Parlons un peu de l'usurpation d'identité. Lorsque vous entendez des mots comme "hameçonnage", "compromission du courrier électronique professionnel" ou "cybercriminalité", quel est le premier qui vous vient à l'esprit ? La plupart des gens penseraient à quelque chose en rapport avec la sécurité du courrier électronique, et il y a de fortes chances que vous y ayez pensé aussi. Et c'est tout à fait vrai : chacun des termes que je viens de mentionner sont des formes de cyberattaque, où un criminel utilise l'ingénierie sociale et d'autres techniques pour accéder à des informations sensibles et à de l'argent. C'est évidemment mauvais, et les organisations devraient faire tout ce qu'elles peuvent pour s'en protéger.

Mais il y a un autre aspect de la question, que certaines organisations ne prennent tout simplement pas en compte, et qui est tout aussi important pour elles. Le phishing ne vous expose pas seulement à un risque plus élevé de perte de données et d'argent, mais votre marque a également de grandes chances d'être perdante. En fait, cette probabilité atteint 63 % : c'est le nombre de consommateurs susceptibles d'arrêter d'acheter une marque après une seule expérience insatisfaisante.

Comment les attaques de phishing par e-mail nuisent-elles à votre marque ?

Il est assez simple de comprendre comment le phishing peut compromettre les systèmes de votre organisation. Mais quels sont les effets à long terme d'une seule cyber-attaque ? Pas vraiment.

Pensez-y de cette façon. Dans la plupart des cas, un utilisateur qui consulte son courrier électronique va probablement cliquer sur un courrier électronique d'une personne ou d'une marque qu'il connaît et à laquelle il fait confiance. Si l'e-mail semble suffisamment réaliste, il ne remarquera même pas la différence entre un faux et un faux. Le courrier électronique peut même contenir un lien menant à une page qui ressemble exactement au portail de connexion de votre organisation, où ils tapent leur nom d'utilisateur et leur mot de passe.

Plus tard, lorsqu'ils apprennent que les détails de leur carte de crédit et leur adresse ont été divulgués au public, ils ne peuvent s'adresser qu'à votre organisation. Après tout, c'est "votre courrier électronique" qui a causé la catastrophe, votre manque de sécurité. Lorsque vos propres clients perdent totalement confiance dans votre marque et sa crédibilité, cela peut causer d'énormes problèmes pour l'image de votre marque. Vous n'êtes pas seulement la société qui a été piratée, vous êtes la société qui a permis que ses données soient volées par le biais d'un courriel que vous avez envoyé.

Il n'est pas difficile de voir comment cela pourrait sérieusement nuire à vos résultats à long terme, surtout lorsque de nouveaux clients potentiels sont rebutés par la perspective d'être une autre victime de vos courriels. Les cybercriminels profitent de la confiance et de la fidélité que vos clients ont envers votre marque, et l'utilisent activement contre vous. Et c'est ce qui fait que le Business Email Compromise (BEC) est bien plus qu'un simple problème de sécurité technique.

Quelles sont les industries les plus touchées ?

Les entreprises pharmaceutiques comptent parmi les entreprises les plus fréquemment visées par le phishing et les cyberattaques. Selon une étude des 500 plus grandes entreprises pharmaceutiques, au cours des trois derniers mois de 2018, chaque entreprise a été confrontée en moyenne à 71 attaques de fraude par courrier électronique. Cela s'explique par le fait que les entreprises pharmaceutiques détiennent une propriété intellectuelle précieuse sur les nouveaux produits chimiques et pharmaceutiques. Si un agresseur peut voler ces informations, il peut les vendre au marché noir pour un profit considérable.

Les entreprises de construction et les sociétés immobilières ne sont pas non plus très loin derrière. Les sociétés de services financiers et les institutions financières en particulier sont confrontées à la menace constante de se faire voler des données sensibles ou de grosses sommes d'argent par des attaques soigneusement planifiées de type "Business" ou " Vendor Email Compromise" (VEC) .

Toutes ces industries bénéficient grandement de la confiance des clients dans leurs marques, et leur relation avec les marques influence directement leur activité avec les entreprises. Si un consommateur devait avoir l'impression que cette entreprise n'est pas capable de protéger ses données, son argent ou d'autres biens, cela serait préjudiciable à la marque, et parfois de manière irréparable.

En savoir plus sur la sécurité du courrier électronique pour votre secteur d'activité.

Comment sauver votre marque ?

