de cliquer sur « Fichier », puis sur « Règles et alertes ». Ensuite, vous pouvez configurer vos propres règles et alertes qui vous donnent un certain degré de contrôle sur vos e-mails.
Cette fonction est importante, car elle vous permet, par exemple, de déplacer tous les e-mails dont l’objet contient un certain mot vers un dossier spécifique. Ainsi, si vous recevez constamment des messages de phishing dont l’objet est du type « Vous avez gagné un iPhone ! », n’hésitez pas à les déplacer automatiquement dans le dossier de spams.
De même, il est possible de configurer des alertes dans ces cas-là si vous voulez vous tenir au courant de tout e-mail de masse ou d’attaques potentielles.
Alors que de nombreuses personnes considèrent le dossier « Courrier indésirable » comme le dernier arrêt pour tout mauvais e-mail. Il s’agit d’un outil extrêmement puissant, à condition qu’il soit utilisé correctement. Grâce au dossier « Courrier indésirable », vous pouvez définir des règles comme les expéditeurs bloqués ou les expéditeurs sûrs. Vous pouvez aussi prendre un certain contrôle sur ce qui est livré dans votre boîte de réception – et celle de vos employés.
Il existe de nombreux autres conseils et outils qui vous permettront d’utiliser Microsoft Office 365 afin d’empêcher l’envoi d’e-mails de phishing, tels que les règles qui étiquettent les e-mails externes et autres.
Les filtres de base ne suffisent pas
Les attaques de phishing continuent d’augmenter et adoptent de nouvelles tactiques ; et les spams augmentent en conséquence.
Au deuxième trimestre de 2018, la quantité moyenne de spam dans le trafic de courrier électronique dans le monde a atteint 51 % au mois de mai, alors que la moyenne était de 50 %.
Pour identifier les problèmes dans les emails, les anciens filtres de messagerie vérifiaient la présence de mots spécifiques dans le titre ; d’un expéditeur spécifique ou de phrases trouvées dans le contenu. De nos jours, cette méthode n’est plus suffisante. Les pirates informatiques disposent actuellement d’un arsenal de techniques qui leur permettent de contourner cette méthode.
D’une part, les entreprises qui utilisent Office 365 se doivent de fournir à leurs employés une formation de sensibilisation à la sécurité informatique. Elles doivent également mettre en œuvre des filtres de courrier électronique plus efficaces, capable d’analyser le contenu. Par ailleurs, les entreprises doivent mettre en œuvre des couches de filtrage fiables pour déterminer si un email ou un lien dans un email pourrait être malveillant.
Avec le filtre de messagerie SpamTitan, vous offrez une passerelle de messagerie dédiée qui protège entièrement votre serveur Exchange et chaque destinataire au sein de votre entreprise. SpamTitan fournit une protection contre le phishing. Il empêche le whaling et le spear phishing grâce à l’analyse de tous les emails entrants en temps réel.
SpamTitan recherche des indicateurs clés dans l’en-tête de l’email, dans son contenu et dans les informations de domaine. SpamTitan effectue également une analyse de réputation de tous les liens (y compris les URL raccourcis) qui peuvent se trouver dans les emails. Ainsi, il peut bloquer les e-mails malveillants avant leur envoi à l’utilisateur final.
Voici comment SpamTitan vous protège contre les tentatives de phishing :
- Analyse de la réputation d’URL lors de l’analyse de plusieurs réputations.
- Détection et blocage des courriers électroniques malveillants de spear phishing avec d’autres malwares existants ou nouveaux.
- Utilisation de règles heuristiques permettant de détecter les attaques de phishing basées sur les en-têtes de message. Celles-ci sont mises à jour fréquemment pour faire face aux nouvelles menaces.
- Synchronisation facile avec Active Directory et LDAP.
- Les niveaux de confiance du spam peuvent être appliqués par utilisateur, par groupe d’utilisateurs et par domaine.
- Utilisation d’une liste blanche ou liste noire d’expéditeurs/adresses IP.
- Solution infiniment évolutive et universellement compatible.
La combinaison de ces fonctionnalités permet à SpamTitan de garantir une excellente protection aux utilisateurs d’Office365. Il protège également les entreprises contre les attaques par spear phishing, le piratage par email professionnel (BEC) et la cyberfraude.
Enfin, les administrateurs système qui implémentent Office 365 doivent s’assurer qu’il est sécurisé. Pour se protéger contre les menaces persistantes avancées, ils ont intérêt à ajouter une solution hautement sécurisée de filtrage du spam comme SpamTitan.
Conclusion
Le logiciel Microsoft Office 365 offre quelques fonctionnalités puissantes pour arrêter les e-mails de phishing. Cependant, elles ne sont pas suffisantes pour stopper les attaques cybercriminelles que votre organisation reçoit souvent. Une combinaison des solutions Microsoft O365 et d’un outil antiphishing spécialement conçu est la meilleure façon de vous protéger, ainsi que vos employés.
Selon The Phish Report 2018, 76 % des entreprises ont déjà connu des attaques de phishing en 2017. Pourtant, 97 % d’entre elles disposent déjà d’un filtre à spam/e-mail. Si vous pensez donc que votre organisation est à l’abri des attaques lancées via les e-mails, car vous avez activé les systèmes de sécurité de la messagerie d’Office 365, alors vous avez tort.
Le mieux serait également d’ajouter d’autres solutions permettant de bloquer efficacement les nouvelles menaces de phishing et les attaques du type Zero Day. Pour ce faire, vous pouvez adopter notre solution SpamTitan.
Découvrez SpamTitan dès aujourd’hui et inscrivez-vous pour obtenir un essai gratuit.