Aujourd’hui, nous partageons avec Steve Havert, un pro de l’informatique expérimenté, d’autres informations précieuses sur la sécurité de la messagerie. Dans cet article, Steve s’intéresse à l’usurpation d’adresse électronique, ou email spoofing, un outil souvent utilisé par les spammeurs pour diffuser des campagnes de phishing.

L’usurpation d’adresse électronique, ou email spoofing, est utilisée depuis longtemps comme un moyen efficace pour les spammeurs d’atteindre leurs cibles. Bien qu’il existe des méthodes pour identifier une adresse d’e-mail usurpée, aucune d’entre elles n’est parfaite et elles risquent d’être considérées comme des spams.

Un e-mail falsifié est simplement un e-mail dont l’adresse de l’expéditeur a été falsifiée. Lorsqu’un destinataire reçoit le message, il croit qu’il vient d’une source connue et qu’il est plus susceptible de l’ouvrir, de cliquer sur un lien dans le message ou d’ouvrir une pièce jointe.

Grâce à cette technique, les cybercriminels peuvent atteindre un certain nombre d’objectifs, notamment le phishing, l’installation de malwares, l’accès à des données confidentielles, etc.

Le dernier en date des gros titres, « Locky », se propage le plus souvent par le biais de e-mails non sollicités, dont la plupart sont déguisés en factures et utilisent souvent une adresse électronique usurpée.

La première fois que j’ai trouvé une adresse e-mail usurpée, je dirigeais ma propre entreprise de conseil IT qui offrait des services d’externalisation IT aux petites entreprises. À l’époque, les plus grandes menaces provenant de l’ouverture d’e-mails malveillants étaient les virus informatiques. Dans ce cas, mon client avait ouvert une pièce jointe à un e-mail qu’il avait reçu d’un associé d’affaires (du moins le pensait-il) et avait libéré un virus qui n’avait pas causé beaucoup de dommages, mais qui avait transformé son ordinateur en spambot.

À propos de Steve Havert

Steve Havert est un professionnel indépendant de l’IT basé à Seattle, WA. Il a passé ses trente-six années de carrière en TI à travailler dans tous les domaines des TI pour de grandes entreprises ainsi que dans sa propre entreprise de conseil IT à Orange County, en Californie.

Il s’épanouit dans les défis organisationnels et techniques et a travaillé avec de nombreuses organisations, aidant chacune d’entre elles à améliorer l’aspect de leur infrastructure, leur stratégie informatique, leurs opérations quotidiennes ou encore de leurs systèmes de cybersécurité. Il aide également les entreprises à résoudre les défis opérationnels et commerciaux grâce à l’application de solutions technologiques répondant à leurs objectifs budgétaires.

Il continue à travailler comme consultant indépendant tout en poursuivant une seconde carrière dans la photographie.

L’adresse e-mail de l’expéditeur est falsifiée

Il a soupçonné un problème lorsqu’il a commencé à recevoir une grande quantité de rapports non livrables (FDN) dans un court laps de temps.

Son carnet d’adresses électroniques contenait un certain nombre d’adresses électroniques invalides et les spams générés par son ordinateur étaient renvoyés par les serveurs des adresses invalides. Il était surpris que son associé envoie un e-mail infecté. Il a communiqué avec l’associé pour l’avertir que son ordinateur (celui de l’associé) était infecté.

L’associé a analysé plusieurs virus et n’a rien trouvé. Le temps que mon client m’appelle, il était déconcerté. Dès que j’ai regardé l’en-tête de l’e-mail en question, j’ai réalisé ce qui s’était passé. J’ai expliqué le concept d’usurpation d’adresse électronique à mon client. Il était incrédule que quelqu’un ait pu falsifier une adresse électronique d’expéditeur.

Comment le spoofing par email a évolué et est devenue plus risqué ?

Je me souviens parfois de cette époque comme du bon vieux temps. Les types d’attaques que mes clients ont subies avaient tendance à causer des dommages minimes.

La plupart du temps, ils commençaient à recevoir des pop-ups ennuyeux ou leur ordinateur commençait à ralentir quand un moteur de spambot commençait à envoyer des emails à tout le monde dans leur carnet d’adresses ou un programme en arrière-plan téléchargeait l’historique de navigation vers un serveur quelque part.

Une catastrophe coûteuse

Parfois, il y avait un désastre coûteux – comme lorsque l’ordinateur d’un client était infecté par le virus ILOVEYOU (attaché à un e-mail usurpé) qui écrasait plusieurs centaines de fichiers avant qu’il ne se rende compte qu’il y avait un problème.

S’il avait sauvegardé son ordinateur sur une base régulière (comme je lui avais demandé), il n’y aurait pas eu de désastre. (Comme le dit le proverbe : « On peut mener un cheval à l’eau, mais on ne peut pas le faire boire. »)

Les différents types de spoofing

Le spoofing ne se limite pas à l’envoi des e-mails malveillants dans le but de voler des informations personnelles ou d’infecter l’ordinateur des victimes avec un malware.

Il peut se présenter sous d’autres formes, dont les différences dépendent généralement de la méthode de communication utilisée.

Usurpation de l’identité de l’appelant

Dans ce cas, les escrocs utilisent le téléphone pour appeler leurs cibles en usurpant l’identité d’autres contacts qui semblent légitimes pour leurs victimes.

Selon la Commission fédérale des communications (FCC), une agence indépendante du gouvernement des États-Unis, l’usurpation d’identité de l’appelant se produit lorsqu’un escroc tente de falsifier de manière délibérée les informations transmises à son interlocuteur pour dissimuler son identité.

Les victimes peuvent ainsi être amenées à répondre aux appels téléphoniques et à fournir des informations personnelles aux escrocs, étant donné que leur identité semble provenir d’une source fiable, telle qu’une agence gouvernementale.

Spoofing du DNS

L’usurpation du DNS est une autre forme d’attaque utilisant le spoofing.

Selon Kaspersky, elle profite des vulnérabilités du système dans votre serveur de nom de domaine dans le but de détourner le trafic des serveurs légitimes puis de le diriger vers des serveurs malveillants.

En général, le code malveillant qui est utilisé dans cette forme de spoofing peut être caché dans des éléments comme des liens intégrés à des spams ou dans des bannières publicitaires dans des sites web.

Une fois que la victime clique sur le lien infecté par le code, son ordinateur la dirige vers de faux sites web qui ont été conçus pour paraître fiables et pour l’inciter à donner des informations sensibles.

Ces sites Web peuvent être utilisés pour nuire aux ordinateurs vulnérables des victimes ou pour télécharger des spywares, des virus et des enregistreurs de frappe.

Spoofing des adresses IP

L’usurpation des adresses IP (Internet protocol) est très particulier, car au lieu de se fier à des gens humains aux intentions malveillantes, elle vise principalement à tromper les systèmes informatiques afin qu’ils acceptent des données en fournissant une fausse adresse IP source.

Les cybercriminels peuvent dans ce cas se faire passer pour une source fiable ou dissimuler leur propre identité.

Si ce type de spoofing réussit, il peut donner lieu à des cyberattaques encore plus graves comme les attaques contre les réseaux distribués (DDoS).

Quelle est la différence entre le spoofing et le phishing ?

Beaucoup de gens confondent le spoofing et le phishing et pensent que c’est la même chose.

En fait, le spoofing est une méthode de livraison, tandis que le phishing est une méthode de récupération.

Personne ne souhaite télécharger délibérément un malware sur son réseau. Cependant, un de vos employés pourrait être amené à faire cela grâce à la ruse que les pirates utilisent, par exemple lorsqu’ils envoient un e-mail contenant un malware et qui semble provenir d’une source fiable.

Pour ce faire, ils peuvent concevoir des contrefaçons parfaites des e-mails d’entreprise pour tromper vos employés et les amener à prendre des décisions malavisées.

Le message peut les avertir d’une attaque imminente, les obliger à suivre certaines instructions de la part de son expéditeur. D’une manière générale, le principe consiste à solliciter le destinataire de l’e-mail à cliquer sur un lien qui y est fourni.

En faisant cela, la victime va exécuter un fichier ou un programme malveillant pouvant endommager vos réseaux informatiques. C’est la méthode de livraison utilisée notamment lors d’une attaque de phishing.

Plus la forme de communication utilisée par le pirate est crédible, plus ses victimes risquent d’être la proie de ses tentatives.

Quant au spoofing, le but est simplement de voler l’identité d’une personne légitime pour mettre en œuvre des actions malveillantes (c’est la méthode de récupération). En d’autres termes, un utilisateur doit télécharger un malware dans l’ordinateur d’un autre utilisateur pour que l’attaque réussisse.

Il faut toutefois noter que le spoofing peut être en partie du phishing. Par contre, le phishing ne fait pas partie du spoofing. La principale différence entre ces deux types d’attaques est que le phishing peut impliquer une sorte de spoofing, que le pirate utilise une adresse électronique, un numéro de téléphone ou un domaine de site web, afin de rendre sa tactique plus valable.

Cependant, d’autres formes de cyberattaques peuvent impliquer le spoofing lorsque les cybercriminels tentent de cacher la véritable source de l’attaque. C’est par exemple le cas lors d’une attaque DDoS que nous venons d’évoquer.

Aucune entreprise n’est à l’abri de la perte de données

Les risques liés aux e-mails usurpés et malveillants sont beaucoup plus grands aujourd’hui. Les individus peuvent perdre leur sécurité financière en raison du vol d’identité.

Les bases de données des organisations peuvent être exploitées pour les numéros de sécurité sociale, les renseignements sur les cartes de crédit, les dossiers médicaux, les numéros de comptes bancaires, etc., ce qui entraîne des milliards de dollars de dommages, non seulement pour l’organisation, mais aussi pour les personnes dont les renseignements ont été volées.

Les petites entreprises sont souvent victimes d’importants dommages financiers causés par les e-mails malveillants. Nous n’en entendons généralement pas parler autant que des grandes cibles, Sonys et Homebases de ce monde.

J’ai eu un client qui a perdu plusieurs centaines de fichiers à cause d’un virus qui s’est manifesté sous la forme d’une pièce jointe à un e-mail usurpé. Il s’agissait de fichiers actuels qui étaient essentiels à un projet sur lequel l’entreprise travaillait mais qui n’avaient pas encore été sauvegardés.

Ils n’avaient pas d’autre choix que de recréer les documents à partir de zéro ou de versions plus anciennes, ce qui leur coûtait des milliers de dollars en heures supplémentaires. Aucune entreprise n’est à l’abri de la perte de données et les petites entreprises souffrent souvent le plus.

Comment se protéger contre le spoofing et les tentatives de phishing ?

Malgré le fait qu’il soit relativement facile de se protéger contre les e-mails frauduleux, c’est toujours une technique courante utilisée par les spammers et les cybercriminels.

Il faut un certain effort, et donc de l’argent, pour se protéger de l’email spoofing. Je soupçonne que c’est la raison pour laquelle de nombreuses petites entreprises ne prennent pas les précautions nécessaires.

Ma recommandation à mes clients est assez simple :

  • Prenez un abonnement à un service de filtre anti-spam très efficace et réévaluez son efficacité chaque année.
  • Désignez quelqu’un (si ce n’est pas un employé, engagez une ESN ou un partenaire externe) pour surveiller et administrer le système d’e-mail, y compris le service de filtrage du spam. Ce n’est pas une tâche triviale, car la fonctionnalité de messagerie électronique change, les nouvelles menaces évoluent constamment et les adresses électroniques évoluent fréquemment en raison des changements de personnel.
  • Sensibiliser les employés à l’usurpation d’adresse électronique et aux autres techniques utilisées par les spammers et les cybercriminels. Formez-les sur ce qu’il faut rechercher lors de l’analyse de leur boîte de réception afin qu’ils puissent rapidement identifier les e-mails malveillants potentiels. Fournissez-leur une ressource qui peut les aider à décider s’ils ne sont pas sûrs qu’un e-mail est bidon.

L’e-mail est un outil de communication d’affaires nécessaire et extrêmement utile. Malheureusement, parce qu’il est tellement utilisé qu’il constitue une cible facile pour les cybercriminels. Pour un utilisateur moyen de courrier électronique, il est difficile, au mieux, de repérer un e-mail malveillant parmi les centaines ou les milliers d’e-mails qui se déversent dans sa boîte de réception.

C’est pourquoi il est si important pour les organisations d’allouer les ressources et les fonds nécessaires pour protéger leur personnel et leur organisation contre toutes les menaces qui peuvent arriver comme un message innocent d’un ami.

Les conseils de TitanHQ pour se protéger du spoofing

Étant donné l’ingéniosité des escrocs, la grande question est de savoir ce qui ne peut pas être usurpé.

Bien entendu, il existe de nombreux types de spoofing que les cybercriminels peuvent utiliser pour vous convaincre de se faire passer pour de gens qu’ils ne sont pas.

Pour lutter contre ce phénomène, l’information est essentielle. Le simple fait de savoir que les en-têtes des e-mails peuvent être usurpés devrait vous permettre d’être prudent lorsque vous lisez un courrier électronique.

Si une personne de votre connaissance vous envoie un message, même si celui-ci ne vous paraît pas étrange, ne vous contentez pas de l’ouvrir.

