La menace du spam n’est pas révolue mais aujourd’hui les filtres nous protègent assez efficacement et seule une toute petite frange des spams arrivent finalement en boîte de réception.
Une autre menace, bien plus dangereuse, nous arrive : l’automatisation et la systématisation du spear-phishing. Et cela va vraiment nous impacter sérieusement, ça va faire mal !
Le phishing, c’est la réception de mails qui veulent se faire passer pour autre chose afin de vous tromper sur son expéditeur, son contenu, vers ce qu’il pointe, ou vous infecter au moyen d’une pièce jointe ou un lien infecté. Le but est de vous voler des informations sensibles, personnelles, ou de prendre la main sur votre ordinateur. C’est par exemple la réception de ce mail disant que les conditions de votre banque ont changée, alors qu’il ne s’agit pas de votre banque 🙂
Le phish c’est une sorte de spam donc un envoi en masse, mais la finalité du phish n’est pas commerciale, elle est délictueuse.
Le spear-phishing est plus dangereux parce le phish vous est personnellement destiné. Il a été fait spécifiquement pour vous et donc il va matcher avec vous. Cela semble bien être votre banque, votre agent d’assurance, votre comptable, votre cousin ou votre tante, cela parle de votre contrat, de votre voiture, votre entreprise, de vos dernières vacances, bref le contenu VOUS parle et vous rend plus enclin à baisser votre vigilance donc votre garde.
La différence entre spam et phishing peut se résumer ainsi : Spam is annoying, phishing hurt. Le spam est agaçant, le phishing fait MAL.
Le phishing quand il impacte sa cible, ce sont de vrais dégâts, du vrai argent, de vraies datas qui sont volés. La cible a mal, elle pleure son passé envolé, elle est ruinée.
Charles Boone
Pour se prémunir, il FAUT utiliser une vraie protection informatique sur son ordinateur, sa tablette, son téléphone. Les outils nomades sont souvent bien moins protégés que les ordinateurs. Il faut également mettre souvent à jour ses programmes, son système d’exploitation. C’est une obligation car les informations circulent très vite et en moins de 24h, les failles découvertes sont déjà utilisées par les pirates, et la puissance actuelle des réseaux corrompus font que des millions de machines peuvent être impactées en seulement quelques heures.
Cela ne touche pas que les particuliers, les entreprises sont concernées également. Pourtant elles n’en ont pas vraiment totalement conscience. Les entreprises avec lesquelles j’ai échangé sont concernées par le phishing pour la réception de leurs messages. Elles mettent donc en place des protections pour les emails entrants, pour protéger leurs employés. Par contre, que font-elles pour leurs clients ? Souvent, la réponse est RIEN.
DMARC le premier niveau de sécurité pour toutes les entreprises.
DMARC est un protocole email qui permet aux serveurs réceptionnant les emails de savoir ce qu’ils doivent faire des mails quand ceux-ci arrivent d’une autre source que celle qui est prévue. Il est conseillé, une fois la configuration bien vérifiée, de forcer un rejet ou une destruction du mail par les serveurs distant. Ainsi, si jamais un pirate voulait envoyer un message forgé avec mon email, mon domaine mais envoyé d’un serveur pirate, le mail ne serait pas distribué au destinataire, et je reçois un rapport de tous les mails qui ont essayé de se faire passer pour moi. Je peux donc réagir rapidement en cas de campagne de phishing visant mon domaine.
Pourquoi cela me concerne, je ne suis pas une banque ou une grosse société ?
C’est exactement la réponse que m’ont donné la plupart des entreprises avec qui j’ai discuté. J Elles ne se sentent pas concernées en tant que petites PME/TPE. Et pourtant…
Le but du phisher est de faire ouvrir les mails à ses victimes. S’il récupère quelques données personnelles, même peu sensibles, cela lui donne le matériel pour faire baisser la vigilance de ses victimes. Il suffit d’un hack de compte, d’un vol même partiel de base, et votre clientèle peut se retrouver être une cible sans défense.
Je reçois un email d’une société de location de vélo de laquelle j’ai été client lors de mes dernières vacances. Elle me propose un bon à télécharger pour ma prochaine location. Si je repars au même endroit, je vais me dire que c’est une bonne aubaine et je me retrouvé phishé ! Je reçois un email de satisfaction qualité suite à un achat d’un produit que j’ai effectué il y a quelques mois. Le pirate à le détail des commandes passées, il peut donc me rassurer en produisant des éléments réels, et je peux télécharger son enquête de satisfaction, visiter le lien envoyé, lire le document word qu’il m’envoie, etc.
Je viens de recevoir mes premiers mails de phishing issus du marketing automation. C’est un mail qui ressemble à du retargeting suite à une visite de site web, à une offre anniversaire, à une offre fidélité. Le seul but est de vous faire cliquer une fois, juste une fois ! Le cyberdélinquant n’a qu’à utiliser les codes traditionnels du webmarketing, c’est beaucoup plus simple que de faire croire à un mail d’une banque !
Sur le marché noir, plusieurs millions d’adresses françaises issues de plusieurs centaines de bases volées sont disponibles à la vente. Il y a de grande chance que votre email y soit, laissant une ouverture potentielle pour un phisher de vous faire baisser votre garde.
Tous nos comptes Snipemail permettent d’envoyer des emails en ayant tous les protocoles bien configurés, et DMARC peut être configuré pour rejeter vos emails s’ils sont émis d’une autre source que celle certifiée. Ne laissez pas les phishers avoir un coup d’avance sur vous.
Et si vous ne savez pas quoi ou comment faire, appelez-nous ! 🙂