Comme nos homologues moins légitimes, nous passons nos journées à utiliser des techniques d’ingénierie sociale pour inciter les gens à ouvrir des messages malveillants et à cliquer sur des liens qu’ils devraient en fait ignorés.
Comprendre l’approche des attaquants vous permet de repérer les emails de phishing lorsqu’ils arrivent dans votre boîte de réception.
Après avoir créé et suivi les performances de centaines de simulation d’email de phishing, nous souhaitons vous faire profiter de notre approche afin que vous puissiez rapidement signaler un potentiel problème.
En général, les phishers doivent suivre quatre étapes principales lors de la création d’emails de phishing convaincants. Ainsi, la compréhension de ces étapes vous aidera à les repérer et à les stopper.
Étape 1 : Choisissez votre cible
Nous sommes tous différents et ne tombons pas dans les mêmes pièges, donc plus vous disposez d’informations sur votre cible, plus il vous sera facile de créer un appât convaincant.
Le public peut être large, par exemple les utilisateurs d’une banque en particulier ou les personnes qui doivent faire une déclaration de revenus, ou bien la cible peut être encore plus spécifique, comme un rôle particulier au sein d’une entreprise voire même un individu bien précis.
Quoi qu’il en soit, nous avons toujours, comme nos adversaires d’ailleurs, un public cible en tête pour chaque attaque.
Étape 2 : Choisissez les déclencheurs émotionnels (sélectionnez votre appât)
Les attaquants jouent sur nos émotions pour nous faire tomber dans leurs pièges. Voici trois déclencheurs émotionnels que les phishers exploitent généralement pour vous piéger, parfois en les combinant d’ailleurs pour augmenter leurs chances de succès :
- La curiosité : les humains sont naturellement curieux et les phishers en abusent pour vous donner l’envie d’en savoir plus. “Voulez-vous savoir ce qu’il s’est réellement passé ensuite ? Il vous suffit de cliquer sur le lien ou d’ouvrir la pièce jointe…“
Cet appât vise à exploiter la curiosité des gens à propos d’un chiot perdu.
- Le besoin d’espoir : les phishers abusent de ce besoin d’espoir que nous avons tous en utilisant des messages très généraux concernant des gains inattendus et des opportunités de rencontres ou bien des emails spécifiques faisant référence à des offres d’emploi, des augmentations de salaire, etc.
Ce appât exploite l’espoir concernant une promotion ou une augmentation de salaire.
- La nécessité : les phishers utilisent souvent un appât en lien avec votre cybersécurité, prétendant que vous avez été victime d’une faille de sécurité, pour donner l’impression que vous devez véritablement agir dès maintenant.
Ce appât vous indique que vous devez modifier votre mot de passe ou bien vous n’aurez tout simplement plus les moyens de travailler correctement.
Étape 3 : Créez l’email (mis en place de l’appât)
Ensuite, nous devons créer l’email. Comme nos homologues cybercriminels, nous tenterons souvent de perturber votre capacité de jugement en utilisant un ou plusieurs des déclencheurs émotionnels énumérés ci-dessus afin de vous amener à effectuer une action spécifique sans y penser au préalable.
Cette action peut être aussi simple que de cliquer sur un lien ou aussi compliquée que d’effectuer un virement bancaire.
Une astuce pour rédiger des emails de phishing efficaces consiste à rendre l’action que vous souhaitez que la cible entreprenne inévitable, mais pas nécessairement évidente.
Par exemple, un attaquant peut vous envoyer un email qui semble contenir des liens à cliquer vers des produits pour perdre du poids. Au bas de ce même email, l’attaquant ajoute également un lien à cliquer concernant la “désinscription“. Mais, voici le piège justement : en effet, en cliquant sur le lien pour “se désinscrire” vous serez dirigez exactement au même endroit que si vous aviez cliqué sur n’importe quel autre lien présent dans l’email.
De cette façon, l’attaquant vous fait croire que vous avez le choix tout en s’assurant qu’il vous incitera à cliquer sur le lien qu’il souhaite, quel que soit le lien sur lequel vous cliquerez dans l’email.
Étape 4 : Envoyez l’email (lancer de la ligne)
Enfin, l’email de phishing doit être envoyé aux différentes cibles. Un attaquant peut procéder de différentes manières. Il peut simplement créer un nouveau compte de messagerie au niveau d’un service générique comme Gmail et envoyer le message en utilisant cette adresse email, ou bien il pourrait se montrer un peu plus astucieux à ce sujet.
En effet, les attaquants achètent parfois des noms de domaine non enregistrés qui ressemblent à un domaine légitime, en modifiant légèrement l’orthographe d’une manière qui n’est pas évidente, comme écrire s0ciété à la place de société (la lettre O a été remplacée par le chiffre zéro) ou vvebsite à la place de website (deux v adjacents utilisés pour un w).
Ils enverront ensuite leurs emails de phishing en utilisant ce domaine similaire dans l’espoir que les utilisateurs pressés ne remarqueront pas la différence subtile.
Il est également possible pour les attaquants de compromettre un compte de messagerie appartenant à une source légitime et de l’utiliser pour envoyer un message frauduleux. Cette technique est communément appelé Business Email Compromise (BEC), et signifie que même l’adresse email d’un collègue pourrait potentiellement être utilisée par un attaquant pour vous hameçonner.
Comment stopper les emails de phishing ?
Même si un email de phishing arrive dans votre boîte de réception, vous devrez tout de même entreprendre une action spécifique, cliquer sur un lien ou ouvrir une pièce jointe, pour que cette attaque réussisse véritablement.
Donc, le fait de savoir ce qu’il faut rechercher et surtout quoi faire si vous repérer une activité ou un élément suspect peut avoir un impact énorme.
Voici quelques étapes pour réduire le risque d’être victime de phishing. Bien qu’ils soient principalement rédigés en pensant aux entreprises, bon nombre d’entre eux sont également pertinents dans notre vie personnelle :
- Sensibilisez/formez les employés en les exposant de manière sécurisée : sur votre lieu de travail, exposer régulièrement les utilisateurs à des simulations d’attaque de phishing leur offrira la possibilité d’interagir avec une version réaliste mais inoffensive d’une véritable attaque. Cette approche permettra aux employés de faire des erreurs et d’en tirer les leçons lorsque les enjeux seront faibles, les préparant ainsi à faire face à de réelles menaces lorsque les enjeux seront plus importants. La diversité est importante ici et nous recommandons fortement de faire varier les messages en modifiant des paramètres tels que la longueur, le sujet, le ton, le style et l’heure à laquelle ils seront envoyés.
- Analysez votre culture en matière de sécurité : si vous utilisez des simulations d’attaque de phishing sur votre lieu de travail, collectez autant de données que possible, notamment le nombre d’échantillons de chaque message qui auront été ouverts, si le destinataire a cliqué sur un lien ou ouvert une pièce jointe, et quel type d’appareil il utilisait à ce moment-là (ordinateur ou appareil mobile). Cette méthode vous donnera une image très complète du niveau de sensibilisation globale de vos employés et des domaines au niveau desquels vous pourriez être particulièrement vulnérable aux véritables attaques. Ainsi, grâce à ces données, vous pourrez concentrer vos ressources pour soutenir les zones et les employés les plus à risque.
- Ciblez vos efforts en matière de formation : déployez vos efforts de formation pour venir en aide aux services les plus exposés. Les services financier et IT ainsi que l’équipe dirigeante, ainsi que ceux qui ont accès aux dossiers clients, sont des cibles de grande valeur pour les attaquants. Ne négligez pas les principes de base, comme rappeler au personnel de se demander pourquoi un email leur demande d’effectuer telle action, quel est l’expéditeur de cet email, etc. Les employés distraits, fatigués et occupés peuvent facilement être surpris.
- Donnez des conseils clairs sur la manière de réagir : assurez-vous non seulement que votre personnel sache comment signaler les emails de phishing potentiels, mais également qu’il reçoive une réponse en temps voulu. N’oubliez pas que si une personne au sein de votre entreprise a été victime d’une tentative de phishing, il y a de fortes chances que d’autres aient été ciblés également. Plus tôt vous pourrez investiguer et agir, mieux votre entreprise se portera.
- Permettre le changement culturel : favoriser une culture de sensibilisation et d’assistance à l’échelle de l’entreprise est l’une des initiatives les plus importantes que vous puissiez lancer. Donnez aux employés la possibilité d’échouer en toute sécurité et offrez-leur un moyen clair de signaler les emails suspects. Mettez en avant et récompensez les personnes qui signalent des emails de phishing (les compliments sont importants) et soutenez les employés qui tombent par inadvertance dans les pièges tendus par ces arnaques en ligne.
N’oubliez pas que l’objectif de la formation au phishing est de rendre vos employés plus conscients des menaces potentielles et plus susceptibles de les signaler.
Soyez solidaire et compréhensif si vous testez un de vos employés et qu’il tombe dans le piège que vous lui avez tendu en cliquant. Enfin, expliquez clairement à vos employés que vous n’essayez pas de les piéger à des fins malveillantes.
Pour finir, encore une suggestion
Sophos Phish Threat, le produit sur lequel nous travaillons, vous permet de lancer facilement des programmes de simulation d’attaque de phishing, de mesurer les résultats et de renforcer la formation en se concentrant davantage là où c’est nécessaire. Vous pouvez l’essayer gratuitement pendant 30 jours.
Billet inspiré de Phishing tricks that really work – and how to avoid them, sur Sophos nakedsecurity.