Des pirates ont utilisé les emails de phishing qui distribuent le ransomware WannaCry pour mener des attaques cybercriminelles à l’échelle mondiale.
Une campagne d’emails a été découverte au Royaume-Uni, visant les clients de la marque BT (anciennement British Telecom). Les hackers ont été capables d’usurper des noms de domaines de BT pour rendre leurs emails de phishing très réalistes. Ils ont utilisé le logo BT et bien conçu les messages. Ceux-ci prétendaient avoir été envoyés par Libby Barr, responsable des ventes et du service à la clientèle chez BT. Les emails semblaient donc authentiques et ils étaient parvenus à tromper de nombreux clients.
Les emails affirment que BT souhaite améliorer sa sécurité informatique, notamment contre la campagne de ransomwares qui a touché plus de 300 000 ordinateurs dans 150 pays le 12 mai 2017. Au Royaume-Uni, 20 % des NHS (Service national de santé) ont été touchées par cet incident. Ils ont vu leurs données chiffrées et leurs services gravement endommagés par les attaques de ransomware. Si votre organisation est basée au Royaume-Uni, il vous serait extrêmement difficile d’éviter ces attaques et d’en subir les dommages qu’elles ont infligés.
Les emails de phishing qui distribuent WannaCry incitent les clients de BT à agir rapidement. En effet, ils proposaient une mise à niveau de sécurité pour empêcher les utilisateurs d’être victimes des attaques de ransomwares. Les emails affirment que, pour protéger les données sensibles des clients, l’accès à certaines fonctions a été désactivé sur les comptes BT. Ces derniers sont donc informés que, pour restaurer toutes les fonctionnalités, ils doivent confirmer la mise à niveau de sécurité en sélectionnant la case de mise à niveau contenue dans l’email.
Bien entendu, si la victime ouvre le lien, cela n’entraînera pas l’application d’une mise à jour de sécurité. Au lieu de cela, ils sont tenus de partager leurs identifiants de connexion avec les hackers.
D’autres emails de phishing utilisant WannaCry sont susceptibles d’être envoyés par d’autres fournisseurs de services aux intentions malveillantes. Des campagnes similaires pourraient être utilisées pour installer discrètement des malwares ou des ransomwares.
Les pirates informatiques profitent souvent des actualités internationales qui suscitent beaucoup d’intérêt dans les médias pour mener des attaques. Il y avait par exemple beaucoup de spams envoyés sur le thème des Jeux olympiques au cours de cet évènement. Les emails de phishing étaient également répandus pendant les élections présidentielles américaines, la Coupe du monde et l’épidémie du virus Zika.
Il est essentiel de ne jamais cliquer sur des liens envoyés par emails et par des personnes que vous ne connaissez pas. Vous devriez également être extrêmement prudent lorsque vous visitez des liens envoyés par des personnes que vous connaissez et supposez toujours que les messages électroniques que vous recevez pourraient toujours être un email de phishing ou malveillant.
Un seul email de phishing envoyé à un membre de votre personnel peut entraîner une atteinte à la protection des données ou une atteinte à votre réseau informatique. Il est donc crucial que les employeurs soient prudents. Vos employés devraient recevoir une formation de sensibilisation au phishing et apprendre à adopter les mesures nécessaires lorsqu’ils se doutent de l’authenticité des messages qu’ils reçoivent.
Vous devriez également mettre en place une solution avancée de filtrage du spam pour empêcher la plupart des emails de phishing d’arriver dans les boîtes de réception de vos employés. TitanHQ est là pour vous aider dans cette démarche. Contactez notre équipe dès maintenant pour voir comment notre solution de filtrage des emails, SpamTitan, peut protéger votre entreprise contre le phishing, les malwares et les ransomwares.
Les cybercriminels utilisent SharePoint pour envoyer des documents malveillants aux entreprises au Royaume-Uni. Cette tactique a permis à de nombreux e-mails de contourner les défenses de sécurité de la messagerie électronique et d’arriver dans les boîtes de réception des employés.
La campagne semble cibler les entreprises du secteur des services financiers et vise à obtenir des informations d’identification Office 365 des victimes et des combinaisons de nom d’utilisateur et de mot de passe des fournisseurs de services de messagerie. Ces informations d’identification peuvent être utilisées pour accéder à des informations sensibles dans les comptes de messagerie et dans les systèmes de stockage dans le cloud comme OneDrive.
