Attaque BEC

Le Business Email Compromise (BEC) est une forme de cybercriminalité rampante et en constante évolution qui cible les courriels comme moyen potentiel de fraude. Ciblant les organisations commerciales, gouvernementales et à but non lucratif, l'attaque BEC peut entraîner d'énormes pertes de données, des failles de sécurité et la compromission d'actifs financiers. On croit souvent à tort que les cybercriminels se concentrent sur les multinationales et les entreprises. De nos jours, les PME sont tout autant la cible de la fraude par courrier électronique que les grands acteurs du secteur. 

Comment le CEB peut-il affecter les organisations ?

Parmi les exemples d'attaques BEC, citons les attaques sophistiquées d'ingénierie sociale telles que le phishing, la fraude au PDG, les fausses factures et l'usurpation d'adresse électronique, pour n'en citer que quelques-unes. On peut également parler d'une attaque par usurpation d'identité, dans laquelle un attaquant vise à escroquer une entreprise en se faisant passer pour des personnes occupant des postes à responsabilité. Le succès de ces attaques repose sur l'usurpation de l'identité de personnes telles que le directeur financier ou le PDG, un partenaire commercial ou toute autre personne à laquelle vous accordez aveuglément votre confiance.

Février 2021 a capturé les activités du cyber-gang russe Cosmic Lynx, alors qu'il adoptait une approche sophistiquée en matière de BEC. Le groupe avait déjà été lié à la conduite de plus de 200 campagnes de BEC depuis juillet 2019, ciblant plus de 46 pays dans le monde, en se concentrant sur les multinationales géantes qui ont une présence mondiale. Grâce à des courriels de phishing extrêmement bien rédigés, ils rendent impossible pour les gens de faire la différence entre les vrais et les faux messages.

Le travail à distance a fait des applications de vidéoconférence des entités indispensables, post-pandémique. Les cybercriminels profitent de cette situation en envoyant des courriels frauduleux qui se font passer pour une notification de la plate-forme de vidéoconférence, Zoom. L'objectif est de voler les identifiants de connexion pour procéder à des violations massives des données de l'entreprise.

Il est clair que l'importance des BEC est en train d'apparaître rapidement et de s'accroître ces derniers temps, les acteurs de la menace trouvant des moyens plus sophistiqués et innovants pour échapper à la fraude. Les attaques BEC touchent plus de 70 % des organisations dans le monde et entraînent la perte de milliards de dollars chaque année. C'est pourquoi les experts du secteur ont mis au point des protocoles d'authentification des e-mails, comme DMARC, afin d'offrir un niveau élevé de protection contre l'usurpation d'identité.

Qu'est-ce que l'authentification des courriers électroniques ?

L'authentification du courrier électronique peut être considérée comme un ensemble de techniques déployées pour fournir des informations vérifiables sur l'origine des courriers électroniques. Cela se fait en authentifiant la propriété du domaine du ou des agents de transfert de courrier impliqués dans le transfert du message.

Le protocole SMTP (Simple Mail Transfer Protocol), qui est la norme industrielle pour le transfert de courrier électronique, ne dispose pas d'une telle fonction intégrée pour l'authentification des messages. C'est pourquoi il est extrêmement facile pour les cybercriminels d'exploiter ce manque de sécurité pour lancer des attaques de phishing et d'usurpation de domaine. C'est pourquoi il est nécessaire de disposer de protocoles d'authentification efficaces, comme DMARC, qui tiennent leurs promesses !

Étapes à suivre pour prévenir les attaques BEC avec DMARC

 

Étape 1 : Mise en œuvre 

La première étape pour lutter contre les attaques BEC consiste à configurer DMARC pour votre domaine. La norme DMARC (Domain-based Message Authentication, Reporting and Conformance) utilise les normes d'authentification SPF et DKIM pour valider les courriels envoyés depuis votre domaine. Il indique aux serveurs destinataires comment répondre aux e-mails qui échouent à l'un ou l'autre de ces contrôles d'authentification, ce qui permet au propriétaire du domaine de contrôler la réponse du destinataire. Par conséquent, pour mettre en œuvre DMARC, vous devez :

  • Identifier toutes les sources de courrier électronique valides autorisées pour votre domaine
  • Publier l'enregistrement SPF dans votre DNS pour configurer le SPF pour votre domaine
  • Publier l'enregistrement DKIM dans votre DNS pour configurer DKIM pour votre domaine
  • Publier l'enregistrement DMARC dans votre DNS pour configurer le DMARC pour votre domaine

Afin d'éviter les complexités, vous pouvez utiliser les outils gratuits de PowerDMARC (générateur d'enregistrement SPF gratuit, générateur d'enregistrement DKIM gratuit, générateur d'enregistrement DMARC gratuit) pour générer des enregistrements avec la syntaxe correcte, instantanément, à publier dans le DNS de votre domaine.

Étape 2 : Mise en œuvre 

Votre politique DMARC peut être fixée à :

  • p=none (DMARC à la surveillance uniquement ; les messages dont l'authentification est défaillante seraient quand même délivrés)
  • p=quarantaine (DMARC à l'application de la loi ; les messages dont l'authentification est défaillante seraient mis en quarantaine)
  • p=rejet (DMARC au maximum de l'exécution ; les messages dont l'authentification est défaillante ne seraient pas délivrés du tout)

Nous vous recommandons de commencer à utiliser le DMARC avec une politique permettant uniquement la surveillance, afin que vous puissiez garder un œil sur le flux de courrier électronique et les problèmes de livraison. Cependant, une telle politique ne fournirait aucune protection contre la CEB. C'est pourquoi vous devrez éventuellement passer à l'application du DMARC. PowerDMARC vous aide à passer en un rien de temps de la surveillance à l'application de la loi grâce à une politique de p=rejet qui vous permettra de spécifier aux serveurs de réception qu'un courriel envoyé par une source malveillante utilisant votre domaine ne sera pas du tout livré dans la boîte de réception de votre destinataire.

Étape 3 : Suivi et rapports 

Vous avez mis votre politique DMARC en application et vous avez réussi à minimiser les attaques BEC, mais est-ce suffisant ? La réponse est non. Vous avez toujours besoin d'un mécanisme de reporting étendu et efficace pour surveiller le flux d'e-mails et répondre à tout problème de livraison. La plateforme SaaS multi-tenant de PowerDMARC vous aide :

  • garder le contrôle de votre domaine
  • contrôler visuellement les résultats de l'authentification pour chaque courriel, utilisateur et domaine enregistré pour vous
  • supprimer les adresses IP abusives qui tentent d'usurper l'identité de votre marque

Les rapports DMARC sont disponibles sur le tableau de bord PowerDMARC dans deux formats principaux :

  • Rapports agrégés de la DMARC (disponibles en 7 vues différentes)
  • Rapports médico-légaux de la DMARC (avec cryptage pour une meilleure protection de la vie privée)

La mise en œuvre de DMARC, son application et l'établissement de rapports vous permettent de réduire considérablement les risques de devenir la proie d'une attaque BEC ou d'une usurpation d'identité. 

Avec les filtres anti-spam, ai-je encore besoin du DMARC ?

Oui ! La DMARC fonctionne très différemment des filtres antispam et des passerelles de sécurité du courrier électronique ordinaires. Bien que ces solutions soient généralement intégrées à vos services d'échange de courrier électronique dans le nuage, elles ne peuvent offrir qu'une protection contre les tentatives de phishing entrantes. Les messages envoyés depuis votre domaine restent sous la menace de l'usurpation d'identité. C'est là que la DMARC intervient.

Conseils supplémentaires pour améliorer la sécurité du courrier électronique

 

Restez toujours sous la limite des 10 DNS 

Le dépassement de la limite de consultation SPF 10 peut invalider complètement votre enregistrement SPF et faire échouer l'authentification des courriels légitimes. Dans de tels cas, si votre DMARC est réglé sur le rejet, les courriels authentiques ne seront pas livrés. PowerSPF est votre aplatisseur d'enregistrement SPF automatique et dynamique qui atténue la perversion du SPF en vous aidant à rester sous la limite dure du SPF. Il met automatiquement à jour les netblocks et analyse les modifications apportées par vos fournisseurs de services de messagerie à leurs adresses IP en permanence, sans aucune intervention de votre part.

Assurer le cryptage TLS des courriels en transit

Si la DMARC peut vous protéger des attaques d'ingénierie sociale et de la CEB, vous devez néanmoins vous préparer à faire face à des attaques de surveillance omniprésentes comme l'homme du milieu (MITM). Pour ce faire, il faut s'assurer qu'une connexion sécurisée par TLS est négociée entre les serveurs SMTP chaque fois qu'un courriel est envoyé à votre domaine. Le MTA-STS hébergé par PowerDMARC rend le cryptage TLS obligatoire dans le SMTP et s'accompagne d'une procédure de mise en œuvre facile.

Obtenir des rapports sur les problèmes liés à l'envoi de courriers électroniques

Vous pouvez également activer le rapport SMTP TLS pour obtenir des rapports de diagnostic sur les problèmes de livraison des e-mails après avoir configuré MTA-STS pour votre domaine. TLS-RPT vous permet d'avoir une meilleure visibilité sur votre écosystème de messagerie et de mieux répondre aux problèmes de négociation d'une connexion sécurisée entraînant des échecs de livraison. Les rapports TLS sont disponibles en deux vues (rapports agrégés par résultat et par source d'envoi) sur le tableau de bord PowerDMARC.

Amplifiez le rappel de votre marque avec BIMI 

Avec les BIMI (Brand Indicators for Message Identification), vous pouvez élever le rappel de votre marque à un tout autre niveau en aidant vos destinataires à vous identifier visuellement dans leurs boîtes de réception. Le BIMI fonctionne en attachant le logo de votre marque unique à chaque courriel que vous envoyez depuis votre domaine. PowerDMARC facilite la mise en œuvre de BIMI en seulement 3 étapes simples de la part de l'utilisateur.

PowerDMARC est votre destination unique pour toute une série de protocoles d'authentification du courrier électronique, notamment DMARC, SPF, DKIM, BIMI, MTA-STS et TLS-RPT. Inscrivez-vous dès aujourd'hui pour obtenir votre essai gratuit de DMARC Analyzer!