Mode de fonctionnement

Les attaques par phishing sont des escroqueries destinées à leurrer le destinataire afin de l'inciter à transmettre des informations confidentielles (par exemple des identifiants de connexion à un compte) à l'auteur de l'attaque, ou encore à suivre des liens ou ouvrir des pièces jointes pour installer du code malveillant involontairement. La victime reçoit un message électronique incluant une pièce jointe ou un lien vers une adresse URL de phishing, semblant provenir d'une entité ou d'un expéditeur connu avec lequel elle est en affaire, par exemple une banque ou un fournisseur de services.

Dans le cas des attaques de phishing par URL, le message électronique peut inviter le destinataire à se connecter au compte de son fournisseur de services pour effectuer une mise à jour de sécurité. S'il clique sur le lien de l'URL, l'utilisateur est alors dirigé vers une page de connexion ou une page Web fictive, qui ressemble beaucoup au site de l'entreprise usurpée par l'auteur de l'attaque. Lorsque l'utilisateur saisit ses identifiants de connexion, ces données sont en réalité envoyées à l'auteur de l'attaque, tandis que la victime est redirigée vers le site authentique et pense alors avoir mal saisi ses identifiants la première fois.

Dans le cas des attaques de phishing par pièce jointe, celle-ci peut être intégrée dans des macros ou des logiciels malveillants qui s'exécutent lorsque l'utilisateur ouvre le document ou autorise son contenu. Le code malveillant est alors installé sur son ordinateur et laisse toute latitude à l'attaquant pour voler des informations ou prendre le contrôle du système.

Comment se protéger du phishing ?

Éduquer vos utilisateurs et leur apprendre à reconnaître les signes qui indiquent qu'un message est suspect vous permettra de réduire considérablement le nombre d'ordinateurs compromis. Le comportement des utilisateurs n'ayant toutefois rien de prévisible, il est généralement crucial d'opter pour une solution de sécurité capable de détecter les opérations de phishing.

Certaines solutions de passerelle de messagerie qui analysent la réputation sont à même d'intercepter et de classifier les messages de phishing en fonction de la mauvaise réputation connue des adresses URL intégrées. Toutefois, ces solutions sont souvent incapables de détecter les messages de phishing plus perfectionnés, qui utilisent les URL de sites Web authentiques mais compromis dont la mauvaise réputation n'est pas encore connue au moment de l'arrivée du message.

Optez plutôt pour un système capable d'identifier le courrier électronique douteux à partir d'anomalies, en recherchant des schémas inhabituels dans le trafic, puis qui réécrit l'adresse URL intégrée et assure une surveillance constante en recherchant dans la page d'éventuels exploits et téléchargements.