Lors de la dernière campagne, le pirate informatique a utilisé un compte de messagerie compromis d’un cabinet d’avocats de Londres pour envoyer des e-mails aux employés d’entreprises du secteur des services financiers. L’attaquant a utilisé SharePoint pour envoyer une demande de révision d’un document. Pour visualiser le document, l’utilisateur doit cliquer sur un lien intégré dans l’e-mail.
Si l’utilisateur clique sur le lien, il est dirigé vers SharePoint et vers une autre URL malveillante où il sera invité à télécharger un document OneNote. Pour télécharger le document, il doit saisir ses identifiants de connexion.
Puisque l’URL initiale utilise le nom de domaine SharePoint, de nombreuses solutions de sécurité de messagerie ne parviennent pas à identifier le lien comme malveillant. Des tactiques similaires ont été utilisées dans les campagnes de phishing liées à OneDrive, Citrix ShareFile, Google Drive et Windows.net. Étant donné que les noms de domaine utilisés semblaient authentiques et que les e-mails ne contenaient aucun malware, les messages ont été transmis aux utilisateurs finaux.
L’URL utilisée dans cette campagne aurait pu susciter des soupçons même si elle utilisait un nom de domaine SharePoint. Pourtant, tous les utilisateurs ne vérifient pas soigneusement les URL, ou bien ils ne pouvaient pas lire l’URL complète sur les appareils mobiles. Ceci augmente le risque qu’un utilisateur final soit dupé pour divulguer ses identifiants de connexion.
Le portail OneDrive for Business vers lequel l’utilisateur est dirigé est également une mauvaise imitation, mais il est suffisamment réaliste pour tromper de nombreux utilisateurs finaux. D’autres campagnes de phishing utilisant des sites web de partage de fichiers sont beaucoup plus convaincantes et il est peu probable qu’elles soient détectées comme malveillantes même par des employés peu soucieux de la sécurité.
Lorsque les informations d’identification sont compromises, le compte de messagerie est souvent utilisé pour envoyer d’autres e-mails de phishing à d’autres employés de l’entreprise. Comme ces e-mails proviennent d’un compte interne, les utilisateurs sont plus susceptibles de répondre. Les attaquants peuvent également consulter les messages dans le compte compromis et les utiliser pour engager une conversation avec leurs cibles. De plus, ils peuvent imiter le style rédactionnel du titulaire du compte usurpé pour ajouter plus de réalisme aux e-mails de phishing.
Souvent, les entreprises parviennent à détecter un compte de messagerie compromis, mais l’enquête susmentionnée a révélé que l’attaque était beaucoup plus répandue. De nombreux comptes de messagerie ont été ainsi usurpés.
Pour bloquer ces menaces, une solution avancée de sécurité de la messagerie électronique est nécessaire. Les entreprises devraient chercher une solution qui intègre la DMARC. DMARC intègre les protocoles d’authentification SPF et DKIM. Elle permet donc de vérifier si l’adresse IP utilisée pour envoyer l’e-mail est authentique ou non. Si cette vérification échoue, l’e-mail est bloqué. C’est l’une des méthodes les plus importantes et les plus efficaces pour détecter et bloquer les attaques d’usurpation d’identité par e-mail, y compris les attaques BEC et les tentatives de phishing.
Heureusement, la combinaison d’une solution avancée de filtrage de spams et d’une formation de sensibilisation à la sécurité des utilisateurs finaux permet de s’assurer que les e-mails malveillants n’atteignent pas leurs boîtes de réception. Le cas échéant, les employés devraient être conscients des menaces cybercriminelles et éviter de cliquer sur les liens contenus dans un e-mail. Et surtout, ils ne devraient pas divulguer leurs identifiants de connexion, ni leurs mots de passe sans avoir bien vérifié l’identité de l’expéditeur de l’e-mail.
Google a reconnu une vulnérabilité dans l’application Google Agenda, laquelle a été exploitée par les cybercriminels pour injecter des articles faux et malveillants.
Plusieurs campagnes de phishing sur Google Agenda ont été détectées au cours de l’été 2019. Lors de ces campagnes, des spams de Google Agenda ont été envoyés à un grand nombre d’utilisateurs, notamment des invitations à des événements et d’autres demandes et offres spéciales qui sont apparues sur les écrans des utilisateurs sans méfiance.
Ces notifications contenaient des liens qui redirigent les utilisateurs vers des pages Web où les utilisateurs pouvaient trouver plus d’informations sur les événements et les offres spéciales. S’ils acceptent les événements, ceux-ci vont être insérés dans les calendriers des utilisateurs et déclencher des notifications automatiques. Les offres et les invitations continuent à apparaître jusqu’à ce que les utilisateurs cliquent sur le lien. Pourtant, ces liens dirigent les utilisateurs vers des pages de phishing où leurs informations d’identification vont être recueillies par les pirates.
Certaines escroqueries exigeaient la saisie des renseignements concernant la carte de crédit de leurs victimes. D’autres exigent que l’utilisateur ouvre une session à l’aide de ses renseignements d’identification Office 365. Des liens peuvent également diriger les utilisateurs vers des pages web où entrainer le téléchargement de malwares par « drive-by » (une des méthodes utilisées par les cybercriminels pour pénétrer un ordinateur à l’insu de son propriétaire).
La plupart des gens sont conscients de la menace que représentent les courriels de phishing, les e-mails malveillants et les messages via les médias sociaux qui recueillent des informations sensibles. Mais les attaques contre les services de Google Agenda sont relativement rares. Par conséquent, de nombreux utilisateurs ne reconnaîtront pas ces notifications et éléments de calendrier comme étant malveillants, en particulier lorsqu’ils apparaissent dans une application de confiance telle que Google Agenda.
Malheureusement, ces attaques sont possibles, car n’importe qui peut envoyer un événement de Google Agenda à un utilisateur. Cet événement sera inséré dans le calendrier de l’utilisateur et déclenchera automatiquement des notifications, comme c’est le cas pour les événements légitimes.
En plus des événements, les messages peuvent inclure des offres spéciales, des notifications de prix en espèces, des alertes sur des transferts d’argent et toutes sortes d’autres messages pour inciter l’utilisateur à cliquer sur un lien malveillant, divulguer des informations sensibles ou télécharger des malwares.
Google Agenda n’est pas le seul service de calendrier qui est sujet à ces attaques. Les utilisateurs d’Apple ont également été ciblés, tout comme les utilisateurs d’autres applications de calendrier.
Comment bloquer les attaques de phishing par Google Agenda ?
Récemment, un employé de Google a reconnu l’augmentation du « spam du calendrier » et a confirmé que des mesures étaient prises par Google pour régler le problème.
En attendant, les utilisateurs peuvent empêcher l’apparition de ces messages malveillants et le phishing en modifiant les paramètres de l’application. Les utilisateurs doivent naviguer dans Paramètres d’événement > Ajouter automatiquement des invitations, et sélectionner l’option « Non, n’afficher que les invitations auxquelles j’ai répondu » et décocher l’option « Afficher les événements refusés » dans « Options de vue ».
Les entreprises devraient également envisager d’inclure les escroqueries de phishing sur Google Agenda dans leurs programmes de sensibilisation à la sécurité. Le but est de s’assurer que les employés sachent que les attaques de phishing ne se font pas seulement via des e-mails, des messages texte, des appels téléphoniques et des messages via les médias sociaux.
Environ un e-mail sur dix est utilisé par les pirates informatiques pour mener des attaques de phishing. Celles-ci sont généralement associées à la tromperie et à la cyberfraude, et elles peuvent nuire gravement à leurs victimes.
Dans ce qui suit, nous allons décrire certains des dangers les plus répandus auxquels votre organisation pourrait être potentiellement exposée et subir de graves problèmes à la suite d’une attaque de phishing. Nous allons également vous expliquer comment les éviter.
Attaques de ransomwares ou de malwares
Le ransomware représentait une menace que certains pensaient être en déclin. Mais ce n’est pas vraiment le cas. Selon une étude récente menée par Covewave, le pourcentage des victimes ayant choisi de payer les rançons a augmenté de 184% entre le premier et le deuxième trimestre de 2019.
Une partie de ce phénomène est attribuable à un nouveau type de ransomwares appelé Sodinokibi qui a fait son apparition en mai de cette année. L’une de ses dévastations les plus marquantes a été une attaque à grande échelle contre les institutions gouvernementales dans tout l’État du Texas, faisant tomber les services de réseau de 22 municipalités.
Des faits similaires sont devenus trop courants ces derniers temps. Les ransomwares représentent actuellement une industrie évaluée à un milliard de dollars, et le phishing continue d’être le principal mécanisme utilisé pour leur diffusion.
Comme on pouvait s’y attendre, 92,4% des malwares sont livrés par e-mail. Afin d’éviter les infestations de malwares par phishing, il est donc impératif de disposer d’une solution de sécurité de la messagerie électronique qui intègre une protection contre les malwares.
Une solution comme SpamTitan – qui intègre une double protection antivirus – est un excellent moyen de combattre ces menaces. Un système de solutions en bac à sable (sandbox) de dernière génération vous permet également d’éradiquer efficacement les pièces jointes malveillantes. Il permet aux administrateurs d’ouvrir les pièces jointes suspectes dans un environnement isolé. Ainsi, ces derniers peuvent les supprimer ou acheminer l’e-mail vers la boite de réception de la personne concernée s’il est confirmé pour être sûr.
Le problème est que de nombreux fournisseurs de sécurité de la messagerie n’offrent pas encore la solution en bac à sable. Par contre, cela fait partie de l’offre standard de SpamTitan.
Usurpation d’adresse électronique ou « email spoofing »
Imaginez que vous recevez un e-mail urgent de la part du chef de direction de votre entreprise. Il vous informe qu’un virement de dernière minute doit être effectué afin de compléter afin de conclure l’acquisition d’une entreprise. Qu’est-ce que vous allez faire ?
Ce genre de situation se produit souvent, car l’usurpation d’identité est désormais courante dans les environnements de messagerie d’entreprise. Il est naturel de se demander comment les cybercriminels peuvent si facilement usurper des comptes de messagerie d’entreprise, sachant que les principaux protocoles de courrier électronique ont été créés dans les années 1980, où l’Internet était considéré comme une plateforme de confiance.
À cette époque, personne n’avait pris au sérieux les tactiques malveillantes que les cybercriminels peuvent utiliser pour menacer les institutions. De surcroît, le filtrage antispam traditionnel avait du mal à empêcher l’usurpation d’adresse, car les e-mails étaient ciblés et bien conçus.
Souvent, les mots et expressions contenus dans ces e-mails correspondent à la culture de l’organisation ciblée. Les pirates informatiques peuvent passer des semaines, voire des mois, à apprendre le comportement de leurs victimes potentielles et à utiliser des adresses e-mails qui semblent légitimes.
Beaucoup d’entreprises pensent encore que les enregistrements SPF ajoutés en tant qu’entrée dans une zone DNS peuvent arrêter les menaces d’usurpation d’adresse IP, mais ce n’est plus le cas. Vous avez besoin de l’ensemble complet d’enregistrements SPF, DKIM et DMARC pour vérifier l’authenticité de l’origine des e-mails. Pourtant, contrairement aux enregistrements SPF, il est difficile de créer des enregistrements DKIM et DMARC par soi-même. C’est pourquoi SpamTitan a été conçu pour inclure la vérification DMARC dans sa suite de solutions. Vous pouvez utiliser tout simplement le générateur DMARC pour créer vos propres enregistrements.
Attaques de pharming : un des 4 dangers cachés du phishing
Les cybercriminels adaptent constamment leurs techniques pour infiltrer plus efficacement nos appareils et nos réseaux. Le pharming est l’une de techniques les plus récentes et les plus compliquées.
Tout comme le phishing, le pharming utilise de faux sites web pour voler des renseignements personnels. Ce qui différencie le pharming du phishing, c’est que l’attaque n’a pas besoin de l’intervention des utilisateurs pour réussir. Ils sont redirigés vers les faux sites Web sans même le savoir.
Imaginez maintenant que vous recevez un e-mail de votre banque, vous demandant de confirmer une transaction financière récente qui semble suspecte. Vous recevez un e-mail de PayPal qui vous invite à réinitialiser votre compte et à confirmer vos paramètres d’identification en raison d’un récent bug d’une application que votre compagnie d’assurance a conçue.
En réalité, l’email semble authentique, tout comme le lien qui y est intégré. Mais lorsque vous cliquez sur ce lien, il vous redirige vers un site web réel que vous avez l’habitude de voir. Tout ceci n’est qu’une arnaque soigneusement conçue.
Bien que l’e-mail et le lien puissent sembler authentiques, la destination de l’URL est bidon. Malheureusement, les utilisateurs tombent constamment dans le piège suite à une telle attaque.