Le marketing consiste à construire une image de marque dont le public ne se souviendra pas seulement, mais qu'il associera à la qualité et à la fiabilité. Et la première étape pour y parvenir est de sécuriser votre domaine.

Les cybercriminels usurpent le domaine de votre organisation et se font passer pour votre marque. Ainsi, lorsqu'ils envoient un courrier électronique à un utilisateur peu méfiant, il semblera qu'il vienne de vous. Plutôt que d'attendre des utilisateurs qu'ils identifient quels e-mails sont réels et lesquels ne le sont pas (ce qui est très souvent presque impossible, en particulier pour le profane), vous pouvez au contraire empêcher entièrement ces e-mails d'entrer dans la boîte de réception des utilisateurs.

DMARC est un protocole d'authentification du courrier électronique qui agit comme un manuel d'instructions pour un serveur de courrier électronique récepteur. Chaque fois qu'un courrier électronique est envoyé depuis votre domaine, le serveur de courrier électronique du destinataire vérifie vos enregistrements DMARC (publiés sur votre DNS) et valide le courrier électronique. Si le courrier électronique est légitime, il "passe" l'authentification DMARC et est envoyé dans la boîte de réception de l'utilisateur.

Si le courriel provient d'un expéditeur non autorisé, selon votre politique DMARC, le courriel peut être soit envoyé directement au spam, soit même bloqué purement et simplement.

Pour en savoir plus sur le fonctionnement de la DMARC, cliquez ici.

Le DMARC peut presque complètement éliminer tous les courriers électroniques non sollicités qui proviennent de votre domaine, car au lieu de bloquer les faux courriers électroniques lorsqu'ils quittent votre domaine, il vérifie plutôt leur authenticité lorsque le courrier électronique arrive sur le serveur du destinataire.

Si vous avez déjà mis en œuvre le DMARC et que vous cherchez à renforcer la sécurité de votre marque, il existe des indicateurs de marque pour l'identification des messages (BIMI). Cette nouvelle norme de sécurité du courrier électronique appose le logo de votre marque à côté de chaque courrier électronique de votre domaine qui a été authentifié par le DMARC.

Désormais, lorsque vos clients verront un courriel que vous avez envoyé, ils associeront votre logo à votre marque, ce qui améliorera la mémorisation de la marque. Et lorsqu'ils verront votre logo, ils apprendront à ne faire confiance qu'aux courriels qui portent votre logo à côté d'eux.

Pour en savoir plus sur le BIMI, cliquez ici. 

À première vue, la suite Office 365 de Microsoft semble être assez... douce, n'est-ce pas ? Non seulement vous bénéficiez de toute une série d'applications de productivité, de stockage en nuage et d'un service de messagerie électronique, mais vous êtes également protégé contre le spam grâce aux solutions de sécurité du courrier électronique de Microsoft. Pas étonnant que ce soit la solution de messagerie électronique d'entreprise la plus largement adoptée, avec une part de marché de 54 % et plus de 155 millions d'utilisateurs actifs. Vous êtes probablement l'un d'eux aussi.

Mais si une société de cybersécurité écrit un blog sur Office 365, il doit y avoir quelque chose de plus, non ? Eh bien, oui. Il y a quelque chose. Parlons donc de la question exacte des options de sécurité d'Office 365 et des raisons pour lesquelles vous devez vraiment être au courant.

Ce que la sécurité de Microsoft Office 365 est bonne

Avant d'aborder les problèmes que cela pose, commençons par mettre rapidement les choses au clair : La protection avancée contre les menaces de Microsoft Office 365 (quelle bouchée de pain) est très efficace pour la sécurité de base du courrier électronique. Elle sera capable d'empêcher les spams, les logiciels malveillants et les virus de se frayer un chemin jusqu'à votre boîte de réception.

C'est suffisant si vous ne cherchez qu'une protection antispam de base. Mais c'est là que réside le problème : les spams de faible niveau comme celui-ci ne constituent généralement pas la plus grande menace. La plupart des fournisseurs de messagerie électronique offrent une certaine forme de protection de base en bloquant les courriels provenant de sources suspectes. La véritable menace - celle qui peut faire perdre de l'argent, des données et l'intégrité de la marque à votre entreprise - est constituée par lescourriers électroniques soigneusement conçus pour que vous ne vous rendiez pas compte qu'ils sont faux.

C'est à ce moment que vous entrez dans le territoire de la cybercriminalité grave.

De quoi Microsoft Office 365 ne peut pas vous protéger

La solution de sécurité de Microsoft Office 365 fonctionne comme un filtre antispam, utilisant des algorithmes pour déterminer si un courriel est similaire à d'autres spams ou à des courriels de phishing. Mais que se passe-t-il lorsque vous êtes victime d'une attaque beaucoup plus sophistiquée utilisant l'ingénierie sociale ou visant un employé ou un groupe d'employés en particulier ?

Il ne s'agit pas d'un spam ordinaire envoyé à des dizaines de milliers de personnes à la fois. Le Business Email Compromise (BEC) et le Vendor Email Compromise (VEC ) sont des exemples de la façon dont les attaquants sélectionnent soigneusement une cible, apprennent à mieux connaître leur organisation en espionnant leurs courriels et, à un moment stratégique, envoient une fausse facture ou demande par courriel, demandant le transfert d'argent ou le partage de données.

Cette tactique, largement connue sous le nom de spear phishing, donne l'impression que le courrier électronique provient d'une personne de votre propre organisation, ou d'un partenaire ou d'un fournisseur de confiance. Même inspectés avec soin, ces courriels peuvent sembler très réalistes et sont presque impossibles à détecter, même pour des experts chevronnés en cybersécurité.

Si un agresseur prétend être votre patron ou le PDG de votre organisation et vous envoie un courriel, il est peu probable que vous vérifiiez si le courriel semble authentique ou non. C'est exactement ce qui rend la fraude au CEB et au PDG si dangereuse. Office 365 ne pourra pas vous protéger contre ce genre d'attaque car celles-ci proviennent ostensiblement d'une personne réelle, et les algorithmes ne considéreront pas qu'il s'agit d'un spam.

Comment sécuriser Office 365 contre le BEC et le Spear Phishing ?

Le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) est un protocole de sécurité du courrier électronique qui utilise les informations fournies par le propriétaire du domaine pour protéger les récepteurs contre les courriers électroniques usurpés. Lorsque vous implémentez DMARC sur le domaine de votre organisation, les serveurs de réception vérifient chaque courriel provenant de votre domaine par rapport aux enregistrements DNS que vous avez publiés.

Mais si Office 365 ATP n'a pas pu empêcher les attaques ciblées de spoofing, comment le DMARC s'y prend-il ?

Eh bien, le DMARC fonctionne très différemment d'un filtre anti-spam. Alors que les filtres antispam vérifient les e-mails entrants dans votre boîte de réception, le DMARC authentifie les e-mails sortants envoyés par le domaine de votre organisation. Cela signifie que si quelqu'un essaie de se faire passer pour votre organisation et de vous envoyer des courriels de phishing, tant que vous êtes soumis à la DMARC, ces courriels seront placés dans le dossier spam ou entièrement bloqués.

Cela signifie également que si un cybercriminel utilisait votre marque de confiance pour envoyer des courriers électroniques de phishing, même vos clients n'auraient pas à s'en occuper non plus. La DMARC contribue également à protéger votre entreprise.

Mais il y a plus : Office 365 ne donne en fait aucune visibilité à votre organisation sur une attaque de phishing, il ne fait que bloquer le spam. Mais si vous voulez sécuriser correctement votre domaine, vous devez savoir exactement qui ou quoi tente d'usurper l'identité de votre marque, et prendre des mesures immédiates. La DMARC fournit ces données, y compris les adresses IP des sources d'envoi abusives, ainsi que le nombre de courriels qu'elles envoient. PowerDMARC fait passer ce problème au niveau supérieur grâce aux analyses avancées de DMARC directement sur votre tableau de bord.

En savoir plus sur ce que PowerDMARC peut faire pour votre marque.

 

Savez-vous quel est le pire type d'escroquerie par phishing ? Le genre que vous ne pouvez pas ignorer : comme la fraude au PDG. Des courriels censés provenir du gouvernement, vous demandant d'effectuer ce paiement fiscal en suspens sous peine de poursuites judiciaires. Des courriels qui semblent avoir été envoyés par votre école ou votre université, vous demandant de payer les frais de scolarité que vous n'avez pas payés. Ou même un message de votre patron ou de votre PDG, vous demandant de lui transférer de l'argent "pour lui faire plaisir".

Le problème avec les courriels de ce type est qu'ils se font passer pour une figure d'autorité, qu'il s'agisse du gouvernement, du conseil d'administration de votre université ou de votre patron au travail. Ce sont des personnes importantes, et ignorer leurs messages aura presque certainement de graves conséquences. Vous êtes donc obligé de les regarder, et si cela vous semble suffisamment convaincant, vous pourriez en fait tomber dans le panneau.

