+33 (0)5 56 15 01 01

Comment reconnaître une attaque de phishing par e-mail ?

Auteur : Adèle

30 juin 2022

Un grand nombre d’attaques de phishing ciblent les utilisateurs de messageries dans le but de récupérer leurs informations d’identification pour une utilisation ultérieure.

Ces e-mails donnent souvent l’impression de provenir du service d’assistance informatique ou du service de sécurité du destinataire. Le plus souvent, ces e-mails se font passer pour un message en attente qui nécessite une action quelconque de la part de l’utilisateur pour le recevoir. Par exemple, ils peuvent suggérer la fermeture d’un compte, l’expiration d’un mot de passe, des mises à jour de stockage ou d’autres sujets urgents et importants.

Compte tenu de l’augmentation considérable des attaques dernièrement, vous vous demandez peut-être comment garder une longueur d’avance sur ces menaces ? Dans cet article, nous vous expliquerons comment se fait-il que vous receviez ces e-mails, comment les détecter puis, comment rester en sécurité face à ces attaques.

Pourquoi je reçois des e-mails de phishing ?

 

Les cybercriminels font tout ce qui est en leur pouvoir pour obtenir le plus grand nombre d’adresses possible en vue d’un gain financier potentiel. Les méthodes qu’ils utilisent varient énormément et comprennent des éléments tels que :

  • Compromettre des comptes en ligne
  • Utiliser des listes d’adresses électroniques accessibles au public
  • Exploiter des sites Web pour obtenir des décharges de données
  • Utiliser un logiciel de scraping pour récolter des adresses à partir de milliers de pages Web
spam phishing

Une fois que les cybercriminels ont obtenu les identifiants de connexion dont ils ont besoin, il leur est facile de compromettre les comptes de messagerie pour diffuser davantage de spam et d’e-mails de phishing. Ils sont également en mesure de vérifier si ces informations d’identification sont utilisées sur d’autres sites Web (comptes bancaires, réseaux sociaux, etc.) entraînant d’autres prises de contrôle de comptes.

Comment détecter un e-mail
d’hameçonnage ?

 

1. En-têtes de l'e-mail

L’objectif du cybercriminel est de faire croire que l’e-mail provient du domaine du destinataire. L’en-tête de l’e-mail montre que l’attaquant s’efforce de prendre l’identité du domaine du destinataire :

  • Le HELO, qui est utilisé comme « message de bienvenue » par les serveurs de messagerie pour identifier le FQDN (Fully Qualified Domain Name) du serveur, est usurpé par le domaine du destinataire.
  • L’adresse de l’expéditeur (celle à partir de laquelle l’e-mail est envoyé) est usurpée pour ressembler à un destinataire générique du domaine du destinataire (par exemple, info@, support@, etc.).
  • L’adresse d’origine et les noms d’affichage sont usurpés pour donner l’impression qu’ils proviennent d’un service interne.
  • L’identifiant du message est usurpé.

 

Les e-mails eux-mêmes proviennent de diverses sources. Celles-ci peuvent inclure (mais ne sont pas limitées à) :

  • Des mailers PHP provenant de comptes d’hébergement piratés
  • Services de cloud computing
  • Services d’hébergement Web
  • Services VPN
  • Comptes de messagerie piratés
2. Contenu

Ce type d’attaque par hameçonnage repose en grande partie sur des variations du même contenu. Par exemple, des e-mails en attente ou des e-mails de vérification et de fermeture/expiration de compte, avec un appel à l’action (AAC) souvent de couleur vive. La langue française et la grammaire utilisées sont souvent maladroites ou incorrectes, et la formulation vise à créer un sentiment d’urgence. En outre, le code HTML de l’e-mail peut parfois être encodé afin de contourner les politiques anti-spam et de phishing d’un domaine.

Ci-dessous, nous pouvons voir quelques sujets et e-mails de phishing réels :

    • Sujet : Votre compte e-mail exemple.com sera suspendu dans 48 heures en raison d’une violation de la politique.
    • Objet : 4 e-mails importants non reçus.
    • Sujet : {EMAIL}@{DOMAINE} Le quota doit être mis à jour
    • Objet : Le quota de {email}@{domain} doit être mis à jour : {EMAIL}@{DOMAIN} a 5 e-mails entrants en attente.
3. Landing page (LP)

Une fois que l’utilisateur a cliqué sur le lien contenu dans l’e-mail, il est dirigé vers une page de connexion d’apparence authentique.

Une fois que la victime a saisi son nom d’utilisateur et son mot de passe et qu’elle a cliqué sur le lien, la page de phishing trouve un moyen d’envoyer les données récoltées à un emplacement distant (ou parfois local) pour les collecter. Cela se fait souvent à l’aide de scripts JavaScript et/ou PHP.

En examinant les sources de certaines landing pages de phishing (à l’aide des outils de développement du navigateur ou simplement en appuyant sur CTRL + u), nous pouvons voir les détails de l’endroit où les résultats récoltés seront envoyés.

Comment rester en sécurité avec tout ce qui se passe ?

 

La répétition étant apparemment la mère de la connaissance, il est toujours utile de répéter les étapes ci-dessous pour s’assurer que vous et vos clients soient à l’abri de ce type de menaces. En plus d’une prudence appropriée dans le cadre du bon sens, les actions suivantes doivent être prises afin de rester protégé :

1. Configurer SPF, DKIM et DMARC

Dans le cadre d’une solution de sécurité des e-mails, vous pouvez également configurer SPF, DKIM et DMARC.

  • SPF (Sender Policy Framework) est utilisé pour limiter les serveurs de messagerie qui peuvent envoyer des e-mails pour un nom de domaine spécifique.
  • DKIM (Domain Keys Identified Mail) est une méthode utilisée pour signer vos e-mails sortants afin de permettre au destinataire de vérifier que les messages proviennent de l’expéditeur spécifié et que le contenu du message n’a pas été modifié.
  • DMARC (Domain-Based Message Authentication, Reporting and Conformance) est un protocole d’e-mail conçu pour aider à prévenir l’usurpation d’identité lorsqu’il est utilisé conjointement avec SPF et/ou DKIM.
2. Déployer une solution puissante de sécurité des e-mails : N-able Mail Assure

En tirant parti de l’intelligence collective et en utilisant les données recueillies lors de la surveillance de plus de deux millions de domaines gérés, N-able Mail Assure peut vous aider à protéger vos e-mails contre les attaques de phishing. Les données collectées alimentent le moteur de protection intelligent Mail Assure pour combiner la reconnaissance des menaces en temps quasi réel.

Avec une variété de technologies de filtrage, elle aide les entreprises à se protéger contre les spams, les virus, les ransomwares, les logiciels malveillants, les attaques de phishing et d’autres menaces véhiculées par les e-mails.

Pour en savoir plus sur N-able Mail Assure, rendez-vous sur notre page dédiée. Vous pouvez également demander une version d’essai gratuite de 30 jours. Si vous avez des questions supplémentaires, vous pouvez nous contacter au 05 56 15 01 01 ou sur ventes@watsoft.com.

Source : Traduction de l’article rédigé par N-able « « The Anatomy of a Cybercrime: Dissecting a Phishing Attack » 

– Articles recommandés

0 commentaires