Les criminels utilisent les attaques de pharming pour capturer les identifiants de connexion qu’ils utilisent ensuite pour des raisons malveillantes. C’est là qu’entre en jeu une solution moderne de sécurité de la messagerie électronique, utilisant une véritable intelligence analytique pour distinguer un mail authentique d’un message malveillant.
Spoofing du nom de domaine
Le spoofing du nom de domaine est plus important qu’une simple usurpation d’adresse e-mail, car n’importe qui peut le faire. Cette approche rudimentaire nécessite simplement la création d’adresses e-mail en utilisant des services de messagerie publics tels que Gmail, Yahoo ou Outlook.
Bien que l’adresse e-mail ne ressemble en rien à celle qu’elle essaie d’émuler, le nom de la personne usurpée reste affiché sur l’écran. Il peut s’agir du directeur d’un département particulier ou du directeur d’une école.
Ces attaques élémentaires ne rapportent que très rarement de grosses récompenses aux arnaqueurs. Pourtant, elles peuvent nuire à la productivité de l’organisation ciblée, car les utilisateurs perdront du temps à distinguer l’authenticité du destinataire de l’e-mail de spoofing. D’autre part, ce type d’attaque peut amener les utilisateurs à ignorer une grande quantité d’e-mail important à l’avenir.
Le moyen le plus efficace de combattre ce type de menace est de former vos utilisateurs afin qu’ils puissent facilement identifier les tentatives d’usurpation d’identité.
Le phishing est le principal moyen utilisé par les pirates pour voler l’argent et les données personnelles concernant les employés de votre entreprise. Alors, ne sous-estimez pas les dangers associés à ces attaques. Assurez-vous d’avoir les meilleurs outils disponibles pour protéger votre organisation des cybermenaces.
Lorsqu’il s’agit de protéger votre entreprise contre les escroqueries par phishing, l’essentiel est de former vos employés à reconnaître les faux e-mails C’est un excellent point de départ, mais comme la sophistication de ces attaques ciblées augmente, ce n’est pas suffisant.
Protection contre les attaques de phishing, de whaling et de spear phishing
Avec le filtre de messagerie SpamTitan, vous offrez une solution dédiée qui protège entièrement votre réseau et chaque destinataire au sein de votre organisation. SpamTitan offre une protection contre le phishing, contre le whaling et le spear phishing en analysant tous les e-mails entrants en temps réel. Le whaling est une méthode utilisée par les cybercriminels pour cibler directement les cadres supérieurs ou les personnes importantes au sein de votre organisation, tandis que le spear phishing est variante du phishing soutenue par des techniques d’ingénierie sociale.
SpamTitan recherche des indicateurs clés dans l’en-tête de l’email, les informations concernant les noms de domaine et les contenus des e-mails et des sites web. Il peut également analyser la réputation de tous les liens (y compris les URL raccourcies) contenus dans les e-mails et bloquer les messages électroniques malveillants avant leur envoi à l’utilisateur final.
Voici quelques bonnes raisons de choisir SpamTitan pour protéger vos employés et votre organisation contre les tentatives de phishing :
Analyse de la réputation de l’URL.
Détection et blocage des e-mails malveillants de phishing à l’aide d’une base de malwares existants ou nouveaux.
Application de règles heuristiques pour détecter le phishing basées sur les en-têtes de messages et autres. Les données utilisées par SpamTitan sont fréquemment mises à jour pour tenir compte des nouvelles menaces.
Synchronisation facile avec Active Directory et LDAP.
Les niveaux de confiance du spam peuvent être appliqués par l’utilisateur ou un groupe d’utilisateurs.
Utilisation d’une liste blanche ou liste noire d’expéditeurs/adresses IP.
Un outil évolutif et universellement compatible.
La combinaison de ces fonctionnalités garantit que SpamTitan protège les utilisateurs d’Office365 et les entreprises contre le spear phishing, le piratage par e-mail professionnel (BEC) et la cyberfraude. Les administrateurs système doivent s’assurer que leur infrastructure de messagerie est sécurisée en intégrant une solution de messagerie fiable et un outil de filtrage de messagerie dédiée comme SpamTitan pour se protéger contre les menaces persistantes avancées.
Jetez un coup d’œil à SpamTitan dès aujourd’hui ou inscrivez-vous pour bénéficier d’un essai gratuit.
