Ce sont les techniques d’usurpation d’e-mails les plus utilisées

Presque tous les internautes connaissent le concept de phishing, mais il existe un autre type d’attaque par courrier électronique très courant que nous ne connaissons pas aussi bien. Savez-vous ce qu’est le spoofing et sur quoi il se base pour tromper les utilisateurs ? Ici, nous vous le disons.

Ces dernières années, mais surtout depuis le début de Depuis la pandémie, la transformation numérique de la société s’est accélérée : les modèles d’entreprise, de soins et d’éducation sont de plus en plus basés sur Internet, le télétravail est mis en œuvre en masse et, par conséquent, les outils cloud sont davantage utilisés. Mais à mesure que les entreprises évoluent, les attaques cybercriminelles évoluent également.

Déjà en 2021, la société antivirus Kaspersky mettait en garde contre un type d’attaque qui se multiplie . Il s’agit du spoofing (« usurpation d’identité » ou « imitation » en anglais), qui consiste à utiliser une série de méthodes malveillantes pour falsifier l’identité d’une page, d’une entité ou d’une personne sur le réseau. , avec pour objectif principal d’obtenir des informations d’identification qui donneront aux fraudeurs un accès illimité à des comptes privés ou à des informations privilégiées.

Le phishing par e-mail a augmenté de 51 % en 2023

L’usurpation d’e-mail est l’un des types d’usurpation d’identité les plus classiques qui existent. Elle consiste à falsifier l’adresse email d’une personne ou entité de confiance pour demander des informations à la victime.

Ces dernières années, des attaques de ce type ont été observées, dirigées entre autres contre le personnel des ressources humaines : un employé présumé de l’entreprise écrit au service des ressources humaines pour l’informer d’un changement de compte bancaire. Au début du mois suivant, le travailleur effectif prend contact car la fiche de paie n’a pas été saisie. L’entreprise a payé un escroc.

De plus, cette technique est utilisée pour lancer d’autres types d’attaques, allant du phishing aux escroqueries BEC (compromission des e-mails professionnels ou « usurpation d’e-mails d’entreprise ») .</p >

En 2021, selon les données de Kaspersky, entre avril et mai seulement, les cas détectés de ce type de cyberattaque sont passés de 4 440 à 8 204.

Entre 2022 et 2023, l’augmentation a été de 51%, atteignant le nombre record de 1,76 milliard d’e-mails frauduleux, selon les données du rapport préparé par Vade Secure (Hornet Security).

Les techniques d’usurpation d’identité les plus utilisées pour falsifier les emails

Pour rendre crédible l’usurpation d’e-mails ou le phishing, les cybercriminels appliquent les techniques suivantes :

1. Faux de « De »

L’e-mail peut être manipulé pour afficher une fausse adresse de livraison via le champ « De : » ou « De : », masquant un faux e-mail avec un nom légitime. L’expéditeur frauduleux peut facilement le faire en compromettant le protocole SMTP, créé sans aucune protection de sécurité, en modifiant les champs d’en-tête de l’e-mail.

Cette pratique peut être difficile à démasquer. Les marques doivent mettre en œuvre DMARC pour détecter ces cas, comme nous le verrons plus tard.

2. Usurpation d’identité d’un véritable expéditeur (phishing)

Dans ce cas, le faux email est signé par un « vrai » collègue, client ou service avec lequel la victime a des contacts plus ou moins réguliers. L’adresse, cependant, n’est pas correcte.

Presque toutes les plateformes de messagerie affichent le nom de l’expéditeur au lieu de l’adresse d’envoi dans la boîte de réception pour plus de commodité. Le problème est que la plupart des utilisateurs ont tendance à ne regarder que le nom de l’expéditeur : s’ils le connaissent, ils lui font confiance.

Un exemple bien connu est l’arnaque au PDG, je gère un employé ayant la capacité d’effectuer des transactions. Il reçoit un e-mail soi-disant du PDG de l’entreprise qui, sous un prétexte quelconque, demande la réalisation d’une transaction économique urgente, en contournant les protocoles habituels de ces procédures.

Contrairement à d’autres types de spams, cette attaque a une cible spécifique. Il repose sur l’envoi de messages à partir d’une adresse enregistrée dans un domaine valide (par exemple spamming@gmail.com ou expéditeur crédible@outlook.com), mais sous le nom d’un partenaire ou fournisseur connu dans l’organisation en question

.

Les filtres anti-spam ne détectent pas ces e-mails car ils n’incluent pasdu contenu suspect, juste des phrases vagues demandant des informations ou une action liée à un compte ou une facture.

3. Domaines trompeusement similaires (typosquatting)

Lorsque le domaine d’une organisation est protégé par authentification, les cybercriminels peuvent tenter de tromper le destinataire en en enregistrant d’autres qui semblent très similaires à première vue. Ces types de faux e-mails sont appelés attaques homographes et consistent à omettre ou à ajouter une lettre ou un mot, ou à introduire une faute d’orthographe. Imaginons que notre domaine soit noticias.com ; nous pourrions trouver des variantes de ce type :

• Fautes d’orthographe : notisias.com
• Erratas : noricias.com
• Reformulation : noticia.com
• Extension différente : news.app
• Ajout : Noticias-Actualidad.com
• Utilisation de caractères similaires : 1 au lieu de l (paypa1 au lieu de paypal)

Un exemple célèbre est l’usurpation d’identité de la société postale allemande Deutsche Post en utilisant l’e-mail deutschepots.de (au lieu de deutschepost.de). Ce changement subtil peut facilement passer inaperçu auprès de plusieurs utilisateurs.

4. Utiliser des caractères d’autres alphabets

Les attaquants peuvent également remplacer certaines lettres de l’alphabet latin par des caractères d’un autre alphabet de la gamme Unicode. Le cyrillique est un choix très courant, car les clients de messagerie le transforment de telle manière que de nombreuses lettres sont visuellement identiques aux lettres latines (la lettre cyrillique e, par exemple, est presque impossible à distinguer). p>

5. Manipulation du contenu du message

Les attaquants peuvent créer des e-mails au contenu trompeur ou alarmant, comme de fausses notifications de problème de compte ou de faux avertissements de sécurité, dans le but d’inciter le destinataire à agir de manière impulsive.

6. Ingénierie sociale

En plus de manipuler le contenu des e-mails, les attaquants peuvent utiliser des tactiques de manipulation psychologique pour inciter le destinataire à effectuer des actions spécifiques, telles que cliquer sur des liens malveillants ou télécharger des pièces jointes infectées.

7. Réutilisation des identifiants compromis

Dans certains cas, les attaquants peuvent accéder à des comptes de messagerie légitimes grâce à des techniques de phishing ou à des attaques par mot de passe, et les utiliser pour envoyer des e-mails usurpés à d’autres destinataires.

Évolution de l’usurpation d’email entre 2020 et 2024

L’évolution de l’usurpation d’e-mails entre 2020 et 2024 a été marquée par plusieurs facteurs :

1. Défenses de sécurité améliorées : les entreprises et les organisations ont amélioré leurs défenses contre l’usurpation d’identité des e-mails en mettant en œuvre des solutions de sécurité plus avancées, telles que des filtres de messagerie, l’authentification de domaine ( DMARC, SPF, DKIM ) et des solutions d’intelligence artificielle. pour la détection des emails frauduleux.
2. Sophistication accrue des attaques : malgré l’amélioration des défenses, les attaquants ont continué à faire évoluer leurs techniques pour contourner les mesures de sécurité et tromper les destinataires. Cela inclut l’utilisation de tactiques d’ingénierie sociale plus sophistiquées, telles que la personnalisation des e-mails pour des cibles spécifiques et l’utilisation d’informations personnelles extraites des lignes d’objet ou du contenu des e-mails précédents.
3. Utilisation accrue de techniques d’automatisation : les attaquants ont tiré parti des technologies d’automatisation pour accroître l’efficacité de leurs attaques d’usurpation d’e-mails. Cela inclut l’utilisation de robots pour générer des e-mails en masse au contenu trompeur et l’utilisation de services d’infrastructure de phishing comme services pour envoyer des e-mails en masse.
4. Ciblage accru des attaques ciblées (Spear Phishing) : au lieu de cibler un large public, les attaquants ont mis davantage l’accent sur les attaques ciblées, connues sous le nom de spear phishing. Ces attaques impliquent la personnalisation des e-mails pour des cibles spécifiques, telles que des employés de l’entreprise ou des personnalités de haut rang, afin de maximiser les chances de succès.

