Le phishing est une arnaque par email consistant pour son auteur à se faire passer pour une marque afin de pousser ses victimes à divulguer leurs identifiants ou à exécuter un malware. Ainsi, dans la plupart des cas, le phishing prend la forme d’un lien vers un site Web frauduleux ou d’une pièce jointe contenant un malware.
Le phishing est une arnaque par email consistant pour son auteur à se faire passer pour une marque afin de pousser ses victimes à divulguer leurs identifiants ou à exécuter un malware. Ainsi, dans la plupart des cas, le phishing prend la forme d’un lien vers un site Web frauduleux ou d’une pièce jointe contenant un malware.
Dans le cadre d’une attaque de phishing, les hackers se font passer pour des marques afin de tromper leurs victimes. Lors d’une attaque de spear phishing, ils usurpent l’identité d’autres personnes. La plupart des emails de phishing incluent un objet qui inquiète ou intrigue, et encourage les destinataires à réagir sans délai. À l’exception des attaques hautement ciblées, un email de phishing est généralement ponctuel. Bien souvent, les hackers envoient un seul et même email de phishing à de nombreux destinataires en même temps (ce que l’on appelle une « vague ») pour accroître leurs chances de réussite.
À la différence des emails de phishing, les emails de spear phishing n’incluent pas de liens ni de pièces jointes. Ils sont conçus pour pousser leurs destinataires à effectuer une transaction financière, par exemple un virement, un achat de cartes cadeaux ou une modification de coordonnées bancaires.
Tous les emails de phishing comportent soit un lien, soit une pièce jointe. Pour que les victimes potentielles cliquent sur le lien ou ouvrent la pièce jointe, les hackers ont recours à des outils et techniques sophistiqués. Voici les éléments les plus importants d’un email de phishing :
Il s’agit peut-être de l’élément le plus important d’un email de phishing : l’objet doit attirer, alerter ou apeurer le destinataire afin de l’inciter à ouvrir l’email. Les hackers bien renseignés concoctent des objets hautement ciblés pour que leurs victimes ouvrent leurs emails.
L’usurpation de l’adresse email consiste à créer une adresse qui ressemble à celle d’une entreprise de confiance. Le hacker recourt parfois à l’usurpation du nom affiché pour afficher le nom souhaité dans le champ De de l’email. Dans d’autres cas, il y placera une adresse email qui ressemble à celle d’une entreprise légitime.
Les hackers se font passer pour les marques dans lesquelles vous avez le plus confiance. Ainsi, lorsqu’ils s’attaquent à des entreprises, ils usurpent l’identité des marques avec lesquelles ces entreprises entretiennent une relation, comme une banque ou un éditeur de logiciels. Pour créer un sentiment d’authenticité, les hackers utilisent les véritables logos des produits et éléments visuels faisant partie de l’identité de la marque.
Un lien de phishing est une URL qui mène à une page Web de phishing. Le lien de phishing se trouve généralement dans le corps de l’email, mais il peut aussi être inséré dans une pièce jointe ou un fichier hébergé sur un service légitime, comme OneDrive ou SharePoint, afin de ne pas être détecté par les filtres de messagerie capables de repérer les liens connus. Les victimes sont incitées à cliquer sur le lien dans l’email et sont ainsi redirigées sur un site Web leur proposant de se connecter à leur compte.
Les pièces jointes permettent de masquer le lien de phishing de la vue des filtres de messagerie ou de remettre un malware/ransomware. Bien souvent sous la forme d’un fichier Word, PDF ou .zip, la pièce jointe ressemble à un document professionnel légitime, par exemple une facture. Le lien de phishing peut ensuite mener à un site Web de phishing ou lancer automatiquement le téléchargement d’un malware ou d’un ransomware.