Les vulnérabilités logicielles et les attaques via les navigateurs web demeurent un problème de taille pour les entreprises. Pourtant, la majorité des attaques cybercriminelles se concentrent actuellement sur le phishing et l’incitation des employés à effectuer une action. Il s’agit principalement de l’incitation à cliquer sur un lien pour télécharger des fichiers ou pour accéder à un site web contrôlé par un pirate informatique.
Une étude récente indique que l’ingénierie sociale et le phishing constituent les formes les plus efficaces d’attaques cybercriminelles, impliquant la divulgation de données personnelles aux pirates.
Les attaques de phishing sont plus sophistiquées qu’avant
Certaines attaques de phishing sont mal conçues, mais celles qu’on a récemment découvertes sont de plus en plus élaborées et peuvent atteindre les utilisateurs, bien qu’ils aient obtenu la meilleure formation en cybersécurité.
Une récente vague d’attaques de phishing s’est concentrée sur les actualités sur le Brexit. Elles utilisaient un e-mail promettant aux utilisateurs qu’ils pouvaient suivre les changements dans la conversion de devises en ouvrant un fichier joint. L’e-mail utilisait des fichiers PDF qui semblaient provenir du gouvernement du Royaume-Uni et des graphiques qui donnaient l’impression qu’il s’agissait d’un message venant d’une source sûre. Pourtant, lorsque l’utilisateur cliquait sur le lien et ouvrait le fichier, le document était configuré pour amener les utilisateurs à exécuter des macros, qui téléchargeaient ensuite des malwares sur leurs ordinateurs.
Les anciennes méthodes d’attaque sont toujours utilisées
Par exemple, le fait de menacer les utilisateurs afin de les inciter à cliquer sur des liens malveillants demeure toujours efficace pour les pirates informatiques. Ces derniers utilisent des graphiques Google ou Microsoft pour créer un message qui fait peur aux utilisateurs, en leur faisant croire que leur compte est en danger. Une fois que ces derniers cliquent sur le lien intégré, ils sont dirigés vers une page malveillante qui ressemble au site web officiel.
Les entreprises ont constaté qu’une formation en cybersécurité est impérative pour se défendre contre une attaque de phishing. De plus en plus de cadres supérieurs ont été ainsi formés à l’identification des attaques de phishing ou de spear phishing.
Le rapport susmentionné a toutefois mis en évidence que les attaquants préfèrent actuellement se concentrer sur les défauts humains plutôt que sur les vulnérabilités technologiques. Bien entendu, ils n’ont pas cessé de tester les failles dans les nouvelles technologies, mais il est beaucoup plus facile pour eux de jouer sur les erreurs des utilisateurs.
Par exemple, ils préfèrent mener des attaques de phishing par e-mail, plutôt que de perdre du temps à trouver un défaut dans les infrastructures informatiques comme les pare-feu et les logiciels.
Que peuvent faire les entreprises pour éviter d’être victimes de phishing ?
Moins il y a d’e-mails malveillants qui arrivent dans la boîte de réception de leurs employés, plus les risques de phishing sont réduits. Les entreprises devraient donc offrir un certain niveau de formation en cybersécurité pour que les utilisateurs disposent des connaissances nécessaires pour identifier les attaques.
Certes, la formation n’offre pas une protection à 100 % contre le phishing – d’ailleurs, aucune protection en matière de cybersécurité n’est efficace à 100 % —, mais l’adoption de bons outils et des procédures efficaces peut réduire considérablement le risque d’attaques de phishing.
Il est toujours recommandé de mettre à jour vos logiciels avec les derniers correctifs dès que possible. En faisant cela, et en utilisant un logiciel antivirus efficace, vous pourrez bloquer de nombreux codes qui s’exécutent en arrière-plan, qui enregistrent les informations d’identification et qui peuvent voler les données personnelles des utilisateurs.
Pourtant, sachez que même si vous mettez en place ces procédures, elles ne peuvent pas toujours arrêter les attaques du type « zero-day ».
Le moyen le plus efficace d’arrêter le phishing des e-mails est de filtrer les messages suspects sur le serveur de messagerie électronique. Les filtres de messagerie utilisant l’intelligence artificielle (IA) pour détecter les liens malveillants ou les pièces jointes mettront les messages en quarantaine jusqu’à ce qu’un administrateur puisse les examiner. Après cela, l’administrateur peut transmettre les messages à la boîte de réception du destinataire ou les supprimer entièrement du système. Ceci empêche le contenu malveillant d’atteindre le destinataire.
