ANTIPHISHING : LE GUIDE ULTIME POUR SE PRÉMUNIR ET LUTTER CONTRE LES CYBERATTAQUES AU SEIN DE SON ENTREPRISE

GUIDE ANTIPHISHING

 

Toujours en tête des cyberattaques ciblant les entreprises françaises, le phishing ! 73 % d’entre elles le dénoncent comme étant le moyen le plus fréquent de les piéger afin de leur soutirer nombre de données sensibles et d’en tirer le maximum de profit. Comment faire barrage à ces attaques ? Suivez le guide…

 

Une récente enquête réalisée auprès des entreprises françaises révèle que plus de 50 % d’entre elles ont subi entre une et trois cyberattaques au cours de l’année 2021. Le phishing s’avère « le vecteur d’attaque le plus fréquent » utilisé par les cybercriminels, bien qu’il soit, semble-t-il, en légère baisse (73 % des attaques en 2021 vs 80 % en 2020). Il n’en demeure pas moins que les entreprises, comme les forteresses d’autrefois, doivent absolument prévenir les intrusions et mettre en place les moyens de se défendre des hackers, cybersquatteurs et autres assaillants de l’ère Internet, pour ne pas en devenir les victimes.

 

LE PHISHING : DÉFINITION

 

Désigné en français sous le nom d’hameçonnage, le phishing est une technique de fraude utilisée par les cybercriminels pour leurrer le personnel et/ou les clients des entreprises et, plus généralement, les internautes. L’objectif est de soutirer aux personnes visées des informations confidentielles ou sensibles ainsi que des données bancaires, extraits K-Bis… En filant la métaphore, on peut imaginer l’attaquant comme un pêcheur qui lance ses filets et dont l’email frauduleux est le principal appât ou hameçon. Quant aux dégâts, ils peuvent être considérables, jusqu’à bloquer le site Web d’une entreprise et paralyser son activité.

Si les techniques utilisées par les cybercriminels sont de plus en plus performantes et innovantes, on peut cependant répertorier les formes de phishing email les plus répandues et destinées à usurper les identités visées. Mais, comme le précise le site Cyber Malveillance, cette liste n’est pas exhaustive :

  • La demande de mise à jour ou de confirmation d’informations personnelles, telles que identifiants, mots de passe, coordonnées bancaires… par un prétendu organisme public ou commercial de confiance, sous peine de sanction,
  • Un défaut de paiement ou problème de facturation : un faux mail vous informe qu’un bien ne peut être expédié en raison d’un problème de facturation ou que vous devez régler un impayé. Dans les entreprises, il s’agit le plus souvent de fraude au faux fournisseur qui consiste pour le pirate à se faire passer pour un fournisseur régulier de l’entreprise et à informer le service comptable du changement de son compte bancaire. Ni vu ni connu jusqu’au jour le vrai fournisseur réclame le paiement des sommes qui lui sont dues…
  • La fraude au faux client consiste à détourner de la marchandise en se faisant passer pour un prospect ou un client. Ce prétendu client fournit les coordonnées d’un distributeur dont l’identité a été usurpée et tous documents utiles (extrait K-Bis, par exemple) pour mettre le vendeur en confiance avant de passer une commande payable à 30 jours ou plus après réception, commande qui ne sera bien entendu jamais réglée,
  • La fraude au faux président qui consiste à convaincre le collaborateur d’une entreprise d’obéir à un ordre prétendu de son dirigeant : un virement à effectuer, un acompte à verser sur un contrat en cours ou tout autre ordre de même nature. L’email frauduleux envoyé depuis une fausse adresse électronique semble provenir de la direction de l’entreprise !
  • Le « whaling » (en français, chasse à la baleine), en utilisant la même technique mais avec des messages particulièrement personnalisés, vise ce qu’on appelle les « gros poissons », à savoir les PDG, directeurs financiers, responsables de sécurité et, plus généralement, les personnes occupant un poste clé dans l’entreprise. Parfois s’ensuit un appel imitant la voix du donneur d’ordre visé afin de confirmer l’action frauduleuse à mener,
  • Une demande d’informations concernant un remboursement, une annulation de commande, une livraison, etc. Ce mode opératoire fort bien rodé est tourné de telle manière qu’il peut berner aussi bien un particulier qui attend la réception d’un colis que la personne ou l’entreprise qui l’a expédié,
  • Une demande de règlement pour éviter la perte d’un nom de domaine, la fermeture d’un accès, ou une prétendue mise en conformité au RGPD.

