| Sécurité Opérationnelle.

Phishing : le guide de survie by Synetis

Cet article a pour but d’initier à la menace bien connue qu’est le phishing, mais surtout de présenter les habitudes à prendre lors de la réception d’un email, afin de d’éviter ou tout du moins réduire le risque d’être compromis par une campagne de phishing. Il s’agit plus là d’un guide de survie à l’attention des utilisateurs qu’un recueil technique sur le sujet et certaines facilités techniques sont prises afin d’en simplifier le propos.

Commençons tout d’abord par un bref rappel de ce qu’est le phishing, son principe de fonctionnement et l’objectif de l’attaquant derrière ce type d’attaque.

Le phishing (ou hameçonnage) est une technique utilisée par des attaquants dans laquelle ils usurpent l’identité d’une personne ou d’une entité, afin de tromper le destinataire et de pouvoir ainsi lui extorquer différents éléments :

  • Des coordonnées bancaires
  • Des mots de passe
  • Des éléments d’identité
  • Etc.

Bien que connues, les campagnes de phishing restent une menace sérieuse pour les entreprises.

Selon une enquête sur le sujet de l’éditeur ProofPoint, 57 % des professionnels ont déclaré que leurs entreprises avaient été victime d’une attaque de phishing fructueuse en 2020, qui ont mené dans la majorité des cas à une fuite de données, une compromission de comptes ou d’identifiants de connexion, voir même, l’infection par un ransomware.

C’est pourquoi nous allons voir dès maintenant, les différentes petites astuces afin de détecter dans une bonne partie des cas, un mail frauduleux.

Les fautes d’orthographe et le style d’écriture

Manière très connue de détecter des mails frauduleux, les fautes d’orthographe deviennent de moins en moins présentes dans les campagnes de phishing, les attaquants faisant attention à cet aspect.

Bien entendu, il reste toujours des personnes ne soignant pas autant leur écriture, mais cela devient une minorité, les utilisateurs étant surtout sensibilisés sur ce point-là, qui fût à la base de toutes les sensibilisations sur le sujet pendant les 10 dernières années.

Néanmoins, ce n’est pas pour autant qu’il n’est plus possible de détecter des emails frauduleux par la manière dont ils sont écrits.

En effet, il reste néanmoins possible d’axer son attention sur certains autres points :

  • L’utilisation du tutoiement/vouvoiement
    • En effet, dans de nombreuses sociétés, le tutoiement ou le vouvoiement peut-être un élément présent dans le cadre professionnel et cela de façon très marquée.
    • Ainsi, une personne qui utiliserait habituellement du tutoiement et qui d’un coup, vous vouvoierait dans un mail, devrait attirer votre attention. Cela fonctionne naturellement dans le sens inverse.
    • C’est une particularité du français que l’on trouvera plus difficilement d’en d’autres langues comme l’anglais
  • Le niveau de langage
    • Au même titre que le tutoiement/vouvoiement, le niveau de langage de l’email est aussi important. En effet, un mail du service des impôts ou de la CAF, qui aurait un langage trop ou trop peu soutenu, doit également faire tilt et lever une alerte.
    • Cela apparaît comme assez compliqué à voir, mais dans certain cas, cela peut-être assez visible, au même titre que le vouvoiement ; comme par exemple dans les cas d’arnaque au président, technique de phishing (de spear-phishing pour être exacte – technique de phishing visant une personne en particulier)

Les sujets et objets du mail

Le phishing peut prendre bien des formes et des visages mais l’objectif de l’attaquant reste néanmoins le même : obtenir de la donnée ou vous faire télécharger un fichier.

Ainsi, il faudra d’autant plus faire attention à un mail, quand ce dernier contient l’un des éléments suivants :

  • Un fichier en pièce-jointe ;
  • Une demande de virement, de paiement ou tout autres éléments bancaire ;
  • Une demande d’authentification sur une application extérieure (exemple : changer de mot de passe, mise à jour d’une information, nouveau message reçus, etc.) ;
  • Tout mail se targuant d’être urgent ;
  • N’importe quelle promesse de dons, de gains, ou d’éléments beaucoup trop beau pour être vrai (désolé, mais il y a peu de chance qu’une tante que vous ne connaissez pas vous lègue ses trois millions d’euros qui dormaient sous l’oreille) ;
  • Etc.

En effet, tous ces sujets-là doivent amener à faire une lecture avec une attention particulière ; surtout s’ils sont indiqués comme urgent. Les attaquants jouent notamment sur cela : la peur et l’urgence.

En effet, une personne qui a peur de voir son compte piraté verra son attention réduite et ne fera ainsi que très peu attention aux détails tels que l’adresse de l’envoyeur ou l’URL utilisée.

