Qu'est-ce que l'usurpation d'adresse e-mail ?

L'une des méthodes les plus sournoises et les plus efficaces utilisées par les cybercriminels pour créer des e-mails de hameçonnage crédibles est une technique appelée « usurpation d'adresse e-mail ». En se renseignant davantage sur cette pratique, en apprenant à repérer un e-mail usurpé et en découvrant comment s'en prémunir, les entreprises peuvent éviter bien des ennuis.

Qu'est-ce que l'usurpation d'adresse e-mail ?

Dans le cadre d'une cyberattaque par usurpation d'adresse e-mail, les cybercriminels tentent de piéger leurs victimes pour qu'elles leur communiquent des informations personnelles, leur versent de l'argent ou leur transmettent des données financières, ou encore qu'elles téléchargent des logiciels malveillants, en leur envoyant des e-mails malveillants qui semblent provenir de sources fiables, telles qu'une marque, une organisation, une agence gouvernementale ou un partenaire commercial légitime.

Usurpation d'identité vs hameçonnage

L'usurpation d'adresse e-mail est une technique couramment utilisée dans le cadre d'une attaque de phishing. Même si toutes les attaques de phishing n'impliquent pas nécessairement des e-mails usurpés, un message usurpé est un bon indicateur permettant de déterminer si un message inhabituel constitue une tentative de phishing.

Usurpation d'adresse IP vs. usurpation d'identité

L'usurpation d'identité ou la fraude à la marque fait généralement partie intégrante d'une attaque par usurpation d'adresse e-mail. À l'aide de cette technique, les cybercriminels tentent d'imiter un message provenant d'une marque connue, telle que Microsoft, DHL ou UPS, afin de donner à leurs victimes un faux sentiment de sécurité et de faire passer leur message malveillant pour une communication authentique et courante.

Pourquoi les pirates informatiques ont-ils recours à des e-mails frauduleux ?

Les cybercriminels ont recours à l'usurpation d'adresse e-mail dans le cadre d'attaques de phishing pour diverses raisons, notamment :

Tirer parti de la bonne réputation d'une personne ou d'une organisation de confiance

Les pirates informatiques adorent se servir de la bonne réputation d'autrui pour se donner une apparence de fiabilité. L'usurpation d'identité est un moyen rapide pour eux d'y parvenir. Les marques les plus souvent usurpées sont aussi celles avec lesquelles les gens interagissent quotidiennement. Ces marques sont familières et jouissent généralement d'une grande confiance. DHL, Microsoft, WhatsApp, Google et LinkedIn sontles cinq marques les plus souvent usurpées.

Pour contourner les filtres anti-spam et les listes noires

En usurpant l'identité d'entreprises ou de personnes avec lesquelles la victime correspond régulièrement, les cybercriminels ont plus de chances de contourner les mesures de protection courantes, telles que les filtres anti-spam ou les listes d'expéditeurs bloqués. Les messages usurpés, en particulier ceux liés à de nouvelles arnaques, peuvent également passer plus facilement à travers les passerelles de messagerie sécurisées.

Pour inciter les victimes à télécharger des logiciels malveillants

Se présenter sous un jour fiable est un excellent moyen d'amener les victimes à faire confiance aux liens et aux pièces jointes contenus dans un message malveillant. Cela permet aux cybercriminels d'utiliser facilement des messages falsifiés pour déployer des logiciels malveillants, tels que des ransomwares.

Pour mener des attaques par usurpation de compte de messagerieprofessionnel

L'usurpation d'identité est une tactique couramment utilisée dans le cadre des attaques de type « Business Email Compromise » (BEC). Les cybercriminels choisissent d'usurper l'identité de l'expéditeur de messages provenant de l'intérieur même d'une entreprise, car les employés ne les examinent pas de trop près. Parfois, ces messages semblent provenir de cadres supérieurs que les employés souhaitent satisfaire, ce qui les rend plus enclins à fournir les informations demandées. Les cybercriminels usurpent également l'identité des fournisseurs et des partenaires d'une entreprise pour tromper les employés. Le Business Email Compromise (BEC) est la cyberattaque la plus coûteuse qu'une entreprise puisse subir. Selon le Centre de signalement des crimes sur Internet du FBI (Federal Bureau of Investigation), son coût est64 fois supérieur à celui d'une attaque par ransomware.

Se faire passer pour un organisme public

L'usurpation d'identité dans les messages officiels est une tactique couramment utilisée dans les opérations de hameçonnage, car ces messages ont davantage de chances de paraître dignes de confiance. Les gens se laissent également facilement intimider par ces messages, qui créent un sentiment d'urgence poussant les victimes à communiquer des données financières ou personnelles. Par exemple, les cybercriminels se font souvent passer pour l'Internal Revenue Service américain à l'approche des dates limites de déclaration d'impôts afin de piéger les contribuables peu méfiants.

Pour tirer profit des situations d'urgence ou des catastrophes

Les malfaiteurs n'hésiteront pas à profiter d'une situation stressante pour en tirer profit. Pendant la pandémie de COVID-19, des cybercriminels ont usurpé l'identité del'Organisation mondiale de la santé (OMS)pour inciter leurs victimes à télécharger une carte de l'exposition au COVID-19 qui s'est avérée être un rançongiciel.

L'usurpation d'adresse e-mail est-elle fréquente ?

L'usurpation d'adresse e-mail est extrêmement courante. On estime que25 % de tous les e-mails de marqueque les gens reçoivent sont en réalité des messages malveillants issus d'une usurpation d'adresse. Il s'agit également d'un risque qui connaît une croissance exponentielle. L'usurpation d'adresse a explosé deplus de 360 %depuis 2020.

Comment fonctionne l'usurpation d'adresse e-mail ?

Les cybercriminels peuvent emprunter plusieurs voies pour créer et utiliser un message falsifié. En général, ce processus commence par la création, par le cybercriminel, d’un faux domaine crédible à partir duquel il enverra son message falsifié. Ensuite, il peut envoyer un message authentique de la marque et se contenter de modifier le texte et les liens. Il peut également rédiger lui-même son faux message, en s'efforçant de lui donner une apparence similaire à celle d'un message légitime provenant de l'expéditeur supposé. Une fois prêt, il envoie le message à des victimes potentielles, souvent en utilisant des listes d'adresses e-mail et des fichiers obtenus sur le dark web.

Quel est un exemple d'e-mail frauduleux ?

Voici des exemples concrets d'usurpation d'adresse e-mail utilisés dans le cadre d'attaques de phishing qui ont abouti.

• Les employés de la société technologique Seagate ont reçu des courriels provenant d'une personne se faisant passer pour lePDG de l'entreprise, qui leur demandait de fournir de nouveaux formulaires W-2. Le message semblait authentique, et de nombreux employés ont transmis leurs données personnelles et financières à des cybercriminels.
• Des cybercriminels ont usurpél'identité de l'Union Bankpour envoyer des messages à des entreprises et à des particuliers, leur proposant des aides financières et des prêts liés à la COVID-19 dans le but de dérober leurs données personnelles et bancaires.
• Le ministère américain des Transportsa publié un avisconcernant des courriels frauduleux se faisant passer pour des communications officielles de l'Office of the Senior Procurement Executive (OSPE), notamment de faux appels d'offres (RFP) et demandes d'informations (RFI).

Peut-on détecter l'usurpation d'adresse e-mail ?

Il est possible de détecter l'usurpation d'adresse e-mail si vous connaissez les signes qui la trahissent et que vous prenez soin de les repérer dans les messages inattendus. Il est également important de savoir quelles marques sont le plus souvent victimes d'usurpation afin de savoir quand redoubler de vigilance. Malheureusement,97 % des employésne sont pas en mesure de reconnaître les menaces sophistiquées de hameçonnage telles que l'usurpation d'adresse.

Comment savoir si un e-mail est un faux ?

Ces signaux d'alerte peuvent indiquer qu'un message est falsifié.

Vérifiez les informations d'en-tête de l'e-mail

• L'adresse e-mail de l'expéditeur correspond-elle au nom d'affichage ? Si l'adresse e-mail associée au nom d'affichage appartient en réalité à quelqu'un d'autre, le message est peut-être un faux.
• L'en-tête « Reply-To » correspond-il à la source ? Si l'adresse de réponse ne correspond pas à celle de l'expéditeur ou du site qu'il prétend représenter, il y a de fortes chances qu'il s'agisse d'un faux.
• Déterminez d'où provient la « voie de retour ». Cela permet d'identifier l'origine du message, et si celle-ci semble inhabituelle, cela peut indiquer qu'il s'agit d'un message falsifié.

Observez les caractéristiques physiques

Examinez attentivement la mise en page, les logos, les couleurs et les polices utilisées dans le message afin de repérer d'éventuelles incohérences. Si quelque chose vous semble suspect, fiez-vous à votre instinct et cessez toute interaction avec ce message.

Examinez le contenu

Le message ressemble-t-il aux autres que vous avez reçus de cet expéditeur en termes d'orthographe, de grammaire et de style ? Si ce n'est pas le cas, il s'agit peut-être d'un message falsifié. Le message vous pousse-t-il à agir de toute urgence pour éviter des conséquences ? Il s'agit d'une technique couramment utilisée par les cybercriminels dans les messages falsifiés destinés au phishing.

Comment éviter d'être victime d'un e-mail frauduleux

Même s’il est impossible d’empêcher les personnes malveillantes d’envoyer des e-mails frauduleux, vous pouvez, grâce à des outils adaptés, protéger votre entreprise contre ce type d’attaques.

Passerelles de messagerie sécurisées (SEG)

Un SEG utilise les données issues des rapports de veille sur les menaces pour détecter l'usurpation d'adresse e-mail et bloquer les messages de phishing, afin d'empêcher les messages falsifiés d'atteindre leur destinataire.

Protocoles d'authentification

Ces protocoles d'authentification courants permettent également d'empêcher l'usurpation d'identité :

DomainKeys Identified Mail (DKIM) :DKIM est un protocole standard d'authentification des e-mails qui utilise un cryptage asymétrique pour créer une paire de clés privée et publique, la clé publique étant publiée dans l'enregistrement DNS du domaine. Cela s'effectue en ajoutant une signature numérique à l'en-tête d'un e-mail sortant. Lorsque le serveur destinataire reçoit l'e-mail comportant la signature dans son en-tête, il demande un enregistrement TXT de clé publique unique afin de vérifier l'authenticité du domaine de l'expéditeur.

Sender Policy Framework (SPF) :le SPF est un protocole d'authentification des e-mails qui permet aux organisations de désigner les serveurs de messagerie ou les adresses IP autorisés à envoyer des e-mails en leur nom. Lorsque le serveur du destinataire reçoit l'e-mail, il vérifie les enregistrements DNS afin de déterminer si l'adresse IP figure dans l'enregistrement SPF. Si ce n'est pas le cas, l'e-mail n'est pas authentifié.

Authentification, signalement et conformité des messages basés sur le domaine (DMARC) :le protocole DMARC permet de déterminer si un e-mail falsifié doit être accepté ou rejeté par les destinataires, en fonction d'un ensemble de critères définis, en association avec les normes de messagerie SPF et DKIM.

Formation à la sensibilisation à la sécurité :la formation à la sensibilisation à la sécuritéaide les employés à mieux cerner les menaces liées au hameçonnage, telles que l'usurpation d'identité. Elle leur permet également d'adopter de bonnes pratiques en matière de cybersécurité et de prendre conscience des dangers liés, par exemple, à l'ouverture de messages suspects ou à la divulgation d'informations sensibles à des personnes mal intentionnées. Grâce à des simulations de hameçonnage, les employés acquièrent l'expérience nécessaire pour repérer des situations à risque, comme l'usurpation d'identité, à partir d'exemples concrets.

Logiciels anti-malware et anti-hameçonnage :les logiciels de sécurité des e-mailsdotés de protections anti-hameçonnage et anti-malware offrent une protection efficace contre l'usurpation d'identité et autres messages de hameçonnage malveillants. Les technologies d'IA et d'automatisation de la sécurité renforcent encore cette protection en s'appuyant sur l'apprentissage automatique pour éliminer le besoin de rapports de menaces téléchargés, ce qui permet au logiciel de détecter également les nouvelles menaces et les menaces « zero-day ».

Prévenez l'usurpation d'adresse e-mail avec Kaseya 365

Kaseya 365 , une solution basée sur une API, Kaseya 365 les entreprises contre l'usurpation d'identité grâce à une IA intelligente qui empêche automatiquement les employés de voir les attaques de phishing sophistiquées. Kaseya 365 est une solution native du cloud, rapide à déployer, qui fonctionne de manière autonome ou vient renforcer la sécurité native de la messagerie de Microsoft 365 ou de Google Workspace. Et toute cette protection est proposée à la moitié du prix de nos concurrents. Découvrez Kaseya 365 .