Les emails de phishing usurpant l’identité de marques bien connues et de VIP au sein d’une entreprise représentent un problème majeur pour les équipes de sécurité. Nous sommes donc ravis d’annoncer que vous pourrez désormais détecter et bloquer ces attaques d’usurpation d’identité avec Sophos Email Advanced.
Les attaques de phishing visant la messagerie par usurpation d’identité en action
Dans notre dernière étude, nous avons constaté que cinq entreprises sur dix considéraient les emails malveillants comme leur principal problème de sécurité, 53% d’entre elles ayant subi une attaque de phishing au cours des douze derniers mois.
Les attaques d’usurpation d’identité sont souvent les plus difficiles à combattre, et généralement sans charge virale malveillante à détecter. Dans ces attaques, les cybercriminels tentent régulièrement de tromper les employés, en utilisant le nom d’un expéditeur de confiance pour inciter les victimes à répondre, à cliquer sur un lien, à ouvrir une pièce jointe, etc.
S’appuyant sur les utilisateurs pour simplement analyser les adresses des expéditeurs d’emails, ces attaques utilisent une falsification du nom affiché afin de modifier la partie visible de l’adresse email que nous voyons apparaître dans de nombreux clients de messagerie classiques.
Changer le nom affiché en le remplaçant par celui d’une marque de confiance ou d’un cadre supérieur au sein d’une entreprise est une technique, utilisée par les attaquants, simple mais efficace.
Ces attaques utilisent des comptes de messagerie gratuits et, dans le cas d’attaques plus ciblées, sont connues pour imiter des noms de domaine, comme ceux des entreprises visées par exemple.
Les dernières nouveautés
L’amélioration la plus récente apportée à Sophos Email Advanced offre une protection majeure contre ces attaques de phishing par usurpation d’identité ainsi que plusieurs autres améliorations importantes :
- La comparaison des noms affichés au niveau des emails entrants avec ceux de services Cloud couramment abusés et de VIP au sein de l’entreprise des clients, à la recherche de potentielles correspondances. Il peut s’agir du PDG, du directeur financier et du directeur des ressources humaines, etc.
- La mise à disposition d’un assistant simple pour identifier et ajouter des VIP au sein de l’entreprise afin de mettre à jour votre politique d’analyse de tous les messages entrants.
- La comparaison des informations d’entête, en analysant le nom affiché par rapport à l’adresse email complète et au nom de domaine utilisés, afin d’identifier les domaines de messagerie gratuits, les domaines imitant des services Cloud populaires tels que Microsoft, Amazon ainsi que les tentatives d’usurpation d’identité de VIP.
Identifier les VIP
Les VIP sont des employés de l’entreprise qui sont les plus susceptibles d’être victimes d’attaques d’usurpation d’identité par phishing.
Alors que tous les utilisateurs recevront la même protection, le système recherchera les expéditeurs externes qui essaient de se faire passer pour vos VIP, et vous pourrez ajouter jusqu’à 200 VIP à votre liste.
La création d’une liste VIP dans Sophos Central ne peut pas être plus simple. Vous pouvez choisir “Ajouter des VIP” (Add VIPs) en recherchant dans votre liste d’utilisateurs des individus connus.
Sinon, si la synchronisation Active Directory a été activée, sélectionnez “Aide pour trouver des VIP” (Help me find VIPs) et Sophos Email recherchera les utilisateurs dont les rôles correspondent aux titres les plus susceptibles d’être usurpés :
- PDG
- Président
- Directeur Financier
- CFO ou DAF
- Directeur des Ressources Humaines
- Directeur RH
Agir sur la menace
Ce nouveau service permet aux administrateurs de messagerie d’agir sur les menaces potentielles avec des contrôles de politique pour mettre en quarantaine les messages suspects, taguer la ligne d’objet, les supprimer ou bien avertir les utilisateurs avec une bannière qui sera ajoutée au niveau des emails entrants.
Le rapport amélioré concernant les “Utilisateurs à Risque” (At Risk Users) offre un niveau de visibilité supérieur sur ces menaces de phishing. Il fournit une décomposition des tentatives d’usurpation d’identité par phishing qui ont eu lieu, ainsi que tous les utilisateurs qui ont été avertis ou bloqués lors de la visite d’URL avec du contenu malveillant. Les différents niveaux d’exploration fournissent des informations supplémentaires, comme notamment :
- Le nombre d’emails d’usurpation d’identité reçus par l’utilisateur vous permet de vérifier facilement les employés les plus ciblés.
- Le type d’usurpation d’identité : usurpation d’identité VIP ou de marque.
- Les informations récapitulatives pour chaque email de phishing, notamment le nom affiché et l’adresse email utilisés, et si le destinataire a répondu.
- La visibilité complète de l’entête de l’email, du contenu du message et des types de pièces jointes.
Protection haut de gamme contre le phishing
Le niveau de protection contre le phishing ajouté à Sophos Email dans cette dernière version offre une valeur ajoutée incroyable, avec des contrôles simples qui permettent de s’assurer qu’une protection soit bien mise en œuvre rapidement.
Ingénierie sociale
Les messages suspects peuvent être bloqués, mis en quarantaine, avoir une ligne d’objet taguée ou bien recevoir une bannière d’avertissement additionnelle.
Outre la nouvelle protection contre l’usurpation d’identité, Sophos Email analyse tous les emails entrants en temps réel, recherchant les principaux indicateurs de phishing avec les techniques d’authentification SPF, DKIM et DMARC et l’analyse des anomalies dans les entêtes d’emails.
URL et pièces jointes malveillantes
Détection d’URL malveillante en temps réel et sandboxing basé sur l’IA.
Pour une protection optimale contre le phishing mis en oeuvre par des URL malveillantes ou des pièces jointes susceptibles de contenir des malwares, Sophos Email offre une analyse des URL en temps réel et une réécriture Time-of-Click de ces dernières pour analyser toute URL avant qu’un utilisateur ne clique dessus. Ensuite, Sophos Sandstorm, notre sandbox Cloud basé sur l’IA, ‘déclenche’ les fichiers suspects afin de garantir que les malwares n’atteignent jamais la boîte de réception.
Formation/sensibilisation des utilisateurs
Formation de sensibilisation à la cybersécurité intelligente.
Sophos Synchronized Security connecte Sophos Email à Phish Threat, la plateforme Sophos de simulation et de formation au phishing.
Les utilisateurs qui ont été avertis ou bloqués, lors de la visite d’un site web à risque ou lors de l’envoi d’une réponse à un email de spear phishing, sont identifiés, puis inscrits de manière transparente à des simulations et des formations au phishing ciblé, afin de les sensibiliser davantage. Une licence Phish Threat est requise.
Pour en savoir plus, visitez la page Sophos Email Security.
Billet inspiré de Don’t let imposters into your inbox, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.