Chez les particuliers, on peut également citer :

  • les appels aux dons frauduleux,
  • les appels à une aide financière émis par des soi-disant proches
  • les chaînes d’emails invitant à participer à des actions de solidarité ou signalant des alertes virales…

Signalons également les nouvelles et florissantes formes de phishing utilisées aujourd’hui par les cybercriminels, qui profitent ainsi de la grande quantité d’appareils mobiles en circulation, par exemple :

  • le smishing – mot-valise pour « SMS » et phishing – qui prend la forme d’un message SMS, celui-ci contenant un lien susceptible de diriger le possesseur d’un smartphone vers un site Web trompeur,
  • le vishing, cet hameçonnage grâce auquel un message vocal – via un Service de téléphonie Internet (Voice Over Internet Protocol, dit VOIP) – ou un simple appel téléphonique tente de convaincre la cible de communiquer des informations sensibles…

 

COMMENT SE PROTÉGER DU PHISHING ?

 

  1. Évaluer les actifs à risque de l’entreprise : noms de domaine utilisés pour les sites web, les adresses email, les applications et les appareils connectés.
  2. Déterminer une stratégie de variation pour chaque domaine identifié : il s’agit de générer toutes les variantes typographiques possibles en imaginant les combinaisons que pourraient utiliser les fraudeurs pour tromper visuellement les internautes (usage d’homoglyphes – https://ebrandservices.fr/homoglyphe-vrais-ou-faux-noms-de-domaine/). Il peut y en avoir plusieurs milliers en fonction de la composition de votre nom de domaine stratégique. Chaque combinaison doit être considérée comme une faille potentielle. Cette stratégie de variation va vous permettre de détecter les signes de préattaque.
  3. Enregistrer les domaines défensifs les plus à risque et les plus évidents que vous avez identifiés précédemment dans votre stratégie de variation. Il est préférable à ce stade de dépenser 500, 1 000 ou 2 000 euros dans des enregistrements défensifs que d’avoir à supporter les conséquences financières d’une attaque réussie qui atteignent quasi systématiquement plusieurs milliers d’euros, et parfois même plusieurs millions.
  4. Activer une surveillance horaire des enregistrements de noms de domaine : il convient ici de surveiller chaque combinaison appartenant à votre stratégie de variation. Celle-ci permet d’identifier tout signe de préattaque : nouveau dépôt suspect, activation d’adresses email, mise en ligne d’un site… afin de prendre les mesures préventives pour protéger l’entreprise, ses utilisateurs et ses clients
  5. Automatiser un processus de sécurité : interfacer la surveillance horaire à votre système d’information via une API (interface de programmation). Cela permet de bannir automatiquement de votre messagerie tous les noms de domaine suspects détectés par la surveillance. Ce processus permet ainsi de protéger les utilisateurs de l’entreprise en évitant la réception d’emails frauduleux et représente un gain de temps considérable pour le responsable de la sécurité informatique (inutile d’analyser les rapports de surveillance pour agir rapidement).
  6. Activer une politique de mots de passe sécurisée visant à changer ceux-ci tous les trois mois en utilisant des combinaisons complexes et éviter qu’un ancien mot de passe soit réutilisé plusieurs fois.
  7. Utiliser un VPN (virtual private network) soit un Réseau Privé Virtuel.
  8. Sécuriser votre connexion Wi-Fi.
  9. Vérifier que votre anti-virus est activé et à jour sur l’ensemble de votre parc informatique.
  10. Installer des outils de chiffrement et utiliser une solution d’authentification multifacteurs, dite MFA (deux identifiants de connexion sont nécessaires pour valider une identité).
  11. Former vos collaborateurs à adopter les réflexes suivants lors de la réception d’un email, comme le recommande l’Agence nationale de la sécurité des systèmes d’information :
    • « N’ayez pas une confiance aveugle dans le nom de l’expéditeur » : prêter attention à tout indice susceptible de mettre en doute l’origine réelle d’un email, notamment s’il comporte lien ou pièce jointe : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur vous adresse d’habitude, par exemple. Et, en cas de doute, contacter celui-ci pour vérifier qu’il est à l’origine du mail. Il a pu également, à son insu, pour envoyer un message infecté.
    • « Méfiez-vous des pièces jointes », lesquelles peuvent contenir virus ou « espiongiciels », s’assurer que l’antivirus est activé et à jour et faire contrôler le poste en cas de comportement anormal (lenteur, écran blanc sporadique…)
    • « Ne répondez jamais à une demande d’informations confidentielles » qui, lorsqu’elles sont légitimes, ne sont jamais faites par email (mots de passe, coordonnées bancaires, etc.). Ce sont le plus souvent des tentatives de phishing. En cas de doute, il convient de faire confirmer cette demande par le correspondant légitime.
    • « Passez la souris au-dessus des liens, faites attention aux caractères accentués dans le texte ainsi qu’à la qualité du français dans le texte ou de la langue pratiquée par votre interlocuteur » : cela permet de repérer si les liens proposés pointent bien vers l’adresse du site annoncée dans le message. Si cette adresse est différente, éviter de cliquer sur le lien. D’une manière générale, mieux vaut saisir manuellement l’adresse dans son navigateur. Il faut également savoir qu’un texte traduit par un logiciel peut comporter des fautes d’orthographe, des caractères accentués mal retranscrits et/ou utiliser des tournures de phrase d’un niveau très moyen.
    • « Paramétrez correctement votre logiciel de messagerie » : mise à jour des logiciels (en activant la procédure automatique) ; désactivation de la prévisualisation automatique des emails ; dans les paramètres de sécurité, interdire l’exécution automatique des plug-in et téléchargements, soit en les désactivant, soit en imposant de vous en demander l’autorisation. Enfin, dans un environnement sensible, lisez tous les messages au format texte brut.

 

QUE FAIRE EN CAS DE SIGNE DE PRÉATTAQUE ?

 

Les actions suivantes sont préconisées au sein du service sécurité de l’entreprise :

  • Bannir de votre système d’information le nom de domaine frauduleux identifié si vous n’avez pas automatisé ce processus.
  • Signaler ce nom auprès des consortiums tels que Scamadviser ou APWG dont la mission est d’éliminer la fraude et l’usurpation d’identité causées par le phishing. L’objectif est que ce signalement aboutisse à ce que les navigateurs affichent une alerte de sécurité lorsque l’utilisateur veut consulter la page web en lien avec le nom de domaine frauduleux.
  • Activer un traceur sur le nom de domaine frauduleux afin de surveiller tout changement d’activité (modification de zone…).
  • Informer le service juridique de l’entreprise afin de demander une levée d’anonymat (afin de connaître le titulaire du nom frauduleux) et d’envoyer une lettre de mise en demeure afin d’obtenir la gestion ou la suppression du domaine considéré.

 

COMMENT RÉAGIR APRÈS UNE ATTAQUE ?

 

Sans toutefois confondre vitesse et précipitation, mieux vaut agir rapidement en :

  1. changeant tout d’abord tous les mots de passe sur l’ensemble des applications utilisées dans l’entreprise ;
  2. identifiant toute activité inhabituelle au sein de votre système informatique et en essayant d’en détecter l’origine : logiciel de prise de contrôle à distance d’un ordinateur, création de comptes administrateurs, ajout d’un fichier…
  3. évaluant l’étendue de l’intrusion : les éventuelles informations perdues ou compromises, par exemple.

Parallèlement, il est recommandé de signaler l’attaque aux différents organismes, tels que :

  • PHAROS, le portail officiel de signalement des contenus illicites de l’Internet proposé par le ministère de l’Interieur ,
  • Phishing Initiative France, qui permet de signaler les sites de phishing francophones afin de bloquer leur adresse chez les navigateurs,
  • des consortiums tels que Scamadviser ou APWG

En outre, Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, conseille de télécharger, parmi les modules Signal Spam disponibles celui qui convient au navigateur utilisé dans l’entreprise. Signal Spam peut alors partager avec les acteurs dûment autorisés toutes les informations recueillies et permettre ainsi le blocage automatique d’un site frauduleux dans le navigateur équipé d’un tel module.

 

QUELLES SOLUTIONS ANTI-PHISHING PROFESSIONNELLE ADOPTER ?

 

Pourquoi mettre en place une solution anti-phishing dans son entreprise ?
En matière de phishing, le facteur le plus important est le temps. Plus tôt vous pouvez détecter les signaux de préattaque, mieux vous pourrez anticiper les risques. C’est la raison pour laquelle il est fortement conseiller la mise en place d’une surveillance horaire des enregistrements de noms de domaine. Celle-ci procure en effet la latitude nécessaire pour agir ou réagir dans les délais les plus brefs lorsqu’une menace potentielle est détectée.

X-Ray d’EBRAND, une solution de protection complète
La solution spécifique développée par EBRAND répond à cet objectif en mettant à la disposition des responsables sécurité des entreprises deux grandes fonctionnalités destinées à lutter contre le phishing sur Internet : X-RAY Radar et X-RAY Tracker. Elles se concentrent en effet sur les signaux de préattaque, tels que créations de noms de domaine et/ou changements affectant ceux-ci. Une fois interfacée avec votre système d’information via une API dédiée, elle permet d’automatiser un procésus de sécurité consistant à banier tous domaines suspects n’appartenant pas à l’entreprise.

  • X-RAY Radar, une fonctionnalité interconnectée dédiée à la surveillance intégrale de l’utilisation des noms de domaine, des certificats SSL et des sous-domaines sur le Web, permet d’identifier et de détecter, à l’instant Tet 24h/24, 7j/7 :
    • tout nouvel enregistrement de nom de domaine (ou son expiration), la création de sous-domaines et l’activation de nouveaux certificats SSL utilisés par les cybercriminels pour leurs opérations de phishing ;
    • les noms de domaine et les sous-domaines existants, identiques, contenant ou approchant celui de votre entreprise, de ses produits, de ses mots-clés, de ses adresses email ou de tout autre élément vital à son activité sur Internet (homoglyphes, homographes, fautes de frappe, etc.).
  • X-RAY TRACKER est une fonctionnalité de pistage qui permet de détecter tout changement, de façon continue, dans différentes catégories de données liées aux noms de domaine : nouvel enregistrement dans la zone DNS (activation d’email par exemple), informations publiées dans les WHOIS (changement de serveur DNS ou de titulaire par exemple), contenu de pages Web et certificats SSL.

Ainsi lorsque la surveillance X-RAY Radar détecte un enregistrement suspect non encore exploité, X-RAY Tracker le suit afin d’identifier tout changement et ainsi évaluer les risques de phishing et d’activité malveillante au fil du temps. En outre, X-RAY Tracker permet également de surveiller son propre portefeuille de noms de domaine, afin d’identifier les altérations appliquées aux noms stratégiques de l’entreprise et ainsi détecter tout changement non autorisé.

 

 

Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.

 

À lire également :

ANTI-PHISHING : QUELLE STRATÉGIE POUR PISTER LES NOMS DE DOMAINE FRAUDULEUX ?

HACKING : LES SERVICES PUBLICS DANS LA LIGNE DE MIRE

L’USURPATION D’IDENTITÉ, LA TECHNIQUE PRÉFÉRÉE DES PIRATES !

KIT DE PHISHING : LE PRÊT-À-FRAUDER DES CYBERCRIMINELS

ATTAQUES DNS : COMMENT PROTÉGER EFFICACEMENT SES NOMS DE DOMAINE ?

EBRAND

Author EBRAND

More posts by EBRAND