Il n’y a pas si longtemps, le phishing visait principalement le grand public, quand les malwares constituaient la principale menace pour les entreprises. Aujourd’hui, le phishing est la principale attaque ciblant les entreprises et est responsable de plus de 90 % des failles de sécurité. Aucune solution de cybersécurité ne pouvant bloquer toutes les attaques, vos employés doivent connaître les points à vérifier pour s’en protéger.

Le phishing gagne en sophistication, mais bien que les hackers aient à leur disposition des dizaines de techniques pour tromper vos employés, quelques-unes prévalent nettement. Voici 8 informations sur le phishing que vos employés doivent connaître :

1. Présentation du phishing

Le phishing est un type de fraude consistant pour un hacker à essayer de récupérer des informations personnelles ou des identifiants en se faisant passer pour une marque connue et en dirigeant les utilisateurs vers un site Web malveillant. Les attaques visant Office 365 en sont un exemple connu : un hacker envoie un email qui semble venir de Microsoft et demande à l’utilisateur de se connecter sur son compte Office 365. Lorsque l’utilisateur clique sur le lien, il est dirigé vers une page d’identification factice qui permet au pirate de récupérer ses identifiants. L’adoption de la charte graphique et des logos de Microsoft dans l’email et sur la page de phishing permet de tromper sans problème un utilisateur non averti.

2. Les adresses email peuvent être usurpées

Ne jugez jamais qu’un email est fiable en vous appuyant seulement sur l’expéditeur affiché. En effet, les cybercriminels disposent de nombreux moyens de déguiser les adresses d’origine de leurs emails. Ils savent parfaitement comment faire croire à leurs victimes que leur expéditeur est légitime. Les types d’usurpations les plus courants sont l’utilisation visible d’un alias et les domaines voisins. L’utilisation visible d’un alias, aussi appelée « usurpation du nom affiché », consiste pour le pirate à se cacher derrière un expéditeur légitime, par exemple microsoftsupport@microsoft.com, et à associer à ce nom une adresse sans rapport, par exemple xyz@yahoo.com. Cette technique est plus efficace lorsque l’utilisateur consulte ses emails sur un appareil mobile, car seul le nom de l’expéditeur apparaît dans ce type de configuration : l’adresse est masquée. Les pirates comptent sur le fait que la plupart des utilisateurs sur mobile n’appuieront pas sur le nom de l’expéditeur pour en afficher l’adresse email.

Un domaine voisin est un nom de domaine qui ressemble à un domaine légitime. Par exemple, Apple.co au lieu d’Apple.com. Dans d’autres cas, les hackers ont recours à des extensions de noms de domaine. On a ainsi pu voir des emails envoyés depuis des adresses du type apple-support.org, apple-logins.net et apple-securities.com. On observe également une augmentation du nombre de sous-domaines longs et complexes, comme icloud.accounts@apple.it.support.zqa.ca.

3. Les emails et leurs objets se montrent attrayants ou au contraire menaçants

Les cybercriminels n’hésitent pas à promettre des « iPhone gratuits aux 100 premières personnes » répondant à leur email ou à vous menacer de « désactiver votre carte bancaire si vous n’agissez pas immédiatement ». Ils cherchent ainsi fréquemment à susciter un sentiment de panique, d’urgence ou de curiosité. En effet, les utilisateurs ont tendance à réagir (trop) rapidement aux emails évoquant la possibilité d’une perte financière ou au contraire d’un gain personnel ou financier.

Les emails dont le ton est agressif ou affirmant qu’il est nécessaire d’agir sans attendre pour éviter des répercussions doivent être considérés comme des arnaques potentielles. Cette technique est souvent utilisée pour susciter la crainte et obtenir ainsi des informations confidentielles. Deux exemples classiques illustrent bien cette méthode : les emails de phishing affirmant à leurs destinataires que des comptes importants sont bloqués ou qu’une facture doit être réglée pour éviter une suspension de service.

Lors de certaines attaques de spear phishing, des emails personnalisés provenant soi-disant de collègues sont conçus pour susciter la peur de conséquences professionnelles. Exemple classique : un email urgent du PDG demandant des cartes cadeaux ou un virement bancaire. La réception d’une telle demande venant d’une personne haut placée génère une pression psychologique sur l’employé et augmente la possibilité qu’il s’exécute rapidement, sans prendre de recul. Un autre exemple est l’email de spear phishing visant à détourner des paies, conçu pour pousser un employé des RH à modifier des coordonnées bancaires.

4. Les attaques deviennent plus ciblées et personnelles

De nombreuses attaques de phishing étaient auparavant envoyées en masse et se montraient ainsi assez impersonnelles. Les emails s’adressaient alors le plus souvent à l’utilisateur en des termes génériques, par exemple « cher client », « cher employé » ou encore « cher patient ». Ce type de formulation doit inciter à la prudence. En effet, les entreprises s’adressent généralement à leurs utilisateurs par leur prénom. Pour autant, un email personnalisé n’est pas nécessairement un email authentique. Aujourd’hui, les pirates indiquent le nom de leur victime en objet et remplissent son adresse automatiquement sur la page de phishing.

5. Les emails de phishing ne cessent de s’améliorer

Les employés doivent lire avec attention les emails qu’ils reçoivent. De nombreuses attaques de phishing et de spear phishing proviennent de pays étrangers et présentent ainsi des problèmes évidents de grammaire et de style. Pour autant, les pirates se sont grandement améliorés. Ils disposent désormais des ressources pour créer des emails crédibles dans la langue ciblée et font moins d’erreurs qu’auparavant. Les employés doivent donc lire leurs emails avec soin pour repérer des erreurs grammaticales évidentes ou plus subtiles pouvant indiquer que l’expéditeur n’est pas fiable. Dans une récente page de phishing en anglais visant Office 365 découverte par Vade Secure, une seule erreur différenciait les deux pages : une espace de trop entre « & » et « Cookies » dans le lien « Privacy & Cookies » situé dans le pied de page.

6. Les liens ne sont pas toujours ce qu’ils paraissent être

Tous les emails de phishing contiennent des liens, des liens évidemment trompeurs. Le texte du lien peut ainsi très bien indiquer « Accéder à votre compte Office 365 » tout en vous redirigeant vers une page de phishing imitant celle de Microsoft. Assurez-vous que vos employés passent le curseur sur chaque lien avant de cliquer dessus pour qu’une infobulle leur indique sa destination réelle. S’il ne s’agit pas du site Web attendu, l’email est probablement une tentative de phishing.

Il est particulièrement important de s’assurer que l’élément central de l’URL est correct. Une vigilance particulière s’impose avec les URL se terminant par une extension inhabituelle, différente des classiques .com et .org. Par ailleurs, les pirates ont recours à des outils de raccourcissement d’URL comme Bitly pour contourner les filtres des messageries et tromper les utilisateurs. Les URL raccourcies doivent ainsi susciter une certaine méfiance. Le site IsItPhishing.AI peut vous aider à déterminer si une URL est légitime ou s’il s’agit d’un lien de phishing. En cas de doute sur la légitimité d’un site Web, IsItPhishing peut vous éclairer, vous ou vos employés.

7. Les liens de phishing peuvent aussi être envoyés en pièce jointe

Tous les emails de phishing contiennent au moins un lien, mais ce lien n’est pas toujours dans le corps de l’email. Pour éviter d’être détectés par les filtres de sécurité de l’email, les hackers peuvent préférer inclure leur lien dans une pièce jointe, par exemple un fichier PDF ou Word. Les technologies de sandboxing vérifient uniquement si les pièces jointes contiennent des malwares et ne s’intéressent pas aux liens : le subterfuge passe ainsi inaperçu. Ce type d’email paraît provenir d’une entreprise, d’un fournisseur ou d’un collègue et semble parfaitement légitime. Il vous invite à ouvrir la pièce jointe et à cliquer sur le lien qu’elle contient pour passer en revue ou mettre à jour des informations.

8. Les hackers utilisent les véritables images et logos des marques dans leurs emails de phishing

Page de phishing
Véritable page d’Office 365

Les logos et marques déposées ne garantissent en aucun cas qu’un email est légitime. Ces images sont publiques et peuvent être téléchargées ou reproduites très facilement. Il est même possible d’insérer les badges d’antivirus dans des emails pour faire croire qu’ils proviennent de sources légitimes. La plupart des filtres de messagerie peuvent détecter une URL de phishing connue, mais ils sont incapables de repérer une image contrefaite sans recourir à l’apprentissage automatique et à la vision par ordinateur.

Un employé a reçu un email de phishing. Que faire ?

La gestion des conséquences d’une attaque de phishing demande du temps, mais également de l’argent. Un clic mal avisé peut compromettre tout votre réseau : il est donc essentiel que chaque membre de l’entreprise s’investisse dans sa protection. Veillez à mettre en place un système de signalement des attaques et assurez-vous que vos employés comprennent l’importance de l’utiliser. La suppression de l’email n’est pas la solution, car votre service informatique doit savoir que votre entreprise est ciblée. Formez vos salariés à contacter immédiatement le service informatique pour que celui-ci puisse immédiatement prendre les mesures appropriées, et créez une boucle de rétroaction permettant d’améliorer le filtre de messagerie.

Une formation structurée annuelle ou bisannuelle est recommandée, mais il est également important de former les employés au fil de l’eau, à chaque fois qu’une attaque survient. Lorsqu’un employé clique sur un lien de phishing, il doit immédiatement recevoir un commentaire et une formation supplémentaire. Passez en revue l’email avec lui, montrez-lui les signes et indicateurs qu’il a manqués et fournissez-lui des documents de formation supplémentaires pour qu’il puisse être plus vigilant à l’avenir.

Les utilisateurs de Vade Secure voient s’afficher une bannière d’avertissement au moment du clic si une URL a été identifiée comme constituant une tentative de phishing. Si l’utilisateur clique sur le lien, le service informatique reçoit une notification, et l’utilisateur un lien vers un document de formation sur le phishing. Ce procédé leur permet de se rendre compte immédiatement de leur erreur et de faire le lien avec leur formation. En cas de tentative de spear phishing, une bannière d’avertissement s’affiche et conseille à l’utilisateur de se montrer prudent.