Les attaques de phishing par e-mails représentent une menace persistante pour la sécurité en ligne. Les pirates informatiques utilisent diverses méthodes pour tromper les utilisateurs et les inciter à divulguer des informations sensibles. Cependant, ce qui est particulièrement préoccupant, c'est que même avec les avancées technologiques majeures dans les solutions de sécurité, les filtres anti-spam traditionnels se retrouvent souvent impuissants. Selon le rapport sur les menaces liées à la messagerie de Proofpoint, près de 88% des organisations ont signalé des attaques de phishing réussies contournant leurs filtres de sécurité en 2022.
Ces attaques de phishing ciblent parfois des marques peu connues, telles que pourrait l'être le nom de votre entreprise ou celles de vos clients et fournisseurs. Ces attaques peuvent être particulièrement sournoises, notamment lorsqu'elles contiennent des factures ou des informations bancaires, et qu'elles usurpent l'identité d'une société peu familière. Contrairement à des marques bien établies comme Amazon, UPS ou Netflix, ces attaques jouent sur le manque de familiarité pour induire en erreur les destinataires.
Cette combinaison de contenu personnalisé et d'usurpation de domaine peut rendre ces e-mails particulièrement convaincants et difficiles à détecter pour les filtres anti-spam du marché, tels que Microsoft Exchange Online Protection, Proofpoint email protection, Symantec Messaging Gateway, Cisco ESA/Ironport, etc
Stratégies pour se prémunir contre ces attaques :
Pour se protéger efficacement contre les risques posés par ces attaques de phishing sournoises, plusieurs mesures sont essentielles :
Configuration DMARC en mode "reject" : L'une des actions les plus efficaces que les organisations peuvent prendre est de configurer DMARC en mode "reject" sur leurs domaines. Cela signifie que les e-mails émis par ces domaines qui ne sont pas authentifiés avec SPF/DKIM selon les normes définies par DMARC seront rejetés par leur destinataire plutôt que simplement marqués comme suspects.
Interprétation des politiques DMARC des domaines émetteurs : Configurer votre antispam pour interpréter les politiques DMARC des domaines émetteurs peut aider à identifier les e-mails qui ne respectent pas ces politiques et à les traiter en conséquence (Intervention de configuration nécessaire sur Proofoint email protection, Symantec Messaging Gateway, Cisco ESA/Ironport).
Surveillance et takedown des domaines similaires : Surveiller en continu les nouveaux domaines créés qui sont similaires aux vôtres ou à vos contacts habituels peut permettre de détecter rapidement des tentatives d'usurpation de domaine. Ces domaines similaires sont souvent utilisés dans les attaques de phishing. Les bloquer au niveau de vos solutions de sécurité, telle que Microsoft 365 (O365), et les ajouter à des listes noires (blacklist) empêche les e-mails émis depuis ces domaines d'atteindre vos utilisateurs.
Les attaques de phishing ciblant des marques peu connues posent des défis particulièrement complexes en matière de détection et de prévention. Face à cette réalité, il est crucial de prendre des mesures proactives, notamment en configurant DMARC en mode "reject" sur ses domaines, en interprétant les politiques DMARC des émetteurs d’e-mail, et en surveillant en continu les domaines similaires pour les bloquer. Bien qu'il puisse être difficile d'éradiquer complètement ces attaques, une combinaison de mesures de sécurité solides et de sensibilisation des utilisateurs peut grandement réduire les risques associés aux attaques de phishing sournoises.