Comment fonctionne l'usurpation d'e-mails
Un e-mail peut être divisé en deux sections principales : les en-têtes et le corps. Le but des en-têtes est de fournir les métadonnées et les informations nécessaires pour acheminer l'e-mail vers sa destination. Le corps de l'e-mail est le véritable message transmis.
Le protocole SMTP (Simple Mail Transfer Protocol) définit la structure des e-mails et la façon dont les ordinateurs communiquent par e-mail. Lorsque le SMTP a été développé, la sécurité n'était pas une priorité et le protocole a été conçu sans aucun moyen de vérifier l'authenticité des en-têtes de courrier électronique.
L'usurpation d'e-mails en profite en modifiant la valeur de l'en-tête FROM, qui doit contenir l'adresse e-mail de l'expéditeur. Cette valeur est utilisée uniquement pour informer le destinataire de l'identité de l'expéditeur. La modifier n'entraînera pas l'échec de l'e-mail.
Cependant, l’adresse FROM peut être utilisée pour diriger les réponses à un e-mail, ce qui pourrait poser problème pour certaines campagnes d’hameçonnage. Cependant, la norme SMTP inclut également un en-tête REPLY-TO dans lequel l'expéditeur peut spécifier que les réponses à un e-mail doivent être envoyées à une adresse différente. Ce champ est couramment utilisé dans les envois d’e-mails marketing, mais peut également être utilisé par un hameçonnage pour recevoir des réponses aux e-mails d’hameçonnage dont l’adresse a été usurpée.
Comment identifier un e-mail falsifié
Les e-mails falsifiés font partie de phishing les campagnes, qui sont conçues pour inciter le destinataire à prendre des mesures susceptibles d'aider l'attaquant. Si un e-mail contient un lien intégré sur lequel cliquer, une pièce jointe ou demande une autre action, il est sage de vérifier qu'il n'y a pas d'usurpation d'identité.
Dans certains cas, l'attaquant peut utiliser une adresse réelle et similaire, par exemple en remplaçant cornpany.com par company.com. Dans d'autres cas, la valeur de l'en-tête FROM peut être remplacée par une adresse légitime qui n'est pas contrôlée par l'expéditeur.
Alors que le premier cas peut généralement être détecté en examinant attentivement l'adresse e-mail de l'expéditeur, le second peut nécessiter des recherches plus approfondies. Les adresses FROM falsifiées peuvent être identifiées sur la base de :
- Contexte : Les e-mails d’hameçonnage sont conçus pour avoir l’air légitimes, mais ils ne réussissent pas toujours. Si un e-mail ne semble pas provenir de l’expéditeur présumé, il peut s’agir d’un e-mail d’hameçonnage usurpé.
- Réponse à : Une adresse de réponse permet de rediriger les réponses à un e-mail d'une adresse vers une autre. Bien que cela ait des utilisations légitimes (comme des campagnes de masse par e-mail), c'est inhabituel et devrait donner lieu à des soupçons quant aux e-mails provenant d'un compte personnel.
A reçu : L'en-tête RECEIVED d'un e-mail indique les adresses IP et les noms de domaine des ordinateurs et des serveurs de messagerie sur le chemin parcouru par le courrier électronique. Un e-mail en provenance et à destination d'adresses e-mail au sein de la même entreprise ne doit passer que par le serveur de messagerie de l'entreprise.
Comment se protéger contre l'usurpation d'adresse e-mail
L’essor des e-mails d’hameçonnage fait de la prévention de l’hameçonnage un élément central d’une entreprise Protection de la messagerie stratégie. Quelques bonnes pratiques clés pour Protection contre les attaques d’hameçonnage inclure :
- Étiqueter les e-mails externes : Les e-mails falsifiés prétendent souvent provenir d'adresses internes mais proviennent de l'extérieur de l'entreprise. L'ajout d'une bannière d'avertissement à tous les e-mails externes aide les destinataires à identifier les tentatives d'usurpation d'e-mails.
- Activez la protection des e-mails : Les protections des e-mails, telles que la DMARC et le SPF, ajoutent des informations d'authentification aux e-mails. Il est donc plus difficile pour un attaquant d'envoyer des e-mails falsifiés depuis les domaines d'une entreprise.
- Vérifiez l'adresse e-mail : Les hameçonneurs utilisent souvent des adresses similaires pour donner à leurs e-mails une apparence plus légitime. Vérifiez que l'adresse de l'expéditeur d'un e-mail est correcte avant de lui faire confiance.
- Vérifiez les en-têtes des e-mails : L'usurpation d'identité fonctionne en modifiant les en-têtes SMTP des e-mails. Si un e-mail vous semble suspect, vérifiez qu'il n'y a pas d'incohérences dans les en-têtes.
Protection contre l’usurpation d’adresse e-mail avec Point de contrôle
Les e-mails frauduleux sont conçus pour être trompeurs, ce qui signifie que les employés peuvent avoir du mal à identifier les attaques sophistiquées d’hameçonnage. Un simple clic sur un lien malveillant ou l’ouverture d’une pièce jointe chargée de logiciels malveillants peut causer des dommages importants à l’entreprise. Les e-mails d’hameçonnage sont l’une des principales causes de violations de données et l’un des principaux mécanismes de diffusion des logiciels malveillants.
Pour cette raison, la formation en cybersécurité des entreprises pour la détection des e-mails d’hameçonnage devrait être complétée par une solide Solution anti-hameçonnage. Point de contrôle, en collaboration avec Avanan, a développé Harmony email and collaboration , qui offre une protection complète contre la fraude par hameçonnage. Pour en savoir plus sur Harmony Email and Collaboration et sur la façon dont il peut contribuer à atténuer la menace que représentent les e-mails d’hameçonnage frauduleux pour votre organisation, vous pouvez consulter inscrivez-vous pour un démo gratuit.
Commentaires