Une page de phishing est une page Web frauduleuse usurpant l’identité d’une marque. Les moins sophistiquées d’entre elles sont faciles à repérer. Toutefois, les hackers les plus doués récupèrent le code CSS des pages Web originales de la marque concernée pour créer leurs propres pages, qui leur ressemblent alors comme deux gouttes d’eau. Les pages de phishing imitent les pages de connexion sur lesquelles les victimes saisissent leur nom d’utilisateur et leur mot de passe pour accéder à leur compte. Le hacker peut ainsi récupérer automatiquement leurs identifiants.
Le sentiment d’urgence est au cœur de tous les emails de phishing. Les hackers utilisent divers stratagèmes pour susciter l’inquiétude, voire la peur, et motiver les utilisateurs à cliquer sur des liens et divulguer des informations sensibles.
L’email de phishing alerte l’utilisateur sur la nécessité de vérifier son compte ou de réinitialiser son mot de passe, soit dans le cadre d’une opération de routine, soit en raison d’un problème.
La victime est informée que son mode de paiement actuel, généralement une carte bancaire, ne fonctionne pas ou doit être mis à jour pour permettre la poursuite du service.
Cette attaque prend la forme d’une fausse facture ou d’un faux document commercial en pièce jointe. Ladite pièce jointe peut inclure un lien vers une page de phishing ou directement exécuter un malware/ransomware lors de son ouverture.
Les fausses alertes de sécurité prétendent que le mot de passe de la victime a été compromis, qu’une activité suspecte a été détectée sur son compte ou qu’une connexion récente depuis un appareil inconnu a été enregistrée.
Le phishing lié aux réseaux sociaux consiste à dérober les identifiants d’un compte sur les réseaux par le biais de l’une des techniques mentionnées ci-dessus. Les hackers en profitent parfois pour s’emparer des données personnelles de leur victime et les revendre sur le marché noir. Dans d’autres cas, ils utilisent le compte compromis pour lancer des attaques de phishing contre les amis et abonnés de la victime.
La sextorsion a pour but de faire croire que le hacker dispose d’informations compromettantes, par exemple une vidéo de la victime en train de regarder de la pornographie en ligne, enregistrée à l’aide de sa webcam. La victime est invitée à payer le hacker en bitcoins pour éviter que ces informations soient rendues publiques et diffusées à ses proches.
À une époque, le phishing concernait essentiellement le grand public. Mais à mesure qu’ils ont gagné en sophistication, les hackers ont commencé à s’intéresser aux entreprises. Par ailleurs, le développement du cloud computing a encore élargi la cible peinte sur le dos de ces dernières en rendant soudainement accessibles des fichiers et données sensibles. Les hackers ont ainsi commencé à se faire passer pour des marques connues avec lesquelles les entreprises entretiennent des relations commerciales, notamment des fournisseurs de services dans le cloud et des établissements financiers.
Avec plus de 200 millions d’utilisateurs, Microsoft 365 est la suite de productivité professionnelle la plus utilisée au monde. Elle constitue ainsi la principale cible des hackers. Le développement de Microsoft 365 a entraîné la multiplication des attaques de phishing visant les utilisateurs professionnels de la plateforme, dont les identifiants suffisent pour accéder aux données des entreprises.
Email de malware Microsoft 365
Email de phishing Outlook
Les utilisateurs sont informés que leur compte Microsoft 365 nécessite leur attention, comme valider des identifiants ou modifier un mot de passe.
Les utilisateurs sont informés d’un problème avec leur mode de paiement Microsoft 365 et invités à mettre à jour les informations de leur carte bancaire.
Les utilisateurs reçoivent un email d’une adresse Outlook ou Microsoft les alertant qu’ils ont reçu un message vocal et doivent se connecter à Microsoft 365 pour l’écouter.
Les utilisateurs reçoivent une notification les informant qu’un collègue a partagé un fichier OneDrive ou SharePoint avec eux. Ce fichier inclut généralement un lien de phishing, mais il peut aussi s’agir d’une renfermant un ransomware.
Les utilisateurs reçoivent une notification les informant qu’un collègue a partagé un fichier OneNote avec eux. L’URL de l’email mène à un faux message OneNote contenant un lien vers une page de phishing semblant publiée par Microsoft. Sans même disposer d’un compte SharePoint compromis, les hackers peuvent ainsi envoyer des notifications légitimes.
Une attaque de phishing en plusieurs phases commence par une attaque de phishing avant de se transformer en spear . Le hacker démarre par l’un des stratagèmes décrits précédemment et obtient ainsi accès aux identifiants Microsoft 365 d’un utilisateur. Armé de ces informations, il envoie des emails de phishing ou de spear phishing à partir du compte compromis.
Vade Secure for Microsoft 365 bloque les attaques sophistiquées dès le premier email. Pour ce faire, notre solution s’appuie sur des modèles d’apprentissage automatique qui procèdent à une analyse comportementale en temps réel de l’intégralité de l’email, URL et pièces jointes comprises. Notre système de détection basé sur l’IA s’appuie sur les données de plus de 1 milliard de boîtes aux lettres pour bloquer les menaces avant, pendant et même après les attaques.
La plupart des filtres de messagerie s’appuient sur des méthodes de détection basées sur l’empreinte et la réputation, notamment en recherchant des domaines et adresses IP en liste noire. Ils sont ainsi incapables de repérer les attaques inconnues ou les emails et pages de phishing qui n’ont pas encore été identifiés.
Les hackers ont recours à diverses méthodes pour contourner ces filtres. Une simple recherche de l’enregistrement MX leur permet par exemple de savoir quelle solution de sécurité de l’email est utilisée et donc de créer des scripts capables de contourner les règles MX ou encore d’imaginer des techniques de contournement de la solution à proprement parler. Voici une liste des techniques de phishing les plus fréquentes et les plus sophistiquées :
Pour se prémunir du phishing, la meilleure solution consiste à compter à la fois sur les utilisateurs et sur la technologie. De nouvelles attaques sont lancées chaque jour, et même les filtres les plus sophistiqués ne sont pas efficaces à 100 %. Il est ainsi nécessaire de faire preuve d’une vigilance de tous les instants et de s’appuyer sur un arsenal de technologies anti-phishing :
Les attaques gagnent en sophistication : les utilisateurs doivent donc bénéficier de formations continues aux nouvelles attaques et techniques de phishing. En plus de cette sensibilisation au phishing, une formation contextuelle, présentée lors du clic sur un email de phishing, permet à l’utilisateur de comprendre immédiatement son erreur.
Du contenu personnalisé en fonction de la marque utilisée dans la tentative de phishing donne à la formation un contexte, au contraire des formations annuelles généralement réalisées en groupes sur la base d’emails génériques. Au final, l’expérience sera plus efficace et mieux ancrée dans les mémoires que les simulations utilisées dans les formations classiques.
Il est par ailleurs tout aussi important d’encourager les utilisateurs à signaler les emails suspects. Le service informatique peut ainsi alerter l’entreprise des attaques en cours et l’équipe des opérations de sécurité utiliser l’email signalé pour renforcer l’efficacité du filtre de messagerie.
À la différence des technologies basées sur l’empreinte et la réputation, l’intelligence artificielle identifie les attaques de phishing inconnues en analysant le contenu, le contexte et l’origine des emails. Les algorithmes d’apprentissage automatique supervisé sont entraînés par des data scientists à reconnaître différentes caractéristiques des emails de phishing. Les algorithmes non supervisés ne nécessitent quant à eux aucune intervention, mais apprennent au fil du temps à reconnaître les anomalies des emails, à savoir les événements suspects et inhabituels.
Entraînés à détecter les images et logos des marques, les algorithmes de Computer Vision peuvent détecter les légères altérations des images et des images composées de texte, mais aussi extraire les QR Codes qui cachent des liens de phishing. À la différence des autres algorithmes d’apprentissage automatique, les algorithmes de Computer Vision interprètent et voient les images comme le font les humains. Ils reconnaissent ainsi les emails de phishing connus en dépit des modifications qu’ils ont subies.