De la même manière, une demande de virement faite par le président de l’entreprise n’est pas quelque chose que l’on souhaite trop faire attendre. Néanmoins, dans un cas comme dans l’autre, une vérification de 30 secondes sur le mail ou en appelant la personne, permet de s’assurer que tout va bien et personne ne vous en voudra d’être trop prudent. En sécurité, il vaut mieux l’être trop, que pas assez.

Besoin de conseils pour sécuriser votre entreprise ?

Le domaine et l’url

Une autre habitude à prendre également, est de vérifier le domaine de l’expéditeur. En effet, cela permet dans une moindre mesure, de s’assurer de la fiabilité du domaine d’envoi.

L’une des techniques les plus utilisées par les attaquants, c’est de prendre des noms de domaines très ressemblants, afin de tromper le destinataire. On aura par exemple :

  • Au lieu de ne-pas-repondre@dgfip.finances.gouv.fr (adresse mail utilisée pour les mails des impôts) :
    • ne-pas-repondre@dgfip-finances.gouv.fr
    • ne-pas-repondre@dgfip-finances-gouv.fr
      de ne-pas-repondre@dgfip.finance.gouv.fr
    • Etc.
  • De la même manière pour un mail de Google par exemple noreply@google.com :
    • noreply@france-google.com
    • noreply@googIe.com (ici ce n’est pas un ‘L’ minuscule mais un ‘i’ majuscule)
    • Etc.

Il est donc très important de regarder l’adresse mail et notamment la partie nom de domaine (ce qui est après le ‘@’) afin de ne pas se faire tromper. En cas de doute, il ne faut pas hésiter à regarder sur internet les adresses mails.
Le cas existe aussi pour les liens dans les mails, quand cela vous demande par exemple de mettre à jour votre numéro de carte bleue sur votre site d’achat en ligne préféré. Dans ce cas-là, rendez-vous sur le site en tapant vous-même l’adresse dans votre moteur de recherche.

Ci-dessous l’exemple avec google.com et googie.com (en mettant le ‘i’ en majuscule soit ‘I’, qu’on ne différencie alors plus du ‘l’) :

Capture-d’écran-google

____

Capture-d’écran-Googie

Pour les plus experts d’entre nous, il existe d’ailleurs des sites tels que https://whois.domaintools.com/ qui permettent d’obtenir des informations sur les propriétaires des noms de domaines. Cela peut donner une indication supplémentaire en cas de doutes.

Une opération semblable peut également être effectuée, mais cette fois sur les certificats du site. Ces certificats sont utilisés afin de chiffrer et ainsi protéger les échanges entre le site et les utilisateurs, mais servent également à identifier les propriétaires. Pour cela, cliquer sur le cadenas à côté de l’URL :

connexion sécurisée google

 

Sur la page ouverte, sélectionnez détails puis « Emetteur » et vous obtenez des informations complémentaires sur l’entité derrière le site.

certificat google

Un autre point qui peut être vérifié avant de cliquer sur un mail, c’est l’URL vers laquelle il renvoie. Pour cela, un clic droit sur l’email vous permet de sélectionner l’option « Afficher le code source ».

Dans le cas suivant, il s’agit d’un mail indiquant qu’il faut se connecter à Facebook pour changer son mot de passe :

email connexion facebook

Contrairement à ce que le mail fait croire et le début de l’URL, on voit ici que l’URL de redirection appartient au domaine « attaquant.com », et pas du tout à Facebook.

Et après ?

Dans le cas où vous auriez un doute ou que vous avez réussie à détecter un mail frauduleux (bravo !), il existe un certain nombre de choses que vous pouvez encore faire :

  • Tout d’abord, prévenez l’équipe informatique ou l’équipe sécurité de l’entreprise et indiquez-leur ce que vous avez trouvé. Ils seront en capacité de confirmer si votre intuition était la bonne et pourront également mettre en place des protections pour les autres utilisateurs, comme mail l’email de l’envoyeur en liste noire ;
  • Vous pouvez également vérifier ou signaler un site depuis le site : https://phishing-initiative.fr/contrib/ ;
  • Vous pouvez également signalé toutes tentatives d’escroquerie sur le site du gouvernement : www.internet-signalement.gouv.fr ;
  • Suite à cela, suivez les instructions des équipes IT concernant le mail. S’il s’agit d’un cadre personnel, la CNIL recommande de supprimer le message et de vider la corbeille.

La sécurité de manière générale nécessite une attention de tous les jours et le phishing n’en fait pas exception. Vous pouvez également trouver des documents et des informations sur le site cybermalveillance.gouv.fr.

Et si vous souhaitez aller plus loin, vous formez vous ou vos équipes, Synetis, fort de son statut de centre de formation, vous accompagnera tout au long de votre projet.

Brian Nicolas-Nelson

Consultant Sécurité Opérationnelle