ANTI-PHISHING : QUELLE STRATÉGIE POUR PISTER LES NOMS DE DOMAINE FRAUDULEUX ?

Pas de crise pour les fraudeurs ! Depuis bientôt deux ans, ils surfent sur les vagues de l’épidémie de Covid et multiplient les actes de piraterie en ligne, notamment de phishing, piégeant ainsi de nombreuses entreprises. Il est pourtant possible de réduire ce risque majeur en se concentrant sur les signaux de préattaque.

Joli doublé ! Covid aidant, le nombre d’arnaques en ligne serait passé de 139 à 266 millions, soit 91,37 % d’augmentation entre 2019 et 2020, selon un récent rapport de Scamadviser qui souligne que la plupart des attaques sont des attaques de phishing et que quasiment aucun pays n’est épargné.

Rappelons-le, le phishing, ou hameçonnage, est une technique destinée à leurrer les internautes en les incitant à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance. La porte d’entrée principale ? Le nom de domaine. En effet, pour créer l’adresse email frauduleuse qui sera utilisée pour leurs opérations de phishing, les pirates ont besoin d’enregistrer au préalable un nom de domaine trompeur.

Ce qu’ils ne se sont pas privés de faire au cours des 18 mois écoulés : jusqu’à un millier de sites web utilisant les noms de domaine « Covid » ou « Corona » auraient été créés chaque jour.

 

SE CONCENTRER SUR LES SIGNAUX DE PRÉATTAQUE

 

Certaines recommandations, que nous rappellerons plus loin, permettent de limiter les risques au niveau des utilisateurs. Elles sont en revanche insuffisantes pour assurer la sécurité d’une entreprise et de son système d’information. Une approche globale est nécessaire.

La solution spécifique développée par EBRAND répond à cet objectif en mettant à la disposition des responsables sécurité des entreprises deux grandes fonctionnalités destinées à lutter contre le phishing sur Internet : X-RAY Radar et X-RAY Tracker. Elles se concentrent en effet sur les signaux de préattaque, tels que créations de noms de domaine et/ou changements affectant ceux-ci.

X-RAY Radar, une fonctionnalité interconnectée dédiée à la surveillance intégrale de l’utilisation des noms de domaine, des certificats SSL et des sous-domaines sur le Web, permet d’identifier et de détecter, à l’instant Tet 24h/24, 7j/7 :

  • tout nouvel enregistrement de nom de domaine (ou son expiration), la création de sous-domaines et l’activation de nouveaux certificats SSL utilisés par les cybercriminels pour leurs opérations de phishing ;
  • les noms de domaine et les sous-domaines existants, identiques, contenant ou approchant celui de votre entreprise, de ses produits, de ses mots-clés, de ses adresses email ou de tout autre élément vital à son activité sur Internet (homoglyphes, homographes, fautes de frappe, etc.).

X-RAY TRACKER est une fonctionnalité de pistage qui permet de détecter tout changement, de façon continue, dans différentes catégories de données liées aux noms de domaine : nouvel enregistrements dans la zone DNS (activation d’email par exemple), informations publiées dans les WHOIS (changement de serveur DNS ou de titulaire par exemple), contenu de pages Web et certificats SSL.

Ainsi lorsque la surveillance X-RAY Radar détecte un enregistrement suspect non encore exploité, X-RAY Tracker le suit afin d’identifier tout changement et ainsi évaluer les risques de phishing et d’activité malveillante au fil du temps.

En outre, X-RAY Tracker permet également de surveiller son propre portefeuille de noms de domaine, afin d’identifier les altérations appliquées aux noms stratégiques de l’entreprise et ainsi détecter tout changement non autorisé.

 

AUTOMATISER UN PROCESSUS DE SÉCURITÉ

 

Une fois la solution X-RAY interfacée à votre système d’information via l’API dédiée, il devient possible d’automatiser un processus de sécurité visant à blacklister de votre messagerie tous les noms de domaine suspects détectés par la surveillance horaire X-RAY Radar. Cette stratégie présente deux principaux avantages :

  • elle protège les utilisateurs de l’entreprise en évitant la réception d’emails frauduleux visant à tromper leur vigilance (phishing visant à collecter des données confidentielles, arnaque au président…),
  • elle représente un gain de temps considérable pour le responsable de la sécurité des systèmes d’information de l’entreprise (pas besoin d’analyser de longs rapports de surveillance pour agir rapidement).

 

CONSEIL D’EXPERT

 

En matière de phishing, le facteur le plus important est le temps. Plus tôt vous pouvez détecter les signaux de préattaque, mieux vous pourrez anticiper les risques. C’est la raison pour laquelle la solution X-RAY se concentre sur ces différents signaux, pour vous alerter dès qu’une menace potentielle est détectée. La surveillance horaire procure en effet la latitude nécessaire pour agir ou réagir dans les délais les plus brefs. Vous trouverez de plus amples informations sur la solution X-RAY en cliquant sur ce lien.

À noter également qu’il est toujours utile, en complément, de partager avec vos collaborateurs les recommandations suivantes :

  1. N’ouvrez pas les emails douteux
  2. Ne cliquez pas sur un pop-up pour anti-virus
  3. Choisissez des mots de passe compliqués, ne les réutilisez pas et modifiez-les fréquemment
  4. Utilisez un VPN (virtual private network), soit un Réseau Privé Virtuel
  5. Ne consultez que des sites dont l’URL commence par les lettres HTTPS
  6. Sécurisez votre connexion Wi-Fi
  7. Assurez-vous que votre anti-virus soit activé
  8. Installez des outils de chiffrement et utilisez une solution d’authentification multi-facteurs, dite MFA (deux identifiants de connexion sont nécessaires pour valider une identité).

 

Si cet article vous a plus, vous serez peut être intéressé par ceux-ci :

PHISHING : 3 JOURS POUR RÉAGIR

ALERTE : FORTE UTILISATION DES NOMS DE DOMAINE CORONAVIRUS POUR DES OPÉRATIONS DE PHISHING ET ARNAQUES

EBRAND DEVIENT PARTENAIRE DE SCAMADVISER

Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.

EBRAND

Author EBRAND

More posts by EBRAND

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.