Dans cet article, nous explorerons en détail diverses méthodes de protection contre une méthode d’ingénierie social appelé « phishing » et les conséquences potentielles de celle-ci.
Quel est l’objectif du phishing ?
Le Phishing consiste à envoyer un mail malveillant à un destinataire, en se faisant passer pour une personne ou un organisme, dans le but d’obtenir des informations sensibles ou de lancer un script malveillant sur le terminal (ordinateur ou téléphone portable) du destinataire. L’un des objectifs d’un hackeur peut donc être de vous inciter à cliquer sur un lien présent dans le corps du mail afin de vous rediriger sur un site frauduleux pour capturer vos identifiants (faux site de banque, d’impôts…) ; ou de vous inciter à télécharger un fichier en pièce jointe, qui sera en réalité un fichier malveillant.
Éducation et sensibilisation
L’une des défenses les plus puissantes contre le phishing est l’éducation. Plus vous êtes informé sur les tactiques utilisées par les cybercriminels, moins vous êtes susceptible de tomber dans leurs pièges. Familiarisez-vous avec les signes courants d’un e-mail de phishing, tels que les fautes d’orthographe, les adresses e-mail suspectes et les demandes urgentes d’informations sensibles (telles que la carte de crédit, les identifiants et mot de passe, etc). Côté entreprise, il est nécessaire que les responsables de la sécurité du système d’information mettent en place des processus qui seront appliqués en cas de doute de légitimité d’un e-mail.
1) Vérification de l’adresse de l’expéditeur
L’analyse de l’adresse de l’expéditeur est un premier indice sur la légitimité du mail. La vérification des adresses se fait de la manière suivante :
- Vérification du nom et prénom : en cas de doute, s’assurer que le contact est connu ou a au moins le rôle qu’il prétend avoir, en couplant des informations connues et des informations LinkedIn par exemple.
- Vérification du nom de domaine associé : s’assurer que la deuxième partie de l’adresse mail de l’expéditeur (après le @), le nom de domaine, est légitime, c’est-à-dire que l’orthographe du domaine est le bon. Il existe une méthode malveillante appelée le typosquattage qui vise à créer un domaine malveillant similaire à un domaine légitime existant en remplaçant quelques lettres par des lettres proches, ou dans des polices spécifiques pour berner le(s) destinataire(s) d’un mail de phishing.
Exemples :
Mail légitime : Jean-pierre@votredomaine.com
Mail de phishing : Jean.pierre@votredoma1ne.com
2) Vérification des adresses URL
Une adresse URL (Uniform Resource Locator) est une adresse qui précise la localisation, le protocole utilisé, le chemin d’accès et le nom de la machine sollicité ou d’une ressource sur internet.
Exemple :
https://www.unexemplededomaine.fr/dossier/index.html
https : le protocole utilisé est HyperText Transfer Protocol Secure (privilégiez les liens https aux liens http).
www : World Wide Web fait simplement référence à internet
unexemplededomaine : nom du domaine sollicité
.fr : spécifie que le domaine est hébergé en France
dossier : nom du répertoire dans lequel se situe index.html
index.html : fichier sollicité
L’utilisation d’URL malicieux est l’une des astuces les plus courantes utilisées par les cybercriminels. Cette manœuvre consiste à masquer des liens malveillants derrière des adresses URL semblant légitimes. Avant de cliquer sur un lien, survolez-le avec votre souris pour afficher l’URL réelle. Assurez-vous qu’elle correspond au site auquel vous vous attendez. Méfiez-vous également des URL légèrement modifiés, qui peuvent sembler authentiques au premier coup d’œil. Vous pouvez vérifier la légitimité d’un site avec les sites domaintool, ou encore VirusTotal.
3) Méfiez-vous des demandes d’informations sensibles
Les institutions légitimes ou vos managers/équipes IT ne vous demanderont que rarement (c’est une méthode à proscrire) de fournir des informations personnelles, financières ou confidentielles par e-mail. Si vous recevez un e-mail vous demandant de telles informations, prenez du recul et vérifiez l’authenticité de la demande en contactant directement l’entreprise via des canaux de communication officiels (par téléphone, via votre messagerie officielle…).
4) Utilisation de filtres anti-phishing
De nombreux services de messagerie et logiciels de sécurité offrent des filtres anti-phishing intégrés. Ces filtres peuvent identifier les e-mails suspects et les marquer comme tels, voire les bloquer automatiquement. Assurez-vous que ces fonctionnalités sont activées pour renforcer votre protection contre les attaques de phishing.
5) Utilisation de solutions de sécurité fiables
Installez et mettez à jour régulièrement un logiciel antivirus et un pare-feu sur tous vos appareils. Ces outils tels que BitDefender Antivirus, Avira, Norton360 peuvent détecter et bloquer les menaces en ligne, les tentatives de phishing et toutes les actions qui en découlent (téléchargement malicieux, lancement de logiciels, etc).
6) Mettre en place des signatures
Il est possible de mettre en place des signatures cryptographiques permettant de s’assurer de l’authenticité d’un mail reçu. En utilisant les DomainKeys Identified Mail (empêche des attaquants d’envoyer des e-mails sur votre domaine) et le Domain-Base Message Authentication (assure la légitimé des mails envoyés de votre domaine), il est possible de passer par le protocole SPF (assure la légitimé des mails envoyé) pour valider l’intégrité des mails.
La menace du phishing en ligne ne disparaîtra jamais, mais en adoptant des mesures de protection efficaces, vous pouvez grandement réduire vos risques d’être victime d’une attaque. L’éducation, la vigilance et l’utilisation d’outils de sécurité sont des éléments clés pour maintenir vos informations en sécurité en ligne. En restant informé et en suivant ces meilleures pratiques, vous pouvez minimiser les risques liés au phishing. En cas de suspicion d’escroquerie par phishing vous pouvez passer par https://www.internet-signalement.gouv.fr.
Coralium se propose de vous accompagner dans vos démarches de maitrise du phishing, que ce soit dans la sensibilisation, la création de processus ou encore le durcissement de votre SI.
Article rédigé par : Kévin Rosemond, consultant chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Simulation phishing, Atelier Phishing