Phishing
Le phishing est la forme d’attaque sociale la plus répandue par e-mail. Contrairement aux cyberattaques sur les systèmes et les logiciels, il nécessite peu ou pas d’expertise en piratage, ce qui en fait un moyen rapide et facile pour les cybercriminels d’accéder aux données les plus sensibles d’une entreprise.
Qu’est-ce que le phishing ?
Le phishing est une arnaque par email consistant pour son auteur à se faire passer pour une marque afin de pousser ses victimes à divulguer leurs identifiants ou à exécuter un malware. Ainsi, dans la plupart des cas, le phishing prend la forme d’un lien vers un site Web frauduleux ou d’une pièce jointe contenant un malware.
Phishing et spear phishing
Dans le cadre d’une attaque de phishing, les hackers se font passer pour des marques afin de tromper leurs victimes. Lors d’une attaque de spear phishing, ils usurpent l’identité d’autres personnes. La plupart des emails de phishing incluent un objet qui inquiète ou intrigue, et encourage les destinataires à réagir sans délai. À l’exception des attaques hautement ciblées, un email de phishing est généralement ponctuel. Bien souvent, les hackers envoient un seul et même email de phishing à de nombreux destinataires en même temps (ce que l’on appelle une « vague ») pour accroître leurs chances de réussite.
À la différence des emails de phishing, les emails de spear phishing n’incluent pas de liens ni de pièces jointes. Ils sont conçus pour pousser leurs destinataires à effectuer une transaction financière, par exemple un virement, un achat de cartes cadeaux ou une modification de coordonnées bancaires.
Email de phishing
Email de spear phishing
Anatomie d’un email de phishing
Tous les emails de phishing comportent soit un lien, soit une pièce jointe. Pour que les victimes potentielles cliquent sur le lien ou ouvrent la pièce jointe, les hackers ont recours à des outils et techniques sophistiqués. Voici les éléments les plus importants d’un email de phishing :
Objet
Il s’agit peut-être de l’élément le plus important d’un email de phishing : l’objet doit attirer, alerter ou apeurer le destinataire afin de l’inciter à ouvrir l’email. Les hackers bien renseignés concoctent des objets hautement ciblés pour que leurs victimes ouvrent leurs emails.
Usurpation de l’adresse email
L’usurpation de l’adresse email consiste à créer une adresse qui ressemble à celle d’une entreprise de confiance. Le hacker recourt parfois à l’usurpation du nom affiché pour afficher le nom souhaité dans le champ De de l’email. Dans d’autres cas, il y placera une adresse email qui ressemble à celle d’une entreprise légitime.
Usurpation de la marque
Les hackers se font passer pour les marques dans lesquelles vous avez le plus confiance. Ainsi, lorsqu’ils s’attaquent à des entreprises, ils usurpent l’identité des marques avec lesquelles ces entreprises entretiennent une relation, comme une banque ou un éditeur de logiciels. Pour créer un sentiment d’authenticité, les hackers utilisent les véritables logos des produits et éléments visuels faisant partie de l’identité de la marque.
Lien de phishing
Un lien de phishing est une URL qui mène à une page Web de phishing. Le lien de phishing se trouve généralement dans le corps de l’email, mais il peut aussi être inséré dans une pièce jointe ou un fichier hébergé sur un service légitime, comme OneDrive ou SharePoint, afin de ne pas être détecté par les filtres de messagerie capables de repérer les liens connus. Les victimes sont incitées à cliquer sur le lien dans l’email et sont ainsi redirigées sur un site Web leur proposant de se connecter à leur compte.
Pièce jointe
Les pièces jointes permettent de masquer le lien de phishing de la vue des filtres de messagerie ou de remettre un malware/ransomware. Bien souvent sous la forme d’un fichier Word, PDF ou .zip, la pièce jointe ressemble à un document professionnel légitime, par exemple une facture. Le lien de phishing peut ensuite mener à un site Web de phishing ou lancer automatiquement le téléchargement d’un malware ou d’un ransomware.
Page de phishing
Une page de phishing est une page Web frauduleuse usurpant l’identité d’une marque. Les moins sophistiquées d’entre elles sont faciles à repérer. Toutefois, les hackers les plus doués récupèrent le code CSS des pages Web originales de la marque concernée pour créer leurs propres pages, qui leur ressemblent alors comme deux gouttes d’eau. Les pages de phishing imitent les pages de connexion sur lesquelles les victimes saisissent leur nom d’utilisateur et leur mot de passe pour accéder à leur compte. Le hacker peut ainsi récupérer automatiquement leurs identifiants.
Exemples d’attaques de phishing
Le sentiment d’urgence est au cœur de tous les emails de phishing. Les hackers utilisent divers stratagèmes pour susciter l’inquiétude, voire la peur, et motiver les utilisateurs à cliquer sur des liens et divulguer des informations sensibles.
Vérification/mise à jour du compte
L’email de phishing alerte l’utilisateur sur la nécessité de vérifier son compte ou de réinitialiser son mot de passe, soit dans le cadre d’une opération de routine, soit en raison d’un problème.
Mise à jour du moyen de paiement
La victime est informée que son mode de paiement actuel, généralement une carte bancaire, ne fonctionne pas ou doit être mis à jour pour permettre la poursuite du service.
Facture en pièce jointe
Cette attaque prend la forme d’une fausse facture ou d’un faux document commercial en pièce jointe. Ladite pièce jointe peut inclure un lien vers une page de phishing ou directement exécuter un malware/ransomware lors de son ouverture.
Avertissement de sécurité
Les fausses alertes de sécurité prétendent que le mot de passe de la victime a été compromis, qu’une activité suspecte a été détectée sur son compte ou qu’une connexion récente depuis un appareil inconnu a été enregistrée.
Phishing lié aux réseaux sociaux
Le phishing lié aux réseaux sociaux consiste à dérober les identifiants d’un compte sur les réseaux par le biais de l’une des techniques mentionnées ci-dessus. Les hackers en profitent parfois pour s’emparer des données personnelles de leur victime et les revendre sur le marché noir. Dans d’autres cas, ils utilisent le compte compromis pour lancer des attaques de phishing contre les amis et abonnés de la victime.
Sextortion
La sextorsion a pour but de faire croire que le hacker dispose d’informations compromettantes, par exemple une vidéo de la victime en train de regarder de la pornographie en ligne, enregistrée à l’aide de sa webcam. La victime est invitée à payer le hacker en bitcoins pour éviter que ces informations soient rendues publiques et diffusées à ses proches.
Montée en puissance du phishing ciblant les entreprises
À une époque, le phishing concernait essentiellement le grand public. Mais à mesure qu’ils ont gagné en sophistication, les hackers ont commencé à s’intéresser aux entreprises. Par ailleurs, le développement du cloud computing a encore élargi la cible peinte sur le dos de ces dernières en rendant soudainement accessibles des fichiers et données sensibles. Les hackers ont ainsi commencé à se faire passer pour des marques connues avec lesquelles les entreprises entretiennent des relations commerciales, notamment des fournisseurs de services dans le cloud et des établissements financiers.
Les 5 principales marques usurpées en 2019 (d’après le nombre d’URL de phishing)
Phishing visant Microsoft
Avec plus de 200 millions d’utilisateurs, Microsoft 365 est la suite de productivité professionnelle la plus utilisée au monde. Elle constitue ainsi la principale cible des hackers. Le développement de Microsoft 365 a entraîné la multiplication des attaques de phishing visant les utilisateurs professionnels de la plateforme, dont les identifiants suffisent pour accéder aux données des entreprises.
Email de malware Microsoft 365
Email de phishing Outlook
Attaques de phishing populaires touchant Microsoft 365
les utilisateurs sont informés que leur compte Microsoft 365 nécessite leur attention, comme valider des identifiants ou modifier un mot de passe.
les utilisateurs sont informés d’un problème avec leur mode de paiement Microsoft 365 et invités à mettre à jour les informations de leur carte bancaire.
les utilisateurs reçoivent un email d’une adresse Outlook ou Microsoft les alertant qu’ils ont reçu un message vocal et doivent se connecter à Microsoft 365 pour l’écouter.
les utilisateurs reçoivent une notification les informant qu’un collègue a partagé un fichier OneDrive ou SharePoint avec eux. Ce fichier inclut généralement un lien de phishing, mais il peut aussi s’agir d’une renfermant un ransomware.
les utilisateurs reçoivent une notification les informant qu’un collègue a partagé un fichier OneNote avec eux. L’URL de l’email mène à un faux message OneNote contenant un lien vers une page de phishing semblant publiée par Microsoft. Sans même disposer d’un compte SharePoint compromis, les hackers peuvent ainsi envoyer des notifications légitimes.
une attaque de phishing en plusieurs phases commence par une attaque de phishing avant de se transformer en spear . Le hacker démarre par l’un des stratagèmes décrits précédemment et obtient ainsi accès aux identifiants Microsoft 365 d’un utilisateur. Armé de ces informations, il envoie des emails de phishing ou de spear phishing à partir du compte compromis.
Vade Secure for Microsoft 365
Vade Secure for Microsoft 365 bloque les attaques sophistiquées dès le premier email. Pour ce faire, notre solution s’appuie sur des modèles d’apprentissage automatique qui procèdent à une analyse comportementale en temps réel de l’intégralité de l’email, URL et pièces jointes comprises. Notre système de détection basé sur l’IA s’appuie sur les données de plus de 600 millions de boîtes aux lettres pour bloquer les menaces avant, pendant et même après les attaques.
Techniques de phishing
La plupart des filtres de messagerie s’appuient sur des méthodes de détection basées sur l’empreinte et la réputation, notamment en recherchant des domaines et adresses IP en liste noire. Ils sont ainsi incapables de repérer les attaques inconnues ou les emails et pages de phishing qui n’ont pas encore été identifiés.