Le filtrage des e-mails met fin à de nombreuses attaques de phishing, lesquelles visent essentiellement les employés de haut niveau ayant accès à des systèmes sécurisés.
Par exemple, un attaquant peut utiliser l’ingénierie sociale et le phishing pour inciter un comptable à envoyer de l’argent sur le compte bancaire de l’attaquant. Un dispositif de sécurisation du courrier électronique peut néanmoins empêcher le message malveillant à atteindre sa boîte de réception.
DMARC et attaques de phishing
Les règles DMARC (Domain-based Message Authentication, Reporting and Conformance) garantissent que les e-mails usurpés sont mis en quarantaine. Cette solution de sécurisation de la messagerie utilise une combinaison d’entrées DNS et une signature de messagerie chiffrée. Elle permet d’identifier les expéditeurs légitimes qui peuvent envoyer des e-mails au nom d’une organisation.
DMARC stoppe les attaques de phishing courantes qui utilisent des serveurs SMTP ouverts pour envoyer des messages électroniques frauduleux et usurpés qui semblent provenir d’un expéditeur officiel.
Enfin, les entreprises peuvent ajouter un filtrage de contenu basé sur le DNS, empêchant les utilisateurs de naviguer sur les sites malveillants. Si les règles de sécurité de la DMARC permettent à un faux négatif d’accéder à la boîte de réception du destinataire, le filtrage du contenu Web empêche l’utilisateur d’accéder au site après avoir cliqué sur le lien.
Bref, les règles DMARC, la sécurisation des e-mails et le filtrage du contenu Web peuvent donc réduire considérablement le risque qu’une organisation soit victime d’une campagne de phishing.
Le Brexit, c’est-à-dire la sortie de la Grande-Bretagne de l’Union européenne, a récemment fait la une des journaux et les attaquants ont profité de l’attention constante du public sur cette éventualité pour mener des attaques cybercriminelles.
Chevaux de Troie, arnaques par phishing, etc., les pirates informatiques ne cessent de déployer de nouvelles attaques par e-mails, en incitant les utilisateurs à ouvrir des liens contenant des malwares dans le but de voler des données sensibles comme les informations d’identification ou les données financières.
Tromper les utilisateurs pour qu’ils téléchargent des malwares dans cet attaque de phishing basée sur le Brexit
Bien que les pirates utilisent diverses méthodes pour lancer des attaques par e-mail, le concept derrière ces attaques était généralement le même. Récemment, ils ont par exemple eu recours au spamming pour amener les utilisateurs recherchant des informations concernant le Brexit à cliquer sur un lien contenu dans le message.
Ceci étant fait, l’utilisateur est redirigé vers une page web malveillante. Les emails avaient l’air de provenir d’une source officielle et les attaquants ont bien soigné leur mise en page.
Lorsque l’utilisateur clique sur le lien dans l’e-mail malveillant, cela enclenche soit le téléchargement d’un document malveillant, soit la redirection de la victime vers une page web où il est invité à télécharger des malwares. Les agresseurs se sont même permis de donner au document le même nom que celui publié par l’Union européenne. Ce genre d’arnaque, même si elle semble rudimentaire, peut tromper les utilisateurs pour qu’ils ouvrent le fichier.
Le fichier téléchargé contient des macros, qui sont ensuite utilisées pour télécharger des Chevaux de Troie. Ces derniers peuvent, à leur tour, télécharger d’autres malwares, donnant ainsi aux attaquants un accès à distance à la machine locale infectée ou la possibilité de voler leurs données personnelles.
Le document peut aussi installer un logiciel capable d’enregistrer les données saisies par les utilisateurs. Celles-ci peuvent être des mots de passe pour l’accès à un site en ligne, des données financières ou des informations supplémentaires qui permettent aux pirates d’accéder aux comptes en ligne de l’utilisateur.
Par défaut, les macros sont désactivées par des applications comme Microsoft Word. Autrement dit, les utilisateurs doivent donc autoriser leur exécution avant qu’elles ne soient installées sur l’ordinateur. Ainsi, le malware ne pourra pas affecter automatiquement le périphérique ciblé. Néanmoins, il faut noter que le document renferme des messages qui peuvent convaincre l’utilisateur à autoriser l’exécution de ces macros. En contrepartie, il pourra par exemple voir les actualités sur le Brexit.