Un simple geste, comme le fait d’appeler le destinataire constitue un excellent moyen de contourner l’incertitude dont profite le phishing.

En effet, vos employés constituent le maillon faible de votre sécurité. Ils sont vulnérables, du moins jusqu’à ce qu’ils soient en mesure de reconnaître et de signaler les tentatives de phishing.

Le phishing et les attaques utilisant l’ingénierie sociale sont de nos jours les premiers vecteurs d’attaques cybercriminelles.

Des recherches ont révélé que plus de 90 000 campagnes de phishing sont lancées chaque mois et qu’ils figurent parmi les menaces le plus répandues et les principales préoccupations des professionnels de la sécurité informatique.

Pour protéger votre entreprise, il est donc important de sensibiliser vos employés au phishing.

En d’autres termes, vous devriez les apprendre à repérer et à signaler les tentatives de spoofing.

Commencez par la formation de vos employés

La formation de sensibilisation au spoofing commence par l’éducation de vos employés sur les raisons pour lesquelles il est nuisible pour votre organisation. Vous devriez également leur donner les moyens de détecter et de signaler les tentatives de spoofing.

Selon la culture de votre organisation, vous pouvez organiser une formation initiale via un document écrit, une vidéo en ligne ou des réunions d’entreprise ou combiner ces différents éléments.

Créez des campagnes de phishing simulées

Les simulations de spoofing renforcent la formation de vos employés. Elles vous aident également à comprendre vos propres risques et à améliorer votre stratégie en cas d’attaque de phishing.

Ces campagnes ne peuvent prendre de nombreuses formes, comme la simulation de phishing de masse, le lancement d’une attaque de spear phishing et de whaling.

Renforcez la formation de sensibilisation au spoofing

Il ne suffit pas d’organiser une formation ponctuelle pour que vos employés puissent être à l’affût des dernières tendances en matière de spoofing.

Comme les cybercriminels changent constamment de tactique, il faut donc que vos employés soient informés des récentes attaques, et ce, grâce à des formations régulières sur la cybersécurité.

Cela garantira la mise en place d’une culture de la cybersécurité fiable à tous les niveaux de l’entreprise.

SpamTitan Cloud, la solution pour réduire au minimum le risque de spoofing

Depuis 1999, SpamTitan a mis en place un service de renseignements sur les menaces de spooffing afin de réduire considérablement le risque d’une attaque réussie contre votre entreprise.

Avec SpamTitan, vous réduisez considérablement le risque que de nouvelles variantes d’e-mails malveillants contournent le système de sécurité de votre réseau.

Il n’est pas difficile de bloquer ces attaques de spoofing par la messagerie électronique, mais de nombreuses entreprises demeurent vulnérables à ce type d’attaque.

La formation des employés à la sécurité est indispensable, mais force est de constater qu’il pourrait toujours y avoir certains d’entre eux qui n’appliquent pas les mesures nécessaires pour mieux protéger votre organisation.

Il est également peu probable qu’ils reconnaissent tous les menaces pour ce qu’elles sont. Il leur est donc souvent d’identifier toutes les tentatives de spoofing, malgré les formations et simulations dont ils ont bénéficié.

Ce qu’il vous faut, c’est donc une solution avancée de filtrage du spam qui est en mesure de détecter les attaques de spoofing et de bloquer les e-mails malveillants à la source.

De cette manière, vous pourrez empêcher que les messages n’arrivent pas dans les boîtes de réception de vos employés.

SpamTitan Cloud, une solution basée dans le cloud, permet par exemple de bloquer plus de 99,9 % des spams et d’éventuelles attaques de spoofing pour protéger votre entreprise.

Ce ne sont pas seulement les adresses e-mails qui peuvent être usurpés

L’usurpation d’identité via la messagerie électronique est le plus souvent utilisée dans le cadre du phishing, du spear phishing et de whaling.

Mais il existe de nombreux autres types d’attaques cybercriminelles.

Usurpation d’identité par téléphone et SMS – le Smishing

En quoi cela consiste exactement ?

Grâce à la technologie moderne, les cybercriminels sont actuellement capables de masquer leur numéro de téléphone en utilisant des numéros inconnus, des numéros existants ou non attribués.

L’usurpation d’identité par téléphone et par SMS est particulièrement dangereuse lorsqu’elle est associée à l’ingénierie sociale.

Imaginez que votre téléphone identifie l’appelant en indiquant qu’il s’agit de la police locale. Une fois que vous décrochez, on vous informe que vous êtes menacé d’une peine de prison.