Comment empêcher le phishing par courrier électronique

Les entreprises peuvent prendre plusieurs mesures et précautions de sécurité pour tenter de prévenir ces attaques, notamment en tirant parti de leurs droits de propriété intellectuelle pour agir rapidement dans les cas de phishing en ligne souvent négligés.

Voyons quelles ressources sont disponibles pour prévenir la fraude par usurpation d’e-mail :

Surveillance de domaine

La surveillance de domaine fait partie du groupe de services de détection proactive de sites en ligne violations. Ces types de services détectent et préviennent ces types de cyberattaques prématurément, avant même que le domaine ne se propage parmi les victimes, au lieu d’agir après que l’attaque a déjà eu lieu. « Mieux vaut prévenir que guérir » toute vie. Cependant, cela ne veut pas dire que cela n’est pas utile une fois qu’une attaque a eu lieu : si cela s’est produit et que nous ne nous en sommes pas rendu compte, ce service le détectera.

De quoi s’agit-il ?

La surveillance des domaines analyse la marque de votre entreprise (par exemple, « ubilibet ») et détecte les domaines enregistrés ou expirés (c’est-à-dire qu’ils ont été enregistrés mais qu’après expiration, ils n’ont pas été renouvelés, ils peuvent donc être réutilisés par tous). ) qui le mentionnent dans le nom de domaine (par exemple, « ubilibetonline.com » ou « ubilibet-support.com).

Comment l’utiliser correctement

Pour que la surveillance de domaine soit utile pour prévenir la fraude en ligne, il Il ne faut pas tomber dans la mauvaise pratique de l’utiliser de manière rétroactive, c’est-à-dire « voyons ce qui est enregistré ». Mais pour détecter en temps réel quand un domaine avec votre marque vient d’être enregistré. Autrement dit, il vient d’être enregistré aujourd’hui. Ce n’est qu’ainsi que nous pourrons devancer la cyberattaque et l’arrêter avant qu’elle ne puisse mener une campagne de phishing qui fera des victimes.

De plus, nous devons nous assurer que notre fournisseur nous propose un outil qui inclut le maximum de variantes possibles dans la construction du nom de domaine : qui inclut des caractères d’autres alphabets, des tirets, qui détecte automatiquement les fautes de frappe (utilisation délibérée d’erreurs, comme comme « ubilibt » ou « ubiliebt »), utilisation déroutante des caractères (comme un « i » majuscule au lieu de « l »). De même, d’d’autres fonctionnalités avancées, telles que des résultats illimités, sont pertinentes pour garantir la plus grande couverture possible.

Surveillance du contenu et des métadonnées

Différent de la surveillance de domaine, la surveillance du contenu et des métadonnées Cela nous permet de identifier les pages Web qui ont cloné notre page officielle ou qui font un usage frauduleux de notre marque, en analysant le contenu et les métadonnées de la page d’accueil. Cela nous permet d’identifier les domaines qui ne mentionnent pas la marque dans le nom de domaine, mais qui font un usage frauduleux de notre marque dans leur contenu.

Il s’agit donc d’un service qui complète et augmente la couverture du service de surveillance de domaine. Idéalement, vous devriez avoir les deux.

Surveillance des domaines suspects

Que se passe-t-il si quelqu’un a enregistré un domaine qui mentionne votre marque, mais l’a laissé en attente ou non développé (« il n’y a rien » dedans) ? Dans ces cas-là, il n’y a encore rien à signaler, puisque vous n’avez commis aucune contrefaçon ou utilisation frauduleuse. Cependant, la mention de notre marque dans le nom de domaine est un soupçon suffisant pour qu’elle ait pu être enregistrée pour commettre une attaque de phishing, n’est-ce pas ?

