Spoofing usurpation d'adresse mail - Trustpair

Spoofing : attention aux usurpations d’adresses mail !

Particulièrement utilisée ces dernières années, la technique du spoofing, qui consiste à usurper une adresse mail à des fins malveillantes, est une arnaque qui cible de plus en plus d’entreprises. En quoi consiste-t-elle exactement, et quelles bonnes pratiques mettre en place pour éviter d’en être la victime ? Voici tout ce que vous devez savoir.

Usurpation d’adresse e-mail : comment fonctionne le spoofing ?

Appelée “spoofing” (de l’anglais “to spoof”, qui signifie “parodier”), l’usurpation d’identité via e-mail est de plus en plus utilisée par les hackers. Il s’agit d’une technique de piratage visant à induire en erreur le destinataire d’un message électronique, grâce à une adresse mail ressemblant comme deux goûtes d’eau à celle d’un expéditeur connu. Dans le cas du spoofing, une personne bien précise est visée, contrairement à d’autres techniques de piratage qui ciblent des groupes de personnes au hasard telles que le phishing ou le ransomware.

Les entreprises se trouvent de plus en plus victime de ces attaques ciblées. Ainsi, selon une enquête menée en 2018 par Sapio Research, 49% des entreprises françaises ont subi des attaques d’hameçonnage ces dernières années.

Prenons un exemple classique

La victime va recevoir un email de l’adresse aude.monet@trsutpair.fr, au lieu de aude.monet@trustpair.fr. La victime ne le sait pas encore, mais elle fait bien l’objet d’une usurpation d’adresse mail. En effet, en lisant vite, la personne ne se rend pas compte que cet email est frauduleux – dans ce cas là, une inversion de deux lettres – et ouvre le message, pouvant par exemple contenir un virus visant à extraire des données personnelles.

Les hackers peuvent également usurper des noms de domaine. Par exemple, ils vont créer une fausse adresse mail qui se termine par “trustpair.com” (au lieu de trustpair.fr), en vue de tromper leurs destinataires et de les inciter à croire qu’ils traitent véritablement avec une personne de l’entreprise Trustpair.

Lorsqu’elle est bien réalisée, cette méthode de piratage est difficile à détecter. En effet, les salariés reçoivent de nombreux emails dans la journée, et n’ont pas forcément le temps d’en vérifier l’expéditeur à chaque fois. Et lorsque les solutions anti-spam des boîtes ne fonctionnent pas, c’est bien sur cet effet de confusion que jouent les pirates informatiques.

Le spoofing : une méthode redoutable de fraude en entreprise

On l’a vu, le spoofing désigne les techniques de piratage visant à usurper une adresse mail, une adresse IP ou encore un nom de domaine.

Mais dans les cas les plus graves, les pirates informatiques peuvent également usurper l’identité d’un fournisseur ou d’une personne de l’entreprise, et envoyer des emails aux collaborateurs pour leur demander d’effectuer une transaction financière “urgente”. C’est ce qu’on appelle la fraude au faux fournisseur, qui concerne 48% des tentatives de fraudes selon
une récente étude Euler Hermès.

Webinar en replay Trustpair x Société Générale

Un autre type de fraude en lien avec le spoofing concerne la fraude au faux président. Elle consiste à convaincre un collaborateur de l’entreprise d’effectuer en urgence une transaction financière à l’égard d’un tiers, en raison d’un retard de paiement, d’un contrat à honorer, d’une dette à régler, etc. En général, la personne derrière l’adresse email se fait passer pour une personne haut placée, comme le dirigeant d’une société, ce qui peut inciter le destinataire de l’email à répondre à l’ordre donné sