Les e-mails de phishing sont toujours l'un des vecteurs d'attaque les plus utilisés. Les acteurs de la menace créent un prétexte convaincant dans les e-mails qui dupent les victimes pour qu'elles révèlent des mots de passe, téléchargent des logiciels malveillants ou initient sans le savoir des transactions frauduleuses. Ce prétexte exploite le comportement humain et la psychologie.
De nombreuses campagnes de phishing réussies aujourd'hui sont plus sophistiquées et ciblées que les e-mails de phishing de masse traditionnels, qui étaient généralement envoyés à plusieurs personnes à la fois dans l'espoir de tromper une personne pour qu'elle entreprenne une action souhaitée. Aujourd'hui, le harponnage est la norme ; ces e-mails voient les acteurs de la menace se concentrer délibérément sur des individus spécifiques et adapter les messages pour augmenter la probabilité de tromperie. Cet article fournit un guide complet sur les conseils pratiques pour la défense contre le spear phishing.
Le problème croissant du harponnage
Avant d'approfondir certains conseils de défense contre le spear phishing, il convient de souligner à quel point le problème du spear phishing est répandu et dommageable. Dans un rapport, 65 % des groupes de menaces connus utilisaient les e-mails de spear phishing comme moyen le plus populaire pour lancer des cyberattaques. La premier trimestre de 2022 à elle seule, plus d'un million d'attaques par hameçonnage ont été enregistrées, avec une augmentation de 1 % du vol d'informations d'identification par hameçonnage. Et avec des attaques de spear phishing réussies qui coûtent des millions de dollars aux entreprises, une défense complète contre ces e-mails ciblés devrait être une priorité de sécurité absolue pour les RSSI.
Défense contre le harponnage
Voici quelques conseils pour la défense contre le spear phishing couvrant les utilisateurs, la technologie et les stratégies post-attaque.
Amélioration de la formation et de la sensibilisation des utilisateurs
La formation et la sensibilisation des utilisateurs doivent être améliorées au-delà des modules de phishing typiques qui renseignent sur les signes de campagnes de phishing de masse (par exemple, adresses e-mail non fiables ou fautes d'orthographe/grammaire évidentes dans le corps du message). La détection des e-mails de spear phishing nécessite une attention particulière aux détails les plus fins, notamment :
- Imitation d'adresses e-mail légitimes : Les auteurs de menaces enregistrent souvent des domaines typosquattés qui ne comportent que de légères fautes d'orthographe ou des écarts par rapport aux domaines d'entreprise légitimes. Un examen attentif des adresses e-mail peut éliminer de nombreuses attaques.
- Un sentiment d'urgence: Les e-mails d'hameçonnage ciblé exploitent régulièrement l'urgence, avec la menace de connotations négatives pour la victime si elle ne télécharge pas un lien, ne révèle pas d'informations ou n'initie pas une transaction dès que possible. Les utilisateurs doivent apprendre à traiter les demandes urgentes qui sortent de nulle part avec la plus grande méfiance.
- Tonalité inconnue: Usurper l'identité d'une personne connue et digne de confiance d'une cible est l'un des principaux moyens par lesquels les acteurs de la menace réussissent avec des attaques de spear phishing. Un ton inhabituel, comme être trop décontracté ou formel par rapport à d'habitude, devrait déclencher des signes avant-coureurs immédiats mettant en doute l'authenticité de l'e-mail.
Les cybercriminels utilisent le spear phishing parce qu'un niveau élevé de personnalisation dissipe les doutes dans l'esprit des cibles. Mais en orientant l'éducation vers les signes les plus subtils du spear phishing, les utilisateurs sont prêts à réfléchir de manière critique à la validité des e-mails qu'ils reçoivent, même lorsqu'ils semblent provenir d'une source fiable.
Idéalement, une sensibilisation continue par le biais de dépliants disséminés dans le bureau et de bulletins d'information peut renforcer ces signes avant-coureurs. Les attaques simulées qui incorporent des e-mails de spear phishing peuvent également s'avérer inestimables pour fournir aux utilisateurs un test acide de leur sensibilité à ces escroqueries.
Solutions de sécurité avancées
Une autre raison pour laquelle les e-mails de spear phishing ont tendance à fonctionner est que la sécurité des e-mails standard et d'autres solutions ne sont pas efficaces pour filtrer ces messages avant qu'ils ne se retrouvent dans les boîtes de réception des employés. Heureusement, plusieurs développements technologiques au cours des dernières années ont conduit à des innovations en matière de sécurité, avec des solutions plus avancées utilisant des fonctionnalités telles que :
Apprentissage automatique
Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.
Solutions de sécurité des e-mails alimentées par machine learning améliorent progressivement leurs performances de détection des e-mails de phishing en utilisant des ensembles d'apprentissage de milliers d'e-mails, de liens et de pièces jointes. Les modèles d'apprentissage automatique peuvent apprendre à classer les e-mails ciblés en examinant les URL ou en examinant le code HTML dans les pages Web vers lesquelles ces e-mails dirigent les utilisateurs.
La notation automatisée basée sur le contenu de l'e-mail, le lien et le risque/la réputation du domaine d'envoi peut aider à détecter les e-mails de spear phishing qui utilisent des domaines similaires ou typosquattés. Ces solutions déterminent ensuite si un e-mail donné dépasse un seuil de risque prédéfini, ce qui entraîne soit la suppression de l'e-mail, soit sa mise en quarantaine.
Vision par ordinateur
Des solutions innovantes basées sur le client utilisent la vision par ordinateur pour aider à se défendre contre les e-mails de spear phishing qui dépassent les listes noires, peut-être parce qu'il n'y a pas de réputation négative connue associée à un domaine similaire nouvellement enregistré. Lorsqu'un utilisateur clique sur un lien dans l'un de ces e-mails, la vision par ordinateur est capable d'analyser visuellement la page et de déterminer s'il s'agit d'un site légitime ou d'un site de phishing.
DMARC
Ce protocole d'authentification des e-mails a été publié pour la première fois en 2012 dans le but de lutter contre les e-mails frauduleux à grande échelle. Étonnamment peu d'entreprises l'implémentent, il vaut donc la peine de rechercher une solution qui effectue des vérifications DMARC.
Ces vérifications aident à identifier les e-mails avec des en-têtes usurpés que les utilisateurs ne remarquent pas nécessairement. Lorsqu'une vérification DMARC signale des e-mails provenant de sources dont l'authentification a échoué, votre solution peut alors filtrer ou mettre en quarantaine les e-mails avant que les utilisateurs ne les reçoivent.
Isolement du navigateur
Un autre type de solution connexe à considérer est l'isolation du navigateur, qui exécute les navigateurs Web dans un bac à sable isolé du reste du système d'un utilisateur et de votre réseau plus large. Étant donné que ce bac à sable est coupé du reste du système, tous les liens ou téléchargements malveillants ouverts par un utilisateur sont confinés à cet environnement de bac à sable.
Protections post-attaque
Il est toujours possible qu'il y ait des cas d'e-mails de spear phishing contournant avec succès les contrôles de sécurité et persuadant les cibles d'agir. Surtout s'il y a des lacunes dans votre pile de sécurité ou votre formation des utilisateurs. Si un employé transfère de l'argent sans le savoir sur un compte sous le contrôle de l'auteur de la menace, le meilleur espoir est de contacter la banque concernée et d'essayer d'annuler la transaction.
Cependant, il est beaucoup plus courant qu'un employé divulgue ses identifiants de connexion à un service ou à une application métier après avoir cliqué sur le lien dans un e-mail de phishing. Les cybercriminels peuvent exiger un prix élevé pour les informations d'identification volées sur le dark web, où elles finissent souvent par être revendues à d'autres acteurs de la menace pour les utiliser dans différents types de cyberattaques. Des protections post-attaque efficaces pour les informations d'identification doivent pouvoir identifier les informations d'identification divulguées avant qu'elles ne soient utilisées à d'autres fins malveillantes.
Lorsque les e-mails de harponnage poussent les utilisateurs à télécharger directement des pièces jointes malveillantes et à les ouvrir sur leurs systèmes, les bacs à sable de logiciels malveillants intégrés aux solutions et outils de sécurité des e-mails peuvent aider à empêcher les logiciels malveillants de se propager à d'autres systèmes.
Surveillance des fuites de données Flare
La solution d'empreinte numérique de Flare analyse le Web sombre, profond et clair à la recherche d'informations d'identification de compte divulguées ou volées dont vous n'auriez pas connaissance autrement. Les employés divulguent souvent ces informations d'identification sans le savoir dans des e-mails de phishing, et ils exposent votre entreprise à un risque de compromis supplémentaire.
Inscrivez-vous pour un essai gratuit de 7 jours aujourd'hui.