Une attaque par usurpation d'identité est une tentative d'obtenir un accès non autorisé à des systèmes d'information en se faisant passer pour des utilisateurs autorisés.
Selon le Security Magazinele nombre de baleinages et d'usurpations d'identité de dirigeants a augmenté de 131 % entre le premier trimestre 2020 et le premier trimestre 2021, 55 % des professionnels de la cybersécurité affirmant qu'un dirigeant de leur entreprise a été usurpé. Ces attaques ont coûté aux entreprises 1,8 milliard de dollars de pertes rien que l'année dernière.
Le problème est si répandu qu'un courriel sur 3 226 reçus (une fois tous les 24 jours) par un cadre est une tentative d'usurpation d'identité.
Dans cet article, nous exposons tout ce que vous devez savoir sur les attaques par usurpation d'identité, leurs types, comment les détecter et comment défendre votre organisation contre elles.
Qu'est-ce qu'une attaque par usurpation d'identité ?
Une attaque par usurpation d'identité est une forme d'ingénierie sociale dans laquelle un attaquant se fait passer pour quelqu'un d'autre ou se fait passer pour un utilisateur légitime (ou un groupe d'utilisateurs), afin d'accéder à des informations qu'il n'est pas autorisé à avoir.
Dans ce type d'attaque, le pirate utilise souvent des techniques d'ingénierie sociale pour obtenir des informations sur le système et/ou la cible, par exemple en se faisant passer pour un membre du service informatique et en demandant des identifiants de connexion.
Les attaques par usurpation d'identité peuvent se produire en personne, par téléphone ou en ligne. Et peuvent être catastrophiques si elles ne sont pas détectées.
Comment se déroule une attaque par usurpation d'identité ?
On parle d'usurpation d'identité lorsqu'un acteur malveillant se fait passer pour un utilisateur ou un service légitime afin d'accéder à des informations protégées. Les attaques par usurpation d'identité sont faciles à réaliser et peuvent être très dommageables, selon le type de données que l'attaquant tente d'obtenir.
Tout ce qu'un attaquant doit faire, c'est rassembler suffisamment d'informations sur un utilisateur ou un service légitime pour faire croire aux autres qu'il est bien celui qu'il prétend être. L'attaquant tentera ensuite d'amener sa ou ses cibles à révéler des informations sensibles qui seraient autrement protégées par des mesures de sécurité.
Dans de nombreux cas, les attaquants utilisent le courrier électronique ou d'autres formes de communication pour tenter des attaques par usurpation d'identité. Ils envoient des courriels en se faisant passer pour quelqu'un d'autre (spoofing), ce qui peut inclure des courriels d'hameçonnage contenant des liens qui téléchargent des logiciels malveillants sur le système d'un utilisateur peu méfiant.
Une autre méthode utilisée par les attaquants est connue sous le nom de "whaling" ; elle consiste à usurper l'identité d'un directeur ou d'un propriétaire et à envoyer des courriels demandant aux employés de transférer des fonds ou de fournir d'autres informations sensibles. Comme l'e-mail semble provenir d'une personne faisant autorité, de nombreux employés suivent les instructions sans poser de questions.
Comment les attaques par usurpation d'identité sont-elles planifiées ?
Afin de créer un plan pour une attaque par usurpation d'identité, les pirates doivent d'abord rassembler des informations sur leur cible. Ils utiliseront souvent des informations accessibles au public, comme les profils sur les médias sociaux et les informations accessibles au public sur le site Web de l'entreprise. Les pirates peuvent utiliser ces informations pour créer un personnage réaliste et commencer à interagir avec les employés de l'entreprise cible.
Le pirate contactera les employés en utilisant des méthodes conformes à ce que l'on attend de ce personnage. Le pirate peut envoyer des courriels, des SMS ou des appels aux employés en utilisant une fausse adresse électronique professionnelle ou un faux numéro de téléphone qui correspond le plus possible à l'adresse électronique ou au numéro de téléphone réel de l'entreprise - la différence est là, mais elle est presque invisible à l'œil nu.
L'employé a ainsi le sentiment d'interagir avec une personne connue dans son organisation.
| Voici un exemple d'usurpation d'identité par courriel :
accessorystore@mnmail.com accessarystore@mnmail.com Comme vous pouvez le voir ci-dessus, les différences entre les deux e-mails sont subtiles et faciles à manquer, surtout si vous recevez des centaines d'e-mails par jour. |
Une fois que le pirate a gagné la confiance de l'employé, il lui envoie un e-mail qui semble provenir d'une source authentique de l'entreprise. Ces e-mails contiennent souvent des liens vers des sites Web qui demandent des informations personnelles ou exigent une action de la part de l'employé (par exemple, le téléchargement de fichiers). Ces sites et fichiers sont infectés par des logiciels malveillants qui permettent aux pirates d'accéder aux données, de voler des informations personnelles ou d'introduire d'autres cyberattaques sur le réseau de l'entreprise.
Les fausses adresses d'expéditeurs comme celles-ci sont rejetées par une politique stricte de politique DMARCque vous pouvez utiliser pour protéger vos courriels contre les attaques par usurpation d'identité.
Quelques tactiques courantes d'attaque par usurpation d'identité
Les attaquants peuvent tenter de se faire passer pour vous ou pour quelqu'un que vous connaissez de plusieurs façons. Voici quelques tactiques courantes :
1. Attaque gratuite de compte de messagerie
L'attaquant utilise un service de messagerie gratuit pour envoyer des messages à partir d'une adresse électronique similaire à celle utilisée par la cible. Cette tactique peut être utilisée pour convaincre les gens de visiter un site web malveillant, de télécharger un logiciel malveillant ou de fournir des informations telles que des mots de passe ou des numéros de carte de crédit.
2. Attaque du domaine des cousins
Dans le cas de l'attaque par domaine cousin, l'attaquant crée un site Web qui semble presque identique à celui de votre banque, mais qui se termine par .com au lieu de .org ou .net, par exemple. Il envoie ensuite des courriels à partir de ce faux site : lorsque les gens cliquent sur les liens contenus dans ces courriels, ils sont dirigés vers le faux site au lieu du site de leur vraie banque.
3. Attaque de l'expéditeur d'une fausse enveloppe
L'attaquant crée un courrier électronique avec une adresse d'expéditeur qui semble provenir d'une entreprise connue, telle que "payments@apple.com". Comme cette adresse semble légitime, elle contourne les filtres de la plupart des serveurs de messagerie. L'attaquant cible ensuite les victimes avec son message, les incitant à cliquer sur des liens ou à ouvrir des pièces jointes qui permettent aux logiciels malveillants d'infecter leur ordinateur.
4. Attaque de l'expéditeur d'un faux en-tête
Une attaque contre l'expéditeur de l'en-tête est un type d'usurpation de courrier électronique qui peut être utilisé pour faire croire qu'un message a été envoyé par quelqu'un d'autre que sa véritable source. Dans ce type d'attaque, le champ "expéditeur" de l'en-tête d'un courriel est modifié pour inclure une adresse autre que celle qui a réellement envoyé le message. Cela peut se faire en modifiant soit le champ "From :", soit le champ "Return-Path :", soit les deux. Le but de ces attaques est de faire croire qu'un courriel a été envoyé par quelqu'un d'autre, par exemple un associé ou un ami, afin d'inciter les destinataires à ouvrir les messages d'une personne qu'ils connaissent.
5. Attaque de compte de messagerie compromis
Dans cette attaque, un attaquant obtient l'accès à un compte de messagerie légitime et utilise ensuite ce compte pour envoyer des courriels et des messages à d'autres personnes de l'organisation. L'attaquant peut prétendre être un employé ayant des connaissances ou une autorité particulières, ou se faire passer pour une autre personne ayant des connaissances ou une autorité particulières.
6. Attaque de fraude du PDG
Dans cette attaque, les attaquants se font passer pour le PDG d'une entreprise et tentent de convaincre les employés ou les clients qu'ils doivent accéder à des informations sensibles. L'attaquant utilise souvent des techniques d'ingénierie sociale, comme des courriels ou des appels téléphoniques de phishing, pour faire croire qu'il appelle depuis le service informatique de votre entreprise. Il utilisera souvent un langage spécifique à votre secteur ou à votre entreprise pour paraître plus légitime et digne de confiance tout en demandant des informations sensibles comme des mots de passe ou des numéros de carte de crédit.
7. Attaque de l'homme du milieu (MITM)
Ce type d'attaque implique que l'attaquant intercepte vos communications avec un service légitime et les relaie ensuite au service légitime comme si elles venaient de vous. De cette façon, l'attaquant peut écouter votre communication, la modifier ou l'empêcher complètement.
Comment reconnaître une attaque d'usurpation d'identité ?
Un sentiment d'urgence :L'attaquant peut inciter le destinataire à agir immédiatement (par exemple en effectuant un virement immédiat, sinon son compte sera définitivement bloqué) en utilisant un ton urgent dans ses courriels. Les victimes sont ainsi poussées à agir sans réfléchir.
La confidentialité : L'attaquant peut indiquer que les informations qu'il demande doivent rester privées, ce qui implique que leur divulgation pourrait avoir de graves conséquences.
Demande de partage d'informations sensibles : L'attaquant peut vous demander des informations que seule votre banque connaît, comme votre numéro de compte ou votre mot de passe. Il peut également vous demander de partager les informations d'identification de votre entreprise, qui sont des informations privées auxquelles vous seul avez accès. Cela lui permettrait alors d'accéder aux bases de données de votre entreprise et de divulguer des informations sensibles.
Adresses électroniques modifiées : Par exemple, si vous recevez un courriel d'une personne prétendant appartenir à "Amazon" et vous demandant de vous connecter et de mettre à jour les informations de votre compte, mais que l'adresse électronique est en fait "amaz0n@gmail.com", il peut s'agir d'une attaque par usurpation d'identité.
Courriels mal rédigés : Les courriels de phishing sont mal rédigés, avec souvent des fautes d'orthographe et de grammaire, car ils sont généralement générés en masse.
Présence de liens ou de pièces jointes malveillants : Les liens et pièces jointes malveillants sont un moyen courant de mener une attaque par usurpation d'identité. Ces types d'attaques peuvent être identifiés par la présence de :
- Les liens qui s'ouvrent dans un nouvel onglet au lieu de l'onglet actuel.
- Les pièces jointes portant des titres ou des extensions de fichier étranges (comme "pièce jointe" ou ".zip").
- Les pièces jointes qui contiennent un fichier exécutable (comme .exe).
Se protéger contre l'usurpation d'identité
1. Les entreprises doivent être conscientes qu'une formation à la cybersécurité est essentielle pour se protéger de ce type d'attaque. Cette formation doit comprendre :
- Comment les attaquants peuvent se faire passer pour des utilisateurs et accéder aux systèmes.
- Comment reconnaître les signes indiquant que quelqu'un essaie de se faire passer pour vous afin de pouvoir agir avant que des dommages ne soient causés.
- Comment les contrôles préventifs, comme l'authentification à deux facteurs, peuvent aider à empêcher les tentatives d'accès non autorisé par quelqu'un qui essaie de se faire passer pour vous.
2. Le domaine de messagerie de l'entreprise doit également être protégé contre les attaques par usurpation d'identité. Cela implique la mise en place de politiques strictes pour l'enregistrement de nouveaux domaines et comptes au sein de votre organisation, ainsi que le suivi des personnes ayant accès à chacun d'eux afin de les supprimer si nécessaire.
3. Lorsque vous créez un compte de messagerie pour votre entreprise, assurez-vous qu'il utilise un domaine spécifique à votre entreprise. N'utilisez pas "@gmail" ou "@yahoo", car ces domaines sont trop génériques et pourraient être utilisés par quiconque voudrait se faire passer pour vous. Utilisez plutôt quelque chose comme "@votreentreprise.com", où le nom de votre entreprise remplace "votreentreprise.com". Ainsi, si quelqu'un essaie de se faire passer pour vous en envoyant un courrier électronique à partir d'une autre adresse, personne ne le croira car il sait quel nom de domaine correspond à votre entreprise.
4. Les entreprises doivent envisager de mettre en œuvre des solutions de sécurité du courrier électronique telles qu'un analyseur DMARC qui empêchent les domaines usurpés d'envoyer des courriels contenant des pièces jointes ou des liens suspects (comme les courriels d'hameçonnage) par le biais de l'authentification.
Voulez-vous une protection 24/7 contre l'usurpation d'identité ? PowerDMARC est un fournisseur de solutions d'authentification des e-mails - fournissant des services visant à permettre aux entreprises de sécuriser leurs communications par e-mail. Nous vous aidons à gérer la réputation de votre domaine en garantissant que seuls les e-mails provenant d'expéditeurs autorisés seront délivrés par des passerelles sécurisées, tout en le protégeant contre l'usurpation d'identité par des cybercriminels et des phishers.