Les e-mails de phishing se focalisent de plus en plus sur les actualités concernant le Brexit. Grâce à cela, les pirates peuvent demander aux utilisateurs de saisir leurs renseignements personnels, de se connecter à une page web avec leurs informations d’identification bancaire pour surveiller les fluctuations monétaires. De plus, les cybercriminels se faisaient passer pour des organismes gouvernementaux, ce qui rend encore leurs messages plus attrayants. Pourtant, ils peuvent utiliser les données qu’ils ont collectées pour de futures attaques financières.
Quid de la protection de la vie privée ?
Des événements tels que le Brexit — ou tout incident politique majeur — sont connus pour déclencher l’indignation des utilisateurs. Ce sont ces déclencheurs émotionnels que les attaquants utilisent pour éviter la plupart de leurs soupçons quand ils reçoivent un e-mail d’un destinataire inconnu.
Les utilisateurs doivent donc rester vigilants en ce qui concerne leurs données et leur vie privée, même lorsqu’un message semble provenir d’un représentant officiel d’une organisation connue.
Vos employés peuvent prendre plusieurs mesures pour s’assurer qu’ils ne tombent pas dans le piège des pirates informatiques. Certains services de messagerie gratuits tels que Google disposent de bons filtres pouvant bloquer les spams pour qu’ils n’atterrissent jamais dans la boîte de réception du destinataire. Les messages identifiés comme suspects portent dans ce cas une étiquette d’avertissement rouge.
Les entreprises doivent aussi faire de grands progrès dans l’éducation et la protection des leurs employés, car les données personnelles sont précieuses. Si un attaquant parvient à obtenir des identifiants d’utilisateur sur le réseau local ou à contrôler à distance un périphérique réseau d’entreprise, il peut rassembler des gigaoctets de données et les utiliser à des fins malveillantes.
Une simple formation à la cybersécurité est essentielle, mais pas suffisante pour réduire les attaques de phishing réussies.
Les filtres de la messagerie constituent la principale défense des entreprises. Ces systèmes mettent en quarantaine les messages suspects sur la base d’un ensemble de règles de cybersécurité établies par l’administrateur de messagerie. Il incombe donc aux administrateurs de consulter les messages mis en quarantaine et de les envoyer dans la boîte de réception de l’utilisateur ou de les supprimer du système en cas de besoin.
Grâce à ces filtres, le risque pour les utilisateurs de recevoir des courriels malveillants peut être réduit.
Filtrage de contenu web basé sur le DNS pour lutter contre le phishing
Une option supplémentaire est d’ajouter un filtrage de contenu web basé sur le DNS. Si un faux négatif est acheminé vers la boîte de réception d’un utilisateur, le système de filtrage l’empêchera d’accéder au site web malveillant.
Bien entendu, cette solution n’empêche pas l’utilisateur d’envoyer ses informations dans un e-mail, mais il contribue à réduire les fuites de données lorsqu’il tente de divulguer ses informations sensibles sur des sites contrôlés par des pirates.
Et même si des mesures de protection des données sont mises en place, les entreprises devraient continuer d’offrir à vos employés une formation sur la cybersécurité. De cette manière, ils pourront détecter les escroqueries par phishing telle que l’attaque Brexit. En même temps, cela réduira considérablement les attaques cybercriminelles réussies, y compris celles les plus sophistiquées qui utilisent l’ingénierie sociale.
Par ailleurs, les filtres de messagerie doivent toujours être configurés pour mettre en quarantaine les messages suspects et bloquer les sites malveillants connus. Tout e-mail contenant un lien vers une actualité devrait donc être supprimé. Si elle est authentique, l’actualité devrait être couverte par les sites d’information habituels. Les sites qui les publient devraient aussi être accessibles directement par l’intermédiaire d’un navigateur ou des moteurs de recherche.
Les entreprises peuvent protéger leurs réseaux et leurs utilisateurs contre les attaques de phishing, comme celle du Brexit, et les campagnes de spamming grâce à la mise en place d’une solution de filtrage du spam comme SpamTitan.
SpamTitan peut bloquer les emails de phishing et jusqu’à plus de 99% des spams. Cette solution vous permet de constituer une ligne de défense efficace contre les cybercriminalités, mais il importe également de former vos employés pour qu’ils puissent identifier les escroqueries par phishing et adopter les mesures adéquates.