Les hackers ont recours à diverses méthodes pour contourner ces filtres. Une simple recherche de l’enregistrement MX leur permet par exemple de savoir quelle solution de sécurité de l’email est utilisée et donc de créer des scripts capables de contourner les règles MX ou encore d’imaginer des techniques de contournement de la solution à proprement parler. Voici une liste des techniques de phishing les plus fréquentes et les plus sophistiquées :
- Les victimes sont sélectionnées sur la base de leur poste, de leur expérience et d’autres facteurs révélant leur capacité à accéder à des données sensibles.
- Les hackers exploitent les médias sociaux et d’anciennes violations de données pour obtenir des informations susceptibles de les aider à personnaliser leur email et à comprendre ce qui pourrait pousser leur victime à leur répondre.
- Ils enquêtent sur l’entreprise ciblée afin de déterminer avec quelles marques elle interagit, notamment ses partenaires commerciaux, éditeurs de logiciels, banques et autres partenaires financiers.
- Les logos et images des marques sont téléchargés depuis le Web et insérés dans des emails de phishing pour renforcer leur authenticité perçue.
- Les codes CSS et JavaScript sont copiés depuis les pages Web d’origine des marques et utilisés pour créer des pages de phishing indistinguables des originales.
- Des adresses email de réponse légitimes sont également ajoutées aux emails de phishing pour convaincre l’utilisateur qu’ils proviennent bel et bien de la marque.
- Des URL menant à des pages de phishing sont insérées dans l’email ou cachées dans une pièce jointe, par exemple dans un fichier PDF ou Word, afin de tromper les filtres de messagerie incapables d’analyser ces documents.
- Des URL légitimes menant à des pages Web sûres sont incluses en parallèle du lien de phishing pour tromper les filtres de messagerie qui jugent l’email sûr après avoir détecté un certain nombre d’URL authentiques.
- Les URL temporaires sont des URL qui mènent à des pages Web légitimes et sûres, puis sont redirigées vers des pages de phishing une fois l’email remis.
- Les outils de raccourcissement des URL comme Bit.ly et TinyURL permettent de créer des alias et d’éviter ainsi la détection par les filtres à la recherche de liens de phishing connus.
- De légères modifications ou altérations des images modifient leur hachage cryptographique, aussi appelé « empreinte ». Ainsi, les filtres peuvent considérer un email de phishing en liste noire comme un nouvel email, sûr cette fois-ci.
- Des QR Codes remplacent souvent les URL de phishing pour éviter les filtres qui ne savent pas les extraire. Typiques des tentatives de sextorsion, ils permettent aux victimes d’accéder à un site de bitcoins sur lequel elles peuvent payer la somme demandée par le hacker.
- Les images contenant du texte, comme des captures d’écran d’email, sont insérées dans le corps des emails en lieu et place du texte. Les filtres de messagerie ne peuvent ainsi pas en analyser le contenu et par conséquent juger que l’email est sûr.
Prévention du phishing
Pour se prémunir du phishing, la meilleure solution consiste à compter à la fois sur les utilisateurs et sur la technologie. De nouvelles attaques sont lancées chaque jour, et même les filtres les plus sophistiqués ne sont pas efficaces à 100 %. Il est ainsi nécessaire de faire preuve d’une vigilance de tous les instants et de s’appuyer sur un arsenal de technologies anti-phishing :
Les attaques gagnent en sophistication : les utilisateurs doivent donc bénéficier de formations continues aux nouvelles attaques et techniques de phishing. En plus de cette sensibilisation au phishing, une formation contextuelle, présentée lors du clic sur un email de phishing, permet à l’utilisateur de comprendre immédiatement son erreur.
Du contenu personnalisé en fonction de la marque utilisée dans la tentative de phishing donne à la formation un contexte, au contraire des formations annuelles généralement réalisées en groupes sur la base d’emails génériques. Au final, l’expérience sera plus efficace et mieux ancrée dans les mémoires que les simulations utilisées dans les formations classiques.
Il est par ailleurs tout aussi important d’encourager les utilisateurs à signaler les emails suspects. Le service informatique peut ainsi alerter l’entreprise des attaques en cours et l’équipe des opérations de sécurité utiliser l’email signalé pour renforcer l’efficacité du filtre de messagerie.
À la différence des technologies basées sur l’empreinte et la réputation, l’intelligence artificielle identifie les attaques de phishing inconnues en analysant le contenu, le contexte et l’origine des emails. Les algorithmes d’apprentissage automatique supervisé sont entraînés par des data scientists à reconnaître différentes caractéristiques des emails de phishing. Les algorithmes non supervisés ne nécessitent quant à eux aucune intervention, mais apprennent au fil du temps à reconnaître les anomalies des emails, à savoir les événements suspects et inhabituels.
Entraînés à détecter les images et logos des marques, les algorithmes de Computer Vision peuvent détecter les légères altérations des images et des images composées de texte, mais aussi extraire les QR Codes qui cachent des liens de phishing. À la différence des autres algorithmes d’apprentissage automatique, les algorithmes de Computer Vision interprètent et voient les images comme le font les humains. Ils reconnaissent ainsi les emails de phishing connus en dépit des modifications qu’ils ont subies.
Ressources sur le phishing
Entrez en Contact !
Intéressé par nos produits ? Contactez notre équipe.