Mais penchons-nous sur la fraude des PDG. De quoi s'agit-il exactement ? Cela peut-il vous arriver ? Et si c'est le cas, que devez-vous faire pour y mettre fin ?

Vous n'êtes pas à l'abri de la fraude des PDG

Une escroquerie de 2,3 milliards de dollars par an, voilà ce que c'est. Vous vous demandez peut-être : "Qu'est-ce qui peut bien faire perdre autant d'argent à des entreprises à cause d'une simple escroquerie par courrier électronique ? Mais vous seriez surpris de voir à quel point les courriels frauduleux des PDG peuvent être convaincants.

En 2016, Mattel a failli perdre 3 millions de dollars à cause d'une attaque de phishing lorsqu'un cadre financier a reçu un e-mail du PDG lui demandant d'envoyer un paiement à l'un de leurs fournisseurs en Chine. Mais ce n'est qu'après avoir vérifié plus tard auprès du PDG qu'elle a réalisé qu'il n'avait jamais envoyé le courriel du tout. Heureusement, la société a travaillé avec les forces de l'ordre en Chine et aux États-Unis pour récupérer leur argent quelques jours plus tard, mais cela n'arrive presque jamais avec ces attaques.

Les gens ont tendance à croire que ces escroqueries ne leur arriveront pas... jusqu'à ce que cela leur arrive. Et c'est là leur plus grande erreur : ne pas se préparer à la fraude des PDG.

Les escroqueries par hameçonnage peuvent non seulement coûter des millions de dollars à votre organisation, mais elles peuvent aussi avoir un impact durable sur la réputation et la crédibilité de votre marque. Vous courez le risque d'être considéré comme l'entreprise qui a perdu de l'argent à cause d'une escroquerie par courrier électronique et de perdre la confiance de vos clients dont vous stockez les informations personnelles sensibles.

Au lieu de se démener pour limiter les dégâts après coup, il est beaucoup plus logique de sécuriser vos canaux de courrier électronique contre les escroqueries par harponnage comme celle-ci. Voici quelques unes des meilleures façons de vous assurer que votre organisation ne devienne pas une statistique dans le rapport du FBI sur le BEC.

Comment prévenir la fraude des PDG : 6 étapes simples

  1. Sensibilisez votre personnel à la sécurité
    Celui-ci est absolument crucial. Les membres de votre personnel, et en particulier ceux de la finance, doivent comprendre comment fonctionne le Business Email Compromise. Et nous ne parlons pas seulement d'une présentation ennuyeuse de deux heures sur le fait de ne pas écrire votre mot de passe sur un post-it. Vous devez les former à la recherche de signes suspects de falsification d'un e-mail, à la recherche d'adresses e-mail usurpées et aux demandes anormales que d'autres membres du personnel semblent faire par e-mail.
  2. Attention aux signes révélateurs de l'usurpationd'identité
    Les escrocs du courrier électronique utilisent toutes sortes de tactiques pour vous faire accéder à leurs demandes. Il peut s'agir de demandes/instructions urgentes de transfert d'argent pour vous faire agir rapidement et sans réfléchir, ou même de demandes d'accès à des informations confidentielles pour un "projet secret" que les supérieurs ne sont pas encore prêts à partager avec vous. Il s'agit là de sérieux signaux d'alarme, et vous devez vérifier deux ou trois fois avant d'agir.
  3. Protégez-vous avec le DMARC
    Le moyen le plus simple de prévenir une escroquerie par hameçonnage est de ne jamais recevoir le courriel en premier lieu. DMARC est un protocole d'authentification de courrier électronique qui vérifie les courriers électroniques provenant de votre domaine avant de les livrer. Lorsque vous appliquez le DMARC à votre domaine, tout attaquant se faisant passer pour un membre de votre propre organisation sera détecté comme un expéditeur non autorisé, et son courrier électronique sera bloqué dans votre boîte de réception. Vous n'avez pas du tout à vous occuper des courriels usurpés.
  4. Obtenir une autorisation explicite pour les virements électroniques
    C'est l'un des moyens les plus simples et les plus directs d'empêcher les transferts d'argent aux mauvaises personnes. Avant de s'engager dans une transaction, il faut obligatoirement demander l'accord explicite de la personne qui demande de l'argent en utilisant un autre canal que le courrier électronique. Pour les virements plus importants, il faut obligatoirement recevoir une confirmation verbale.
  5. Courriers électroniques de drapeau avec des extensions similaires
    Le FBI recommande à votre organisation de créer des règles de système qui signalent automatiquement les courriels qui utilisent des extensions trop semblables aux vôtres. Par exemple, si votre entreprise utilise "123-business.com", le système pourrait détecter et signaler les courriels utilisant des extensions comme "123_business.com".
  6. Acheter des noms de domaine similaires
    Les attaquants utilisent souvent des noms de domaine d'apparence similaire pour envoyer des courriels de phishing. Par exemple, si votre organisation a un "i" minuscule dans son nom, ils peuvent utiliser un "I" majuscule, ou remplacer la lettre "E" par le chiffre "3". Cela vous aidera à réduire les risques que quelqu'un utilise un nom de domaine extrêmement similaire pour vous envoyer des courriels.

