Comment détecter une tentative d’escroquerie par mail ?

Toutes les entreprises, quelle que soit leur taille, subissent des cyberattaques. En revanche, les petites et moyennes entreprises (PME) sont parfois moins armées pour se défendre. Or les cyberattaques peuvent être très coûteuses pour celles-ci, allant même jusqu’à provoquer leur faillite.

C’est à l’aune de ce constat que nous souhaitons attirer votre attention sur les tentatives d’escroquerie qui pèsent sur les messageries professionnelles. Elles sont des vecteurs d’attaques privilégiées, car assez simples à mettre en œuvre pour le cybercriminel, tout en permettant d’obtenir des accès avancés dans l’entreprise.

Quelles sont les méthodes les plus courantes ? Comment détecter des tentatives d’escroquerie ? Que faire en cas de cyberattaque ? Voici une liste de 7 méthodes d’attaque par courriel utilisées par les cybercriminels. Elles appartiennent pour la plupart à l’ingénierie sociale.

 

L’hameçonnage

L’hameçonnage – phishing – est l’attaque la plus répandue d’après le rapport annuel sur l’état de la menace dressé par l’European Union Agency for Cybersecurity (ENISA). Il se produit lorsque des hackers créent un courriel conçu pour donner l’impression qu’il provient d’une entreprise réputée ou d’une personne de confiance. Le courriel contient des liens ou des pièces jointes malveillants qui, lorsqu’on clique dessus ou on les télécharge, conduisent la victime à fournir des informations confidentielles (numéros de cartes bancaires, identifiant de connexion…). Ces informations seront ensuite revendues ou utilisées par le cybercriminel.

Comment fonctionne l’hameçonnage ?

Pour donner l’impression qu’un courriel illicite est légitime, les fraudeurs utilisent souvent les couleurs de la marque et le logo de l’entreprise qu’ils usurpent. Les liens contenus dans l’email mèneront ensuite à des sites web de phishing qui tenteront également de se faire passer pour une entreprise connue.

Quel en est le risque ?

La tentative d’escroquerie par hameçonnage va permettre à l’attaquant d’obtenir par exemple un accès au compte informatique d’un utilisateur victime. En effet, le site web de phishing est conçu pour vous inciter à révéler vos informations d’identification pour les services bancaires, les emails ou simplement le poste de travail. Il va être une copie conforme du site original de la structure visée.  Après une attaque de phishing réussie, l’entreprise est alors accessible aux hackers, comme si vous leur aviez donné les clés de votre maison.

Comment réduire le risque lié à une tentative d’hameçonnage ?

Un certain nombre d’indicateurs permettent de déjouer un grand nombre de ces attaques. Il faut être attentif à plusieurs éléments :

• L’expéditeur est-il connu ? Est-ce bien son adresse de messagerie ?
• L’expéditeur est-il un collaborateur de l’entreprise ?
• L’objet du message est-il en lien avec les activités connues de l’expéditeur ?
• La date et l’heure d’expédition du message.
• Est-ce qu’il y a une forme de pression psychologique dans le corps du message ?

En complément, équiper son poste informatique d’un antivirus analysant l’activité de messagerie et de navigation sera un bon complément. Il convient également de ne pas répondre au message reçu.

💡 Si vous avez cliqué sur le lien ou ouvert une pièce jointe malveillante :

👉 Conservez le courriel original.
👉 Lancez une analyse antivirale de votre poste.
👉 Changez vos identifiants de messagerie, si vous avez communiqué des données bancaires, contactez votre banque.
👉 Déposez plainte auprès de la gendarmerie ou la police.

🎥 Apprenez à détecter une menace informatique avec notre Directeur cybersécurité, Cyril Bras.

 

Le harponnage

Le harponnage ou spear-phishing fonctionne comme le phishing mais cible une personne ou une entreprise en particulier.

Comment fonctionne la tentative d’escroquerie par harponnage ?

Alors que les attaques de phishing envoient des emails en grand nombre dans l’espoir d’obtenir une « prise », le spear-phishing cible une personne en particulier. Le cybercriminel a au préalable collecté des informations sur sa cible afin de créer une sollicitation qui va lui paraître la plus légitime possible.

Quel en est le risque ?

