19 février 2021

Phishing : Du poisson à la baleine, il n’y a qu’un pas

Introduction au Phishing

Le Phishing (ou hameçonnage) est une technique parmi les plus répandues pour obtenir des renseignements personnels afin d’usurper l’identité d’une personne.

La technique est simple et s’effectue généralement par mail. Néanmoins, de plus en plus de campagnes de Phishing sont réalisées par SMS (SMiShing), WhatsApp ou encore Signal (la confidentialité des données n’a aucun impact sur ce type d’attaque). Le Phishing consiste à se faire passer pour un tiers (banque, entreprise, etc.) auprès d’une victime afin de lui soutirer des renseignements personnels tels qu’un mot de passe, des informations bancaire, numéro de sécurité sociale, etc.

La récupération de ces informations est possible en incitant la victime à se rendre sur un lien malveillant présentant une réplique d’un site officiel (banque, assurance, interface de connexion diverse, extranet, etc.).

Le Whaling, plus dangereux que le Phishing

Le Whaling (traduction : chasse à la baleine) est du Phishing basé sur du social engineering. À l’inverse du Phishing « classique » dont l’approche est de toucher le maximum de personne, le principe du Whaling est de se concentrer sur les personnes influentes des entreprises (chefs d’entreprise, décideurs, responsables, etc.).

Pour réaliser cela, l’attaquant peut usurper l’identité d’un supérieur hiérarchique ou d’une personne importante au sein de la société et vise un décisionnaire sur lequel des renseignements ont été récupérés au préalable via les réseaux sociaux (entre autres), afin de personnaliser le mail et ainsi le rendre le plus crédible possible.

Il est à noter que le Whaling et le Spear Phishing sont exactement la même chose en termes de personnalisation, à la différence près que le Whaling ne s’attaque qu’aux personnes haut placées au sein d’une société.

Quelques chiffres importants

La crise sanitaire liée à la COVID-19 a fortement fait progresser le télétravail au sein des entreprises. Les différents pirates y ont vu la possibilité d’accentuer les attaques de Phishing profitant alors de la « solitude » des employés.

En effet durant cette année certaines statistiques ont explosé :

  • 2,3 milliards d’euros en coût de cyberattaques
  • Augmentation de 220% des tentatives de Phishing
  • 88% des tentatives ont été effectuées par mail


L’histogramme ci-dessous représente les impacts des attaques de Phishing réussies :

Protocoles d’authentification SPF, DKIM, DMARC

Pour contrer ce phénomène grandissant des mails/spams et autres joyeusetés d’internet, ces protocoles tels que SPF, DKIM ou encore DMARC ont fait leur apparition au fil des années. L’objectif principal de ces derniers est de vérifier l’identité des expéditeurs :

  • SPF (Sender Policy Framework), est une norme d’authentification permettant de corréler le nom de domaine de l’adresse e-mail avec le serveur d’envoi. Celle-ci permet de définir les serveurs autorisés à envoyer un mail avec le nom de domaine, cela permet également la vérification que le mail provient bien d’un hôte (IP) autorisé par les records DNS.
  • DKIM (Domain Keys Identifier Mail) est un protocole d’authentification faisant le lien entre les noms de domaines et un message. Il permet de signer le mail avec le nom de domaine, et a pour objectif de prouver que le nom de domaine n’a pas été usurpé, mais également que le message n’a pas été modifié.
  • DMARC (Domain-based Message Authentification Reporting and Conformance) est également une norme d’authentification qui s’utilise en complément des deux précédents. Grâce à celle-ci les propriétaires du nom de domaine peuvent indiquer aux FAI (Fournisseur dAccès Internet) et clients de messagerie, la conduite à tenir lorsqu’un mail signé de leur nom de domaine n’est pas identifié par DKIM ou SPF.

Il est possible de voir si ces protocoles sont en place lorsque vous recevez un mail en regardant les détails du message.

Ce sont les principaux protocoles permettant de vérifier l’identité des expéditeurs et un des moyens les plus efficaces pour empêcher les attaquants utilisant le Phishing d’usurper une identité en utilisant le nom de domaine. Ils permettent également d’optimiser la délivrabilité des e-mails grâce à l’amélioration de l’identification du côté des FAIs et des clients de messagerie. Cela permettra ainsi aux e-mails de Phishing d’avoir plus de chance d’atterrir dans les spams, mais pour cela il est préférable d’utiliser un client mail à jour.

Quelques conseils

Le Phishing exploite principalement une faille humaine due à une non-sensibilisation dans ce domaine. De ce fait voici quelques éléments pouvant aider à la détection d’attaque de Phishing :

  • Vérifier l’adresse d’expédition et ne pas se contenter de regarder le nom de l’expéditeur
  • Vérifier l’URL présente au sein du mail avant de cliquer dessus
  • Ne jamais donner d’informations sensibles par mail
  • Réfléchir à la pertinence de la sollicitation, si celle-ci vous paraît étrange n’hésitez pas à demander plus d’informations à l’expéditeur. S’il y a un doute, il n’y a pas de doute !

Conclusion

Le Phishing exploite une vulnérabilité principale qui est l’humain, il est nécessaire d’être sensibilisé et de garder les bonnes pratiques en tête afin de pouvoir reconnaître les différents hameçonnages et ainsi éviter de divulguer ses informations ou celles de son entreprise. Pour cela des campagnes de faux Phishing et une sensibilisation de ses collaborateurs peuvent être une bonne solution !

19 février 2021 CERT

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *