Pas de crise pour les fraudeurs ! Depuis la crise du Covid ils multiplient les actes de piraterie en ligne, notamment de phishing, piégeant ainsi de nombreuses entreprises. Il est pourtant possible de réduire ce risque majeur en se concentrant sur les signaux de préattaque.
Joli doublé ! Covid aidant, le nombre d’arnaques en ligne serait passé de 139 à 266 millions, soit 91,37 % d’augmentation entre 2019 et 2020, selon le rapport de Scamadviser, un expert de anti-phishing, qui souligne que la plupart des attaques sont des attaques de phishing et que quasiment aucun pays n’est épargné.
Rappelons-le, le phishing, ou hameçonnage, est une technique destinée à leurrer les internautes en les incitant à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance. La porte d’entrée principale ? Le nom de domaine. En effet, pour créer l’adresse email frauduleuse qui sera utilisée pour leurs opérations de phishing, les pirates ont souvent besoin d’enregistrer au préalable un nom de domaine trompeur.
Ce qu’ils ne se sont pas privés de faire pendant la crise du Covid : jusqu’à un millier de sites web utilisant les noms de domaine « Covid » ou « Corona » auraient été créés chaque jour.
SE CONCENTRER SUR LES SIGNAUX DE PRÉATTAQUE
Certaines recommandations, que nous rappellerons plus loin, permettent de limiter les risques au niveau des utilisateurs. Elles sont en revanche insuffisantes pour assurer la sécurité d’une entreprise et de son système d’information. Une approche globale est nécessaire.
La solution spécifique développée par EBRAND répond à cet objectif en mettant à la disposition des responsables sécurité des entreprises deux grandes fonctionnalités destinées à lutter contre le phishing sur Internet : X-RAY Radar et X-RAY Tracker. Elles se concentrent en effet sur les signaux de préattaque, tels que créations de noms de domaine et/ou changements affectant ceux-ci.
X-RAY Radar, une fonctionnalité interconnectée dédiée à la surveillance intégrale de l’utilisation des noms de domaine, des certificats SSL, des sous-domaines, des logos, des réseaux sociaux et du Dark Web, permet d’identifier et de détecter, à l’instant T et 24h/24, 7j/7 :
- tout nouvel enregistrement de nom de domaine (ou son expiration), la création de sous-domaines, et l’activation de nouveaux certificats SSL utilisés par les cybercriminels pour leurs opérations de phishing ;
- les noms de domaine et les sous-domaines existants, identiques, contenant ou approchant celui de votre entreprise, de ses produits, de ses mots-clés, de ses adresses email ou de tout autre élément vital à son activité sur Internet (homoglyphes, homographes, fautes de frappe, etc.) ;
- l’usage de votre logo sur l’ensemble des sites web disponibles sur Internet par une recherche d’image inversée ;
- les fuites de données (identifiant et mot de passe d’adresses email par exemple) en circulation sur le Dark Web.
X-RAY TRACKER est une fonctionnalité de pistage qui permet de détecter tout changement, de façon continue, dans différentes catégories de données liées aux noms de domaine : nouvel enregistrement dans la zone DNS (activation d’email par exemple), informations publiées dans les WHOIS (changement de serveur DNS ou de titulaire par exemple), contenu de pages Web et certificats SSL.
Ainsi lorsque la surveillance X-RAY Radar détecte un enregistrement suspect non encore exploité, X-RAY Tracker le suit afin d’identifier tout changement et ainsi évaluer les risques de phishing et d’activité malveillante au fil du temps.
En outre, X-RAY Tracker permet également de surveiller son propre portefeuille de noms de domaine, afin d’identifier les altérations appliquées aux noms stratégiques de l’entreprise et ainsi détecter tout changement non autorisé.
SIGNALER ET BLOQUER LES SITES MALVEILLANTS
La fonctionnalité Blocklist permet de signaler, en un clic, un nom de domaine utilisé pour du phishing auprès de notre réseau de partenaires anti-phishing (APWG, Phishtank, OpenPhish, Scamadvisor, Google Safe Browsing). X-RAY permet ainsi de bloquer l’accès à un site Internet frauduleux depuis les navigateurs Web. Des actions complémentaires de suppression sur la base d’un fondement juridique peuvent aussi être demandées afin de récupérer ou supprimer le nom de domaine.
AUTOMATISER UN PROCESSUS DE SÉCURITÉ
Une fois la solution X-RAY interfacée à votre système d’information via l’API dédiée, il devient possible d’automatiser un processus de sécurité visant à blacklister de votre messagerie tous les noms de domaine suspects détectés par la surveillance horaire X-RAY Radar. Cette stratégie présente deux principaux avantages :
- elle protège les utilisateurs de l’entreprise en évitant la réception d’emails frauduleux visant à tromper leur vigilance (phishing visant à collecter des données confidentielles, arnaque au président…),
- elle représente un gain de temps considérable pour le responsable de la sécurité des systèmes d’information de l’entreprise (pas besoin d’analyser de longs rapports de surveillance pour agir rapidement).
Anti-Phishing: CONSEIL D’EXPERT
En matière de anti-phishing, le facteur le plus important est le temps. Plus tôt vous pouvez détecter les signaux de préattaque, mieux vous pourrez anticiper les risques. C’est la raison pour laquelle la solution X-RAY se concentre sur ces différents signaux, pour vous alerter dès qu’une menace potentielle est détectée. La surveillance horaire procure en effet la latitude nécessaire pour agir ou réagir dans les délais les plus brefs. Vous trouverez de plus amples informations sur la solution X-RAY en cliquant sur ce lien.
À noter également qu’il est toujours utile, en complément, de partager avec vos collaborateurs les recommandations suivantes :
- N’ouvrez pas les emails douteux
- Ne cliquez pas sur un pop-up pour anti-virus
- Choisissez des mots de passe compliqués, ne les réutilisez pas et modifiez-les fréquemment
- Utilisez un VPN (virtual private network), soit un Réseau Privé Virtuel
- Ne consultez que des sites dont l’URL commence par les lettres HTTPS
- Sécurisez votre connexion Wi-Fi
- Assurez-vous que votre anti-virus soit activé
- Installez des outils de chiffrement et utilisez une solution d’authentification multi-facteurs, dite MFA (deux identifiants de connexion sont nécessaires pour valider une identité).
Par Raphaël TESSIER et Sophie AUDOUSSET pour EBRAND France.