 

En tant que prestataire de services de la DMARC, on nous pose souvent cette question : "Si le DMARC utilise uniquement les authentifications SPF et DKIM, pourquoi devrions-nous nous préoccuper du DMARC ? N'est-ce pas tout simplement inutile ?

En apparence, cela peut sembler ne pas faire de grande différence, mais la réalité est très différente. Le DMARC n'est pas seulement une combinaison des technologies SPF et DKIM, c'est un protocole entièrement nouveau en soi. Il possède plusieurs caractéristiques qui en font l'une des normes d'authentification du courrier électronique les plus avancées au monde, et une nécessité absolue pour les entreprises.

Mais attendez une minute. Nous ne savons pas exactement pourquoi vous avez besoin du DMARC. Qu'est-ce qu'elle offre que le SPF et le DKIM n'offrent pas ? Eh bien, c'est une réponse assez longue ; trop longue pour un seul article de blog. Alors, séparons-nous et parlons d'abord du SPF. Au cas où vous ne le sauriez pas, voici une petite introduction.

Qu'est-ce que le SPF ?

Le SPF, ou Sender Policy Framework, est un protocole d'authentification des courriers électroniques qui protège le destinataire des courriers électroniques usurpés. Il s'agit essentiellement d'une liste de toutes les adresses IP autorisées à envoyer des courriers électroniques par vos canaux (le propriétaire du domaine). Lorsque le serveur récepteur voit un message de votre domaine, il vérifie votre enregistrement SPF publié sur votre DNS. Si l'adresse IP de l'expéditeur figure dans cette "liste", le courrier électronique est livré. Sinon, le serveur rejette le courriel.

Comme vous pouvez le voir, le SPF fait un assez bon travail en empêchant l'envoi de nombreux courriels indésirables qui pourraient endommager votre appareil ou compromettre les systèmes de sécurité de votre organisation. Mais le SPF n'est pas aussi efficace que certains pourraient le penser. C'est parce qu'il présente des inconvénients majeurs. Parlons de certains de ces problèmes.

Limites du SPF

Les enregistrements SPF ne s'appliquent pas à l'adresse de départ

Les courriers électroniques ont plusieurs adresses pour identifier leur expéditeur : l'adresse "From" que vous voyez normalement et l'adresse "Return Path" qui est cachée et qui nécessite un ou deux clics pour être affichée. Lorsque le SPF est activé, le serveur de courrier électronique récepteur examine le chemin de retour et vérifie les enregistrements SPF du domaine de cette adresse.

Le problème ici est que les attaquants peuvent exploiter cela en utilisant un faux domaine dans leur adresse de retour et une adresse électronique légitime (ou d'apparence légitime) dans la section "De". Même si le destinataire vérifiait l'identifiant de l'expéditeur, il verrait d'abord l'adresse de départ et ne prendrait généralement pas la peine de vérifier la voie de retour. En fait, la plupart des gens ne savent même pas qu'il existe une adresse de retour.

Le SPF peut être assez facilement contourné en utilisant cette simple astuce, et cela laisse même les domaines sécurisés avec SPF largement vulnérables.

Les enregistrements SPF ont une limite de consultation DNS

Les enregistrements SPF contiennent une liste de toutes les adresses IP autorisées par le propriétaire du domaine à envoyer des courriels. Cependant, ils présentent un inconvénient majeur. Le serveur récepteur doit vérifier l'enregistrement pour voir si l'expéditeur est autorisé, et pour réduire la charge du serveur, les enregistrements SPF ont une limite de 10 consultations DNS.