Dans ces cas, un service de surveillance est utilisé avec celui-ci. l’activité de ce domaine « vide » est surveillée. De cette manière, lorsqu’il est détecté qu’une page Web avec du contenu a été développée, qu’un serveur de messagerie a été activé ou qu’il y a eu un changement dans le DNS, une alerte est reçue indiquant qu’elle doit être à nouveau révisée. Nous pourrons désormais prendre des mesures s’il existe un risque réel.

Comment détecter les attaques d’usurpation d’e-mail en cours

Imaginons que tout ce qui précède échoue ou que nous ne l’ayons pas encore implémenté. Comment pourrions-nous détecter lorsqu’une attaque de phishing par courrier électronique a été menée contre notre marque ? Nous vous donnons quelques clés :

Protocoles de sécurité : SPF, DKIM et DMARC

Les protocoles de sécurité des e-mails visent à garantir la délivrabilité des e-mails que vous envoyez à vos bases de données de contacts et, aux utilisateurs, que vous êtes un expéditeur sûr et fiable. Il est donc extrêmement important d’avoirn eux. Surtout maintenant que les les grands clients de messagerie comme Gmail ou Yahoo sont devenus plus stricts avec les exigences massives des expéditeurs< /a>.

SPF est un enregistrement txt dans votre DNS qui indique quels expéditeurs et quelles adresses IP sont autorisés à envoyer des e-mails en votre nom. Pour qu’un expéditeur réussisse cette authentification, il doit être inclus dans cet enregistrement. Sinon, le client de messagerie marquera qu’il n’a pas passé le SPF et finira probablement dans le dossier spam.

DKIM fonctionne comme une signature email qui garantit qu’il n’a pas été altéré par un tiers entre l’envoi et la livraison.

DMARC est un protocole qui nous permet d’avoir une visibilité sur le trafic sur votre domaine et de définir 3 politiques qui déterminent que faire si une irrégularité est détectée : ne rien faire , envoyez l’e-mail dans les spams ou bloquez-le. DMARC est le meilleur représentant de la sécurité de la messagerie électronique pour les expéditeurs et l’une des exigences exigées aujourd’hui par les grands clients de messagerie.

Comment DMARC nous aide-t-il à détecter la fraude par usurpation d’e-mail ?

L’une des clés du DMARC réside dans les rapports qu’il envoie avec les irrégularités qu’il détecte dans le trafic. Par exemple, lorsqu’il détecte qu’il y a un pic d’e-mails qui n’ont pas passé les protocoles de sécurité SPF et/ou DKIM, il nous envoie une alerte. Ces pics signifient que des e-mails ont été envoyés avec notre domaine à un grand nombre de boîtes aux lettres qui l’ont marqué comme spam et, si cela ne correspond pas aux activités de communication et de marketing de notre entreprise ou à nos niveaux de délivrabilité habituels, ce serait une indication que quelqu’un a utilisé notre domaine pour mener une attaque de phishing via l’usurpation d’e-mail.

Si vous souhaitez en savoir plus sur DMARC, nous vous recommandons de lire notre Guide complet de mise en œuvre de DMARC.

E-mails rejetés

Bien qu’un peu plus rudimentaire, c’est une autre technique que nous pouvons utiliser pour détecter ces cas. Lorsque les cybercriminels utilisent de grandes bases de données de contacts pour mener des attaques de phishing par courrier électronique, ils découvrent souvent de nombreuses boîtes aux lettres qui n’existent plus, générant ainsi de nombreux e-mails d’« échec de livraison du courrier » provenant de notre client de messagerie.</p >

Si nous sommes attentifs à ces emails du système, nous pourrons détecter les envois que nous n’avons pas effectués.

Votre marque a-t-elle été victime d’une escroquerie de vérification des e-mails ?

Si notre marque est en mesure d’avoir été utilisée dans une cyberattaque, nous pouvons procéder à différentes actions en justice qui nous permettent de désactiver des domaines qui utiliser notre marqueou le contenu qu’ils affichent.

Contactez notre équipe juridique, nous analyserons votre dossier et vous conseillerons sur les mécanismes pour stopper toute activité illégale en cours. De même, nous étudierons quelles solutions sont appropriées pour éviter de futures attaques contre votre marque.