Arnaques par email : les reconnaitre, les signaler et s’en proteger

L’email est l'un des moyens les plus efficaces pour communiquer avec quiconque. Mais c'est aussi l'un des principaux outils utilisés par les attaquants pour voler de l'argent, des identifiants de compte et des informations sensibles.

Mais un nombre croissant d’emails frauduleux ne présentent aucun de ces signaux. Ils n'incluent pas de pièces jointes malveillantes ou d'URL. Et ils se cachent au grand jour en se faisant passer pour des emails normaux.

Ces attaques sont parfois appelées “business email compromise” (BEC) ou “email account compromise” (EAC). Elles commencent généralement lorsque l'attaquant se fait passer pour une personne en qui le destinataire a confiance – peut-être un patron, un collègue ou un partenaire commercial – et lui demande quelque chose qui semble être une demande commerciale normale.

Il peut s'agir d'un virement bancaire ou d'une modification des détails d'un paiement, des opérations qui ont lieu tous les jours. Lorsque l'organisation se rend compte que quelque chose ne va pas, le criminel a déjà l'argent.

Les attaquants ont des dizaines de stratégies communes. Si vous disposez d'une solution de messagerie gratuite comme Gmail et que vous entrez votre adresse email sur des formulaires de contact sur Internet, vous avez probablement des courriers électroniques frauduleux dans votre boîte spam.

Les attaquants peuvent ratisser large en envoyant des milliers d'emails frauduleux. Dans ce modèle, plus le nombre d'emails envoyés est important, plus les chances de tromper de nombreux utilisateurs ciblés sont grandes.

D'autres attaquants peuvent adopter une approche plus ciblée, en choisissant soigneusement un destinataire ayant le bon accès aux données, aux systèmes ou aux ressources. L'attaquant fait des recherches en ligne sur la victime et adapte les emails pour qu'ils soient aussi personnels et convaincants que possible : c’est ce qu’on appelle le social engineering, ou ingénierie sociale.

Dans certains cas, l'attaquant a déjà compromis un compte de messagerie légitime et a accès à des conversations antérieures, à des calendriers et à des contacts, ce qui lui permet d'usurper des identités très convaincantes.

Voici un exemple d’arnaque par email :

L'image ci-dessus est un message (catégorisé comme spam par Gmail) envoyé par un attaquant, utilisant FedEx pour inciter un utilisateur ciblé à envoyer des données personnelles. Les attaquants utilisent ce type de message car il y a toujours quelqu'un qui attend un colis FedEx. Si le message est envoyé à des milliers de destinataires, il peut en tromper un grand nombre.

Le spoofing est courant dans les arnaques, mais l'adresse électronique de l'expéditeur dans l'image ci-dessus provient d'un domaine public non associé à FedEx. L'email ne donne aucun numéro de contact mais contient un lien unique qui pointe vers une page Web malveillante.

Autre élément révélateur dans cet exemple d’arnaque par email, l'email ne s'adresse pas au destinataire par son nom et ne contient aucune information personnelle dont pourrait disposer un employé de FedEx. L'email est générique et seule l'adresse électronique du destinataire est utilisée dans la salutation (l'adresse électronique est masquée).

Voici quelques facteurs communs à la plupart des arnaques par email :

• Utilisation d'une entreprise commune de confiance (comme FedEx, Netflix, PayPal, votre banque, etc.).
• La communication d'une urgence somme la perte d'un compte ou d'un produit si l'utilisateur ciblé ne répond pas.
• Une salutation générique qui n'utilise pas de nom.
• Un bouton pratique sur lequel l'utilisateur cible peut cliquer pour accéder au site malveillant.
• Utilise une adresse électronique qui n'est pas associée à l'entreprise officielle mais qui lui ressemble de manière trompeuse. Par exemple, l'expéditeur peut utiliser le domaine fedexx.com pour tromper les utilisateurs, dont la plupart ne prennent pas la peine de regarder l'adresse de retour.

Vous ne pouvez pas empêcher les escrocs d'utiliser l’email. Mais vous pouvez prendre des mesures pour éviter les arnaques par email et ne pas en être victime.

Pour les entreprises, la prévention des fraudes à l'aide de filtres de messagerie et d'authentification (tels que DMARC) peut bloquer les messages usurpés et ceux provenant de domaines malveillants. Pour les particuliers, il faut toujours utiliser un fournisseur de services de messagerie qui intègre une protection contre les fraudes dans son système.

Les arnaques par email visent les individus, pas les systèmes. C'est pourquoi il faut adopter une approche centrée sur les individus pour les arrêter.

Voici comment vous pouvez protéger les individus contre les arnaques par email :

• Déployez une défense contre les emails qui personnalise les contrôles en fonction de la vulnérabilité, du profil d'attaque et des privilèges d'accès de chaque utilisateur. Elle doit détecter les pièces jointes malveillantes, les URL dangereuses et les techniques d'ingénierie sociale.
• Utilisez une technologie d'authentification du domaine de messagerie comme DMARC pour empêcher les systèmes de fraude par email d'utiliser votre domaine de confiance, y compris les attaques visant vos utilisateurs.
• Prévenez la compromission des comptes de messagerie et de cloud computing grâce à une technologie qui révèle les activités suspectes et autres signes de prise de contrôle. Analysez les courriels internes, qui pourraient provenir de comptes compromis. Utilisez l'authentification multifactorielle (MFA) lorsque cela est possible, mais gardez à l'esprit qu'il ne s'agit pas d'une solution infaillible à la compromission des comptes.
• Isolez les sites Web et les URL à risque. La technologie d'isolation Web peut évaluer les pages Web suspectes et les URL non vérifiées dans un conteneur protégé au sein du navigateur Web normal de l'utilisateur.
• Formez les utilisateurs aux dernières tactiques de phishing et soyez attentifs aux adresses électroniques de retour qui ne correspondent pas à l'expéditeur (y compris celles dont les domaines sont légèrement hors marque).
• Maintenez toujours votre logiciel de sécurité (antivirus et antimalware) à jour pour les menaces qui atteignent le terminal.
• Mettez votre système d'exploitation à jour lorsque des correctifs et de nouvelles versions sont disponibles. Nombre de ces correctifs corrigent les vulnérabilités rendues publiques par les chercheurs et les experts en cybersécurité.
• Sauvegardez fréquemment vos données au cas où vous seriez accidentellement victime. Vos sauvegardes peuvent être utilisées pour la récupération des données. Envisagez d'utiliser un stockage de sauvegarde dans le cloud pour une protection optimale. Mais n'oubliez pas que bon nombre des arnaques par courriel les plus coûteuses n'utilisent aucun logiciel malveillant.