Cela signifie que si votre organisation fait appel à plusieurs fournisseurs tiers qui envoient des courriers électroniques via votre domaine, l'enregistrement SPF peut finir par dépasser cette limite. À moins d'être correctement optimisés (ce qui n'est pas facile à faire vous-même), les enregistrements SPF auront une limite très restrictive. Lorsque vous dépassez cette limite, l'implémentation du SPF est considérée comme invalide et votre courriel échoue le SPF. Cela pourrait potentiellement nuire à vos taux de livraison de courrier électronique.

 

Le SPF ne fonctionne pas toujours lorsque le courrier électronique est transféré

Le SPF présente un autre point de défaillance critique qui peut nuire à la délivrabilité de votre courrier électronique. Lorsque vous avez mis en place un SPF sur votre domaine et que quelqu'un transfère votre courrier électronique, le courrier électronique transféré peut être rejeté en raison de votre politique de SPF.

En effet, le message transféré a changé de destinataire, mais l'adresse de l'expéditeur reste la même. Cela devient un problème car le message contient l'adresse "From" de l'expéditeur d'origine, mais le serveur de réception voit une IP différente. L'adresse IP du serveur de transfert de courrier électronique n'est pas incluse dans l'enregistrement SPF du domaine de l'expéditeur d'origine. Cela pourrait entraîner le rejet du courrier électronique par le serveur de réception.

Comment le DMARC résout ces problèmes ?

Le DMARC utilise une combinaison de SPF et de DKIM pour authentifier le courrier électronique. Un courrier électronique doit passer soit par SPF soit par DKIM pour passer par DMARC et être livré avec succès. Il ajoute également une fonction clé qui le rend beaucoup plus efficace que le SPF ou le DKIM seuls : Rapports.

Avec les rapports de la DMARC, vous obtenez un retour d'information quotidien sur l'état de vos canaux de courrier électronique. Cela comprend des informations sur votre alignement DMARC, des données sur les courriels qui ont échoué à l'authentification et des détails sur les tentatives potentielles d'usurpation d'identité.

Si vous vous demandez ce que vous pouvez faire pour éviter l'usurpation d'identité, consultez notre guide pratique sur les 5 meilleures façons d'éviter l'usurpation d'identité par courriel.

En matière de cybercriminalité et de menaces pour la sécurité, le Vendor Email Compromise (VEC) est le grand père de la fraude par e-mail. C'est le type d'attaque auquel la plupart des entreprises sont le moins préparées, et le plus susceptible de les frapper. Au cours des trois dernières années, les VEC ont coûté aux organisations plus de 26 milliards de dollars. Et elle peut être d'une facilité déconcertante à être exécutée.

Comme pour les VEC, les attaques BEC impliquent que l'attaquant se fasse passer pour un cadre supérieur de l'organisation et envoie des courriels à un employé nouvellement embauché, souvent dans le département financier. Ils demandent des transferts de fonds ou des paiements de fausses factures, qui, s'ils sont suffisamment bien exécutés, peuvent convaincre un employé moins expérimenté d'initier la transaction.

Vous pouvez comprendre pourquoi le BEC est un problème si important pour les grandes organisations. Il est difficile de surveiller les activités de tous vos employés, et les moins expérimentés sont plus susceptibles de tomber dans le piège d'un courriel qui semble provenir de leur patron ou de leur directeur financier. Lorsque les organisations nous ont demandé quelle était la cyberattaque la plus dangereuse à laquelle elles devaient faire attention, notre réponse a toujours été BEC.

C'est-à-dire, jusqu'à ce que Silent Starling.

Syndicat de la cybercriminalité organisée

L'étourneau silencieux est un groupe de cybercriminels nigérians dont l'histoire en matière d'escroquerie et de fraude remonte à 2015. En juillet 2019, ils se sont engagés auprès d'une grande organisation, en se faisant passer pour le PDG d'un de leurs partenaires commerciaux. Le courriel demandait un changement soudain et de dernière minute des coordonnées bancaires, demandant un virement urgent.

Heureusement, ils ont découvert que le courriel était un faux avant toute transaction, mais l'enquête qui a suivi a révélé des détails troublants sur les méthodes du groupe.

Dans ce que l'on appelle maintenant le Vendor Email Compromise (VEC), les attaquants lancent une attaque beaucoup plus élaborée et organisée que ce qui se passe habituellement dans le BEC classique. L'attaque comporte trois phases distinctes, planifiées de manière complexe, qui semblent exiger beaucoup plus d'efforts que ce que la plupart des attaques BEC requièrent habituellement. Voici comment cela fonctionne.

VEC : Comment frauder une entreprise en 3 étapes

Étape 1 : Entrer par effraction

Les attaquants accèdent d'abord au compte de courrier électronique d'une ou plusieurs personnes de l'organisation. Il s'agit d'un processus soigneusement orchestré : ils découvrent quelles entreprises ne disposent pas de domaines authentifiés par le DMARC. Ce sont des cibles faciles à usurper. Les attaquants obtiennent l'accès en envoyant aux employés un courriel d'hameçonnage qui ressemble à une page de connexion et volent leurs identifiants de connexion. Ils ont alors un accès complet aux rouages internes de l'organisation.

Étape 2 : Collecte d'informations

Cette deuxième étape est comme une phase de surveillance. Les criminels peuvent désormais lire des courriers électroniques confidentiels, et s'en servir pour surveiller les employés impliqués dans le traitement des paiements et des transactions. Les attaquants identifient les principaux partenaires commerciaux et fournisseurs de l'organisation cible. Ils recueillent des informations sur les rouages internes de l'organisation, comme les pratiques de facturation, les conditions de paiement et même l'aspect des documents officiels et des factures.

Étape 3 : Agir

Avec tous ces renseignements recueillis, les escrocs créent un courriel extrêmement réaliste et attendent la bonne occasion pour l'envoyer (généralement juste avant qu'une transaction ne soit sur le point d'avoir lieu). Le courrier électronique est destiné à la bonne personne au bon moment, et passe par un véritable compte d'entreprise, ce qui le rend pratiquement impossible à identifier.

En coordonnant parfaitement ces 3 étapes, Silent Starling a pu compromettre les systèmes de sécurité de son organisation cible et a presque réussi à voler des dizaines de milliers de dollars. Ils ont été parmi les premiers à tenter une cyberattaque aussi élaborée, et malheureusement, ils ne seront certainement pas les derniers.

Je ne veux pas être une victime de la VEC. Que dois-je faire ?

Ce qui est vraiment effrayant avec la VEC, c'est que même si vous avez réussi à la découvrir avant que les escrocs ne puissent voler de l'argent, cela ne signifie pas qu'aucun dommage n'a été fait. Les attaquants ont quand même réussi à obtenir un accès complet à vos comptes de courrier électronique et à vos communications internes, et ont pu comprendre en détail le fonctionnement des finances, des systèmes de facturation et des autres processus internes de votre entreprise. Les informations, en particulier les informations sensibles comme celle-ci, laissent votre entreprise complètement exposée, et l'attaquant pourrait toujours tenter une autre escroquerie.

Que pouvez-vous y faire ? Comment êtes-vous censé empêcher une attaque de CVE de vous arriver ?

1. Protégez vos canaux de courrier électronique

L'un des moyens les plus efficaces de mettre un terme à la fraude par courrier électronique est de ne même pas laisser les attaquants entamer la première étape du processus VEC. Vous pouvez empêcher les cybercriminels d'obtenir un accès initial en bloquant simplement les courriels de phishing qu'ils utilisent pour voler vos identifiants de connexion.

La plateforme PowerDMARC vous permet d'utiliser l'authentification DMARC pour empêcher les attaquants de se faire passer pour votre marque et d'envoyer des e-mails de phishing à vos propres employés ou partenaires commerciaux. Elle vous montre tout ce qui se passe dans vos canaux de courrier électronique et vous avertit instantanément en cas de problème.

2. Éduquer votre personnel

L'une des plus grandes erreurs que font les grandes organisations est de ne pas investir un peu plus de temps et d'efforts pour former leur personnel à la connaissance des escroqueries en ligne les plus courantes, à leur mode de fonctionnement et à ce qu'il faut surveiller.

Il peut être très difficile de faire la différence entre un vrai courriel et un faux bien conçu, mais il existe souvent de nombreux signes révélateurs que même une personne peu formée à la cybersécurité pourrait identifier.

3. Établir des politiques pour les affaires par courrier électronique

Beaucoup d'entreprises prennent le courrier électronique pour acquis, sans vraiment réfléchir aux risques inhérents à un canal de communication ouvert et non modéré. Au lieu de se fier implicitement à chaque correspondance, il faut agir en supposant que la personne à l'autre bout n'est pas celle qu'elle prétend être.

Si vous devez effectuer une transaction ou partager des informations confidentielles avec eux, vous pouvez utiliser un processus de vérification secondaire. Il peut s'agir de téléphoner au partenaire pour confirmer ou de demander à une autre personne d'autoriser la transaction.

Les attaquants trouvent toujours de nouveaux moyens de compromettre les canaux de courrier électronique des entreprises. Vous ne pouvez pas vous permettre de ne pas être préparé.

 

Démystifier les mythes de DMARC

Pour beaucoup de gens, l'utilité de DMARC n'est pas évidente, pas plus que la manière dont il prévient l'usurpation de domaine, l'usurpation d'identité et la fraude. Cela peut conduire à de graves idées fausses sur DMARC, sur le fonctionnement de l'authentification des e-mails et sur son intérêt pour vous. Mais comment savoir ce qui est vrai et ce qui est faux ? Et comment être sûr de l'appliquer correctement ? 

PowerDMARC est à la rescousse ! Pour vous aider à mieux comprendre le DMARC, nous avons compilé cette liste des 6 idées fausses les plus courantes sur le DMARC.

Idées fausses sur DMARC

1. Le DMARC est identique à un filtre anti-spam

C'est l'une des erreurs les plus courantes concernant DMARC. Les filtres anti-spam bloquent les courriels entrants qui arrivent dans votre boîte de réception. Il peut s'agir d'e-mails suspects envoyés depuis n'importe quel domaine, pas seulement le vôtre. DMARC, en revanche, indique aux serveurs de messagerie récepteurs comment traiter les e-mails sortants envoyés depuis votre domaine. Les filtres anti-spam comme Microsoft Office 365 ATP ne protègent pas contre de telles cyberattaques. Si votre domaine est soumis à la norme DMARC et que le courriel échoue à l'authentification, le serveur de réception le rejette.

2. Une fois que vous avez mis en place le DMARC, votre courrier électronique est en sécurité pour toujours

DMARC est l'un des protocoles d'authentification des e-mails les plus avancés, mais cela ne signifie pas qu'il soit complètement autonome. Vous devez surveiller régulièrement vos rapports DMARC pour vous assurer que les e-mails provenant de sources autorisées ne sont pas rejetés. Plus important encore, vous devez vérifier si des expéditeurs non autorisés abusent de votre domaine. Si vous constatez qu'une adresse IP tente à plusieurs reprises d'usurper votre courriel, vous devez prendre des mesures immédiates pour la mettre sur la liste noire ou la supprimer.

3. La DMARC va réduire la délivrabilité de mon courrier électronique

Lorsque vous créez le DMARC, il est important de fixer d'abord votre politique à p=none. Cela signifie que tous vos courriers électroniques seront toujours délivrés, mais vous recevrez des rapports de la DMARC indiquant si l'authentification a réussi ou échoué. Si, pendant cette période de surveillance, vous constatez que vos propres courriels ne sont pas conformes aux normes de la DMARC, vous pouvez prendre des mesures pour résoudre les problèmes. Une fois que tous vos courriels autorisés sont validés correctement, vous pouvez appliquer le DMARC avec une politique de p=quarantaine ou de p=rejet.

4. Je n'ai pas besoin d'appliquer le DMARC (p=none est suffisant)

Lorsque vous créez le DMARC sans l'appliquer (politique de p=none), tous les courriels de votre domaine, y compris ceux qui échouent au DMARC, sont livrés. Vous recevrez les rapports de DMARC mais ne protégerez pas votre domaine contre les tentatives d'usurpation. Après la période de surveillance initiale (expliquée ci-dessus), il est absolument nécessaire de définir votre politique de p=quarantaine ou de p=rejet et d'appliquer le DMARC.

5. Seules les grandes marques ont besoin du DMARC

De nombreuses petites entreprises pensent que seules les marques les plus importantes et les plus connues ont besoin d'une protection DMARC. En réalité, les cybercriminels utiliseront n'importe quel domaine d'entreprise pour lancer une attaque par usurpation. De nombreuses petites entreprises ne disposent généralement pas d'équipes spécialisées dans la cybersécurité, ce qui permet aux attaquants de cibler encore plus facilement les petites et moyennes organisations. N'oubliez pas que toute organisation qui possède un nom de domaine a besoin d'une protection DMARC !

6. Les rapports du DMARC sont faciles à lire

De nombreuses organisations mettent en œuvre le protocole DMARC et envoient les rapports dans leur propre boîte aux lettres électronique. Le problème est que les rapports DMARC se présentent sous la forme d'un fichier XML, qui peut être très difficile à lire si vous n'êtes pas familier avec ce format. L'utilisation d'une plateforme DMARC dédiée peut non seulement faciliter votre processus de configuration, mais PowerDMARC peut convertir vos fichiers XML complexes en rapports faciles à lire avec des graphiques, des tableaux et des statistiques détaillées.