S’adressant par son nom et l’intitulé de son poste au destinataire de l’email, le cybercriminel augmente ses chances de succès. En effet, sa cible, mise en confiance, tombe dans le piège qui lui est tendu en cliquant sur le lien présent ou en ouvrant l’éventuelle pièce jointe.

Comment réduire le risque lié à une tentative d’harponnage ?

En appliquant les mêmes mesures que pour l’hameçonnage classique.

 

L’usurpation d’emails

L’usurpation d’email est une forme plus sophistiquée de tentative d’escroquerie par phishing où l’adresse email à partir de laquelle l’email est envoyé semble être une adresse légitime associée à l’entreprise dont l’identité est usurpée.

Comment fonctionne l’usurpation d’emails ?

Chaque email a un en-tête qui est composé de lignes de texte invisibles dans l’email. Celles-ci permettent à votre messagerie de savoir, notamment, de qui provient l’email.

À l’aide de techniques sophistiquées, il est possible de modifier l’en-tête d’un email frauduleux pour donner l’impression qu’il provient d’une adresse légitime.

Quel en est le risque ?

Étant donné que l’adresse « de provenance » dans l’email semble provenir d’un compte authentique, l’attaque a beaucoup plus de chances de réussir. Les attaques d’usurpation d’identité peuvent alors contenir des rançongiciels, des virus ou exiger des paiements de la part des salariés. Par exemple, croyant l’email authentique car signé par leur président, des collaborateurs d’une direction financière vont procéder au paiement en ligne d’un faux fournisseur. On parle alors de Business e-mail compromiss (BEC)

Comment réduire le risque lié à l’usurpation d’emails ?

Il est essentiel de bien lire le champ expéditeur au complet. En effet dans ce type d’attaque, l’adresse réelle de l’attaquant apparaitra après celle de l’expéditeur usurpé. Il convient également de mettre en place au sein de l’entreprise des mécanismes de validation interne ne permettant pas la réalisation d’actions sensibles par courriel.

💡 Si vous avez cliqué sur le lien ou ouvert une pièce jointe :

👉 Conservez le courriel original.
👉 Lancez une analyse antivirale de votre poste.
👉 Changez vos identifiants de messagerie, si vous avez communiqué des données bancaires, contactez votre banque.
👉 Déposez plainte auprès de la gendarmerie ou la police.

🔎 Décryptez une tentative de fraude au président avec un cas concret à l’encontre de notre président, Thomas Fauré.

 

Détournement de fil de discussion par email

Il s’agit d’une forme plus élaborée d’ingénierie sociale où un cybercriminel s’infiltre dans un serveur de messagerie et intercepte une conversation en cours. Cette tentative d’escroquerie peut faire suite à une campagne d’hameçonnage ayant permis à l’attaquant de récupérer les identifiants d’accès à un compte mail. Il va alors récupérer l’intégralité des échanges présents sur le serveur et la liste des destinataires. Il va alors utiliser ces échanges depuis une autre adresse de messagerie pour reprendre le contact. Vous pensez que vous communiquez avec la personne avec qui vous avez communiqué, mais vous communiquez en fait, maintenant, avec un hacker.

Comment fonctionne le détournement de fil de discussion par email ?

Ces attaques sont bien souvent la suite d’une campagne d’hameçonnage réussie ou peuvent aussi se produire lorsqu’un serveur de messagerie n’est pas à jour de ses correctifs de sécurité.

Quel en est le risque ?

Parce que l’attaque s’appuie sur une conversation en cours, son taux de réussite peut être extrêmement élevé. Les risques sont multiples, l’attaquant peut obtenir des informations sensibles ou des données personnelles contenues dans les courriels mais il peut également vous inviter à ouvrir une pièce jointe piégée afin de prendre le contrôle de votre ordinateur.

Comment réduire le risque lié au détournement de fil de discussion par email ?

La signature électronique des messages permet de déjouer plus facilement ces attaques. Les clients de messagerie proposent aujourd’hui d’ajouter des signatures électroniques au format OpenPGP.

Il arrive que les échanges repris soient anciens (dépendant de la date de piratage initial de la messagerie de l’expéditeur), cet indice doit être un point de vigilance. Dans le doute, contacter l’expéditeur par un autre canal (téléphone) peut être une solution.

 

Déni de service et attaques DDoS par email

Une attaque en déni de service ou en déni de service distribué (DDoS pour Distributed Denial of Service en anglais) vise à envoyer des quantités massives d’emails à un serveur de messagerie afin de l’empêcher de fonctionner normalement, empêchant ainsi les emails légitimes de passer.

Comment fonctionne le déni de service par email ?

Il existe plusieurs manières de réaliser une attaque en déni de service : activer un botnet pour bombarder un serveur de messagerie avec des emails, ou bien envoyer un torrent d’emails avec d’énormes pièces jointes de fichiers texte au format zip. Le serveur recevant le fichier le décompressera pour rechercher les logiciels malveillants, ce qui ralentira fortement les capacités du serveur.

Quel en est le risque ?

Le but d’une attaque DDoS est d’empêcher le serveur de messagerie de l’entreprise de fonctionner normalement en raison d’une surcharge, empêchant ainsi les salariés de se servir de leur messagerie. Ce type d’attaque peut conduire à un arrêt du serveur ciblé nécessitant une lourde opération de maintenance pour le redémarrer.

Comment se protéger d’une tentative de DDoS ?

Il est possible de souscrire à des offres de protection anti-DDOS proposées par les fournisseurs d’accès Internet pour protéger le serveur de messagerie. Un élément à prendre en considération lorsque vous souscrivez à une offre d’hébergement ou de messagerie.

 

Usurpation d’identité ou email spoofing

Le spoofing, ou usurpation d’identité, se produit lorsqu’un hacker utilise votre adresse de messagerie pour envoyer des courriels à partir de son propre serveur de messagerie.

Comment fonctionne l’usurpation d’identité ?

En s’appuyant sur une erreur de configuration au niveau du nom de domaine e : masociete.fr.

Si dans votre configuration du Domain Name Service (DNS) vous n’avez pas donné la liste des serveurs légitimes pour envoyer des courriels, vous vous exposez alors à ce type d’attaque. Il sera alors possible pour l’attaquant d’envoyer des courriels de pierre.dupont@masociete.fr, il sera alors très difficile de détecter le pot aux roses.

Quel en est le risque ?

Bien que l’attaque ne vise pas votre entreprise, elle peut avoir des effets dévastateurs sur la réputation de celle-ci, les cybercriminels se servent de vos noms de domaine pour mener à bien leurs entreprises criminelles

Comment se protéger d’une tentative d’escroquerie par usurpation d’identité?

Identifier clairement la liste des serveurs de messagerie légitimes en les déclarant dans le champ Sender Permitted From (SPF) de votre domaine. L’activation des champs DomainKeys Identified Mail (DKIM) et Domain Message Authentication Reporting & Conformance (DMARC) permettront également au destinataire de vérifier grâce à des signatures électroniques que le serveur utilisé est bien légitime. Là encore, ce sont des éléments à exiger auprès de vos offreurs de solution de messagerie.

 

Prise de contrôle d’une messagerie

Il s’agit de l’une des attaques les plus dangereuses. La prise de contrôle d’une messagerie donne au hacker un accès direct à un compte de messagerie authentique dans l’entreprise. Cela lui permet d’envoyer des emails frauduleux qui ne sont plus détectables.

Comment fonctionne la prise de contrôle d’une messagerie ?

Dès qu’un pirate dispose de vos identifiants de connexion, il peut envoyer et recevoir des emails directement depuis votre compte. Pour y parvenir, il peut utiliser les sites web de phishing vous demandant de vous connecter avec votre adresse email ou bien le vol d’un téléphone portable ou d’un PC non sécurisé.

Quel en est le risque ?

Étant donné que les emails proviennent d’un compte d’entreprise, tous les contrôles de sécurité internes sont contournés. Les destinataires sont alors floués. La seule méthode dont ces derniers disposent pour le détecter est de détecter un comportement « anormal » du compte de messagerie ou des demandes soudaines d’informations sensibles telles que des mots de passe ou des coordonnées bancaires.

Comment réduire le risque lié à la prise de contrôle d’une messagerie ?

L’activation de l’authentification à facteurs multiples (MFA) permet de complexifier l’attaque. En effet bien que disposant de vos noms d’utilisateur et de mot de passe, l’attaquant ne pourra pas fournir le code temporaire de validation. Attention toutefois certains cybercriminels utilisent la ruse et suivant les informations dont ils disposent pourraient vous contacter en se faisant passer pour le service informatique pour vous demander ce code par téléphone par exemple.