Si vous n’êtes pas familier avec ce type d’arnaque, cela pourrait vous désorienter. De la même manière, les SMS peuvent également être usurpés, alors soyez à l’affût de messages suspects qui sont censés provenir d’amis légitimes, de membres de votre famille ou de vos proches.

Cette forme d’attaque est souvent utilisée dans les escroqueries visant le personnel du support technique, les escroqueries au fisc et d’autres escroqueries par phishing vocal ou via le SMS.

Pour lutter contre ce phénomène, il convient encore de bien former vos employés. Bien entendu, cela ne signifie pas que vous ne serez plus jamais escroqué via le téléphone ou les SMS, mais la prise de conscience est essentielle pour favoriser la prudence de vos employés et donc de sécuriser votre organisation.

Retenez que la plupart des entreprises et des personnes respectables ne vous appelleront pas à l’improviste pour vous faire des offres gratuites. Elles ne vous offriront pas un soutien à l’improviste ou vous menaceront.

Usurpation de site web

Dans ce cas, les pirates informatiques tentent d’usurper votre site web en faisant référence à plusieurs scénarios dans lesquels ils attirent involontairement vos employés vers une page qu’ils ont créée.

Pour ce faire, ils développent une page qui ressemble à une page web de votre entreprise ou un site auquel vous aviez l’intention d’accéder.

Ils peuvent vous rediriger vers la page malveillante en réorientant vos requêtes sur le web ou en envoyant des e-mails frauduleux via un service de messagerie électronique qui est dupliqué de celui de votre entreprise.

Ce genre d’attaque est souvent utilisé dans le cadre d’un typosquattage — est une forme de piratage fondé principalement sur les fautes de frappe et d’orthographe commises par vos employés au moment de saisir une adresse web dans un navigateur – ou d’un pharming — est une technique consistant à exploiter des vulnérabilités des services DNS et à la configuration de faux sites web.

Conclusion

La cybersécurité prend de plus en plus d’importance au sein des entreprises, notamment pour celles qui utilisent les technologies les plus avancées.

Si vous voulez obtenir les derniers conseils concernant la manière de protéger votre entreprise contre le spoofing, appelez l’équipe de TitanHQ dès aujourd’hui.

Notre équipe spécialisée dans ce domaine se fera un plaisir de vous parler de notre produit SpamTitan et vous aidera à trouver la configuration la mieux adaptée à votre entreprise. Nous pouvons également vous faire une démonstration complète et vous proposer un essai gratuit de notre produit.

Questions fréquentes sur le spoofing

Le spoofing peut-il être facile à repérer ?

Parfois, il est facile de savoir que vous êtes victime d’une attaque de spoofing, mais pas toujours. En fait, les pirates mènent des attaques d’usurpation d’identité de plus en plus sophistiquées, ce qui exige plus de vigilance de votre part.

Que signifie le terme « facial spoofing » ?

C’est l’une des plus récentes formes d’usurpation que les pirates utilisent. La technologie de l’identification faciale est encore assez limitée. Nous l’utilisons pour déverrouiller certains appareils mobiles et ordinateurs portables, et cela s’arrête généralement là. Bientôt, il sera possible d’effectuer des paiements et de signer des documents avec votre visage. Imaginez donc les conséquences lorsque vous pouvez ouvrir une ligne de crédit seulement avec votre visage. Des chercheurs ont démontré qu’il est possible de créer des modèles faciaux en 3D à partir des photos que vous publiez sur les médias sociaux. Si les pirates parviennent à faire cela, ils peuvent pirater un de vos appareils verrouillés par identification faciale. Pour éviter cela, il est important d’utiliser l’authentification multifacteurs.

Quelle est la relation entre le phishing et le spoofing ?

Si le spoofing et le phishing sont deux types de cyberattaques différents, le phishing s’appuie souvent sur le spoofing pour réussir.

Pourquoi l’usurpation d’identité est-elle mauvaise ?

Quel que soit le type de spoofing utilisé, les principes de base restent les mêmes : le pirate trompe ses victimes en prétendant être quelqu’un qu’il n’est pas. S’il parvient à obtenir la confiance de la victime, le danger devient donc évident.

Un antivirus peut-il vous protéger des attaques de spoofing ?

C’est possible, à condition que le logiciel utilisé soit éprouvé. Il doit comprendre plusieurs couches de protection avancées qui peuvent fonctionner de concert afin de détecter les menaces en temps réel.