Arnaques par email : les reconnaitre, les signaler et s’en proteger

E-Book : se protéger contre les arnaques par email

Qu’est-ce qu’une arnaque par email ? Définition

L’email est l'un des moyens les plus efficaces pour communiquer avec quiconque. Mais c'est aussi l'un des principaux outils utilisés par les attaquants pour voler de l'argent, des identifiants de compte et des informations sensibles. Les arnaques par email peuvent prendre de nombreuses formes, par exemple :

  • Phishing
  • Vol de justificatifs d'identité
  • Malware
  • Vol d'argent
  • Fraude électronique
  • Attaques de la chaîne d'approvisionnement

Si les utilisateurs interagissent avec le fraudeur et fournissent des informations sensibles, cela peut entraîner des problèmes à long terme pour votre organisation, par exemple une usurpation d'identité, des pertes financières et une corruption des données.

Reconnaître les arnaques par email

Les escrocs utilisent plusieurs stratégies pour contourner la sécurité email et inciter les utilisateurs à divulguer des informations ou à exécuter un code malveillant. Certains emails frauduleux contiennent un lien vers un site Web malveillant contrôlé par l'attaquant, où ce dernier recueille les données sensibles des victimes.

Lorsqu'une méthode cesse de fonctionner, les attaquants revoient souvent leur approche pour augmenter le nombre d'utilisateurs ciblés touchés par leurs arnaques.

Voici quelques signaux d’alarmes lorsque vous êtes face à un email :

  • L’email prétend que vous devez vous connecter à un site Web ou que votre compte sera fermé. Cette tactique inclut un lien vers un site Web contrôlé par un attaquant.
  • Il prétend que vos informations de paiement ne sont pas valides et que vous devez vous connecter à votre compte et modifier ces informations pour que le compte reste actif.
  • Il vous dit que vos informations personnelles sont inexactes et que vous devez les envoyer à l'attaquant soit dans un message de réponse, soit sur un site Web.
  • Il comporte une facture à payer.
  • Il donne un sentiment d'urgence ou de confidentialité.
  • Il prétend que vous pourriez recevoir un remboursement du gouvernement et demande des données sensibles comme un numéro de sécurité sociale.
  • Il vous demande de donner des données privées pour obtenir des produits gratuits, des réductions ou de l'argent.

Mais un nombre croissant d’emails frauduleux ne présentent aucun de ces signaux. Ils n'incluent pas de pièces jointes malveillantes ou d'URL. Et ils se cachent au grand jour en se faisant passer pour des emails normaux.

Ces attaques sont parfois appelées “business email compromise” (BEC) ou “email account compromise” (EAC). Elles commencent généralement lorsque l'attaquant se fait passer pour une personne en qui le destinataire a confiance – peut-être un patron, un collègue ou un partenaire commercial – et lui demande quelque chose qui semble être une demande commerciale normale.

Il peut s'agir d'un virement bancaire ou d'une modification des détails d'un paiement, des opérations qui ont lieu tous les jours. Lorsque l'organisation se rend compte que quelque chose ne va pas, le criminel a déjà l'argent.

Exemples d’arnaques par email

Les attaquants ont des dizaines de stratégies communes. Si vous disposez d'une solution de messagerie gratuite comme Gmail et que vous entrez votre adresse email sur des formulaires de contact sur Internet, vous avez probablement des courriers électroniques frauduleux dans votre boîte spam.

Les attaquants peuvent ratisser large en envoyant des milliers d'emails frauduleux. Dans ce modèle, plus le nombre d'emails envoyés est important, plus les chances de tromper de nombreux utilisateurs ciblés sont grandes.

D'autres attaquants peuvent adopter une approche plus ciblée, en choisissant soigneusement un destinataire ayant le bon accès aux données, aux systèmes ou aux ressources. L'attaquant fait des recherches en ligne sur la victime et adapte les emails pour qu'ils soient aussi personnels et convaincants que possible : c’est ce qu’on appelle le social engineering, ou ingénierie sociale.

Dans certains cas, l'attaquant a déjà compromis un compte de messagerie légitime et a accès à des conversations antérieures, à des calendriers et à des contacts, ce qui lui permet d'usurper des identités très convaincantes.

Voici un exemple d’arnaque par email :

 

Exemple d’arnaque par email visant l’entreprise FedEx

 

L'image ci-dessus est un message (catégorisé comme spam par Gmail) envoyé par un attaquant, utilisant FedEx pour inciter un utilisateur ciblé à envoyer des données personnelles. Les attaquants utilisent ce type de message car il y a toujours quelqu'un qui attend un colis FedEx. Si le message est envoyé à des milliers de destinataires, il peut en tromper un grand nombre.

Le spoofing est courant dans les arnaques, mais l'adresse électronique de l'expéditeur dans l'image ci-dessus provient d'un domaine public non associé à FedEx. L'email ne donne aucun numéro de contact mais contient un lien unique qui pointe vers une page Web malveillante.

Autre élément révélateur dans cet exemple d’arnaque par email, l'email ne s'adresse pas au destinataire par son nom et ne contient aucune information personnelle dont pourrait disposer un employé de FedEx. L'email est générique et seule l'adresse électronique du destinataire est utilisée dans la salutation (l'adresse électronique est masquée).

Voici quelques facteurs communs à la plupart des arnaques par email :

  • Utilisation d'une entreprise commune de confiance (comme FedEx, Netflix, PayPal, votre banque, etc.).
  • La communication d'une urgence somme la perte d'un compte ou d'un produit si l'utilisateur ciblé ne répond pas.
  • Une salutation générique qui n'utilise pas de nom.
  • Un bouton pratique sur lequel l'utilisateur cible peut cliquer pour accéder au site malveillant.
  • Utilise une adresse électronique qui n'est pas associée à l'entreprise officielle mais qui lui ressemble de manière trompeuse. Par exemple, l'expéditeur peut utiliser le domaine fedexx.com pour tromper les utilisateurs, dont la plupart ne prennent pas la peine de regarder l'adresse de retour.

Se protéger contre les arnaques par email et les éviter

Vous ne pouvez pas empêcher les escrocs d'utiliser l’email. Mais vous pouvez prendre des mesures pour éviter les arnaques par email et ne pas en être victime.

Pour les entreprises, la prévention des fraudes à l'aide de filtres de messagerie et d'authentification (tels que DMARC) peut bloquer les messages usurpés et ceux provenant de domaines malveillants. Pour les particuliers, il faut toujours utiliser un fournisseur de services de messagerie qui intègre une protection contre les fraudes dans son système.

Les arnaques par email visent les individus, pas les systèmes. C'est pourquoi il faut adopter une approche centrée sur les individus pour les arrêter.

Voici comment vous pouvez protéger les individus contre les arnaques par email :

  • Déployez une défense contre les emails qui personnalise les contrôles en fonction de la vulnérabilité, du profil d'attaque et des privilèges d'accès de chaque utilisateur. Elle doit détecter les pièces jointes malveillantes, les URL dangereuses et les techniques d'ingénierie sociale.
  • Utilisez une technologie d'authentification du domaine de messagerie comme DMARC pour empêcher les systèmes de fraude par email d'utiliser votre domaine de confiance, y compris les attaques visant vos utilisateurs.
  • Prévenez la compromission des comptes de messagerie et de cloud computing grâce à une technologie qui révèle les activités suspectes et autres signes de prise de contrôle. Analysez les courriels internes, qui pourraient provenir de comptes compromis. Utilisez l'authentification multifactorielle (MFA) lorsque cela est possible, mais gardez à l'esprit qu'il ne s'agit pas d'une solution infaillible à la compromission des comptes.
  • Isolez les sites Web et les URL à risque. La technologie d'isolation Web peut évaluer les pages Web suspectes et les URL non vérifiées dans un conteneur protégé au sein du navigateur Web normal de l'utilisateur.
  • Formez les utilisateurs aux dernières tactiques de phishing et soyez attentifs aux adresses électroniques de retour qui ne correspondent pas à l'expéditeur (y compris celles dont les domaines sont légèrement hors marque).
  • Maintenez toujours votre logiciel de sécurité (antivirus et antimalware) à jour pour les menaces qui atteignent le terminal.
  • Mettez votre système d'exploitation à jour lorsque des correctifs et de nouvelles versions sont disponibles. Nombre de ces correctifs corrigent les vulnérabilités rendues publiques par les chercheurs et les experts en cybersécurité.
  • Sauvegardez fréquemment vos données au cas où vous seriez accidentellement victime. Vos sauvegardes peuvent être utilisées pour la récupération des données. Envisagez d'utiliser un stockage de sauvegarde dans le cloud pour une protection optimale. Mais n'oubliez pas que bon nombre des arnaques par courriel les plus coûteuses n'utilisent aucun logiciel malveillant.

Email Fraud Defense - Protection contre les fraudes

Protégez-vous contre les fraudes par mail et assurez la sécurité de votre organisation avec Proofpoint Email Fraud Defense. Défendez-vous contre les menaces avancées.

Qu'est-ce que le phishing, que faire en cas d'attaque et comment le supprimer ?

Découvrez ce qu'est le phishing, et surtout comment vous vous en protéger et que faire en cas d'attaque avec nos conseils d'experts en cybersécurité.

Business Email Compromise

Our integrated, end-to-end solution is the industry’s most effective defense against email fraud – no matter what form it takes. Is your organization prepared?