Le courrier électronique est souvent le premier choix d'un cybercriminel au moment de son lancement, car il est si facile à exploiter. Contrairement aux attaques par force brute qui sont lourdes de conséquences sur la puissance de traitement, ou aux méthodes plus sophistiquées qui requièrent un haut niveau de compétence, l'usurpation de domaine peut être aussi facile que d'écrire un courriel en se faisant passer pour quelqu'un d'autre. Dans de nombreux cas, ce "quelqu'un d'autre" est une importante plate-forme de services logiciels sur laquelle les gens comptent pour faire leur travail.

C'est ce qui s'est passé entre le 15 et le 30 avril 2020, lorsque nos analystes en sécurité de PowerDMARC ont découvert une nouvelle vague de courriels d'hameçonnage ciblant les principales compagnies d'assurance du Moyen-Orient. Cette attaque n'est qu'un exemple parmi tant d'autres de l'augmentation récente des cas de phishing et de spoofing pendant la crise du Covid-19. Dès février 2020, une autre grande escroquerie par hameçonnage est allée jusqu'à usurper l'identité de l'Organisation mondiale de la santé, envoyant des courriels à des milliers de personnes pour leur demander de faire des dons afin de venir en aide aux victimes du coronavirus.

les entreprises d'assurance

Dans cette récente série d'incidents, les utilisateurs du service Office 365 de Microsoft ont reçu ce qui semblait être des courriels de mise à jour de routine concernant le statut de leurs comptes d'utilisateur. Ces courriels provenaient des domaines de leur propre organisation et demandaient aux utilisateurs de réinitialiser leur mot de passe ou de cliquer sur des liens pour consulter les notifications en attente.

Nous avons dressé une liste de certains des titres de courriels dont nous avons observé l'utilisation :

Activité de connexion inhabituelle sur un compte Microsoft
Vous avez (3) messages en attente de livraison sur votre portail e-Mail [email protected]* !
user@domain Vous avez des messages UNSYNC en attente de Microsoft Office
Notification sommaire de réactivation pour [email protected]

*les détails du compte ont été modifiés pour respecter la vie privée des utilisateurs

Vous pouvez également voir un exemple d'en-tête de courrier utilisé dans un courriel usurpé envoyé à une compagnie d'assurance :

Reçu : de [...malicious_ip] (helo= domaine_malveillant)

id 1jK7RC-000uju-6x

pour [email protected] ; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature : v=1 ; a=rsa-sha256 ; q=dns/txt ; c=relaxed/relaxed ;

Reçu : de [xxxx] (port=58502 helo=xxxxx)

par domaine_malveillant avec l'esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De : "Microsoft account team"

Pour : [email protected]

Sujet : Notification de Microsoft Office pour [email protected] le 4/1/2020 23:46

Date : 2 avr 2020 22:31:45 +0100

Message-ID: <[email protected]>

Version MIME : 1.0

Type de contenu : text/html ;

charset="utf-8″

Transfert de contenu - encodage : entre guillemets

X-AntiAbuse : Cet en-tête a été ajouté pour suivre les abus, veuillez l'inclure avec tout rapport d'abus

X-AntiAbuse : Nom d'hôte principal - domaine_malveillant

X-AntiAbuse : Domaine d'origine - domaine.com

X-AntiAbuse : UID/GID de l'auteur/appelant - [47 12] / [47 12]

X-AntiAbuse : Adresse de l'expéditeur Domaine - domain.com

X-Get-Message-Sender-Via : domaine_malveillant: authenticated_id : admin@domaine_malveillant

X-Authenticated-Sender : malicious_domain : admin@malicious_domain

X-Source :

X-Source-Args :

X-Source-Dir :

Reçu-SPF : échec ( le domaine du domaine .com ne désigne pas adresse_ip_malveillante comme expéditeur autorisé) client-ip= adresse_ip_malveillante ; enveloppe à partir de=[email protected]; helo=domaine_malveillant;

X-SPF-Résultat : le domaine de domain.com ne désigne pas adresse_ip_malveillante en tant qu'expéditeur autorisé

X-Sender-Warning : La recherche inverse du DNS a échoué pour adresse_ip_malveillante (échec)

X-DKIM-Statut : aucun / / domaine.com / / /

X-DKIM-Statut : passer / / domaine_malveillant / domaine_malveillant / / par défaut

Notre centre des opérations de sécurité a tracé les liens des courriels vers les URL de phishing qui visaient les utilisateurs de Microsoft Office 365. Les URL ont été redirigées vers des sites compromis situés à différents endroits dans le monde.

En regardant simplement les titres de ces courriels, il serait impossible de dire qu'ils ont été envoyés par quelqu'un qui usurpe le domaine de votre organisation. Nous sommes habitués à recevoir un flux constant de courriels relatifs à notre travail ou à nos comptes qui nous incitent à nous connecter à divers services en ligne, comme Office 365. L'usurpation de domaine en profite pour rendre les faux courriels malveillants impossibles à distinguer des vrais. Il n'y a pratiquement aucun moyen de savoir, sans une analyse approfondie du courrier électronique, s'il provient d'une source fiable. Et avec les dizaines de courriels qui arrivent chaque jour, personne n'a le temps de les examiner tous avec attention. La seule solution serait d'utiliser un mécanisme d'authentification qui vérifierait tous les courriels envoyés depuis votre domaine, et ne bloquerait que ceux qui ont été envoyés par quelqu'un qui l'a envoyé sans autorisation.

Ce mécanisme d'authentification s'appelle DMARC. En tant que l'un des principaux fournisseurs de solutions de sécurité pour la messagerie électronique au monde, PowerDMARC s'est donné pour mission de vous faire comprendre l'importance de protéger le domaine de votre organisation. Non seulement pour vous, mais aussi pour tous ceux qui vous font confiance et qui dépendent de vous pour leur fournir des e-mails sûrs et fiables dans leur boîte de réception, à chaque fois.

Pour en savoir plus sur les risques du spoofing, consultez le site suivant : https://powerdmarc.com/stop-email-spoofing/

Découvrez comment protéger votre domaine contre l'usurpation d'identité et renforcer votre marque ici : https://powerdmarc.com/what-is-dmarc/

À propos de
Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

Étude de cas DMARC MSP : CloudTech24 simplifie la gestion de la sécurité des domaines pour ses clients avec PowerDMARC - 24 octobre 2024
Les risques de sécurité liés à l'envoi d'informations sensibles par courrier électronique - 23 octobre 2024
5 types d'escroqueries à la sécurité sociale par courriel et comment les prévenir - 3 octobre 2024

Comment les escroqueries de phishing utilisent Office 365 pour cibler les compagnies d'assurance

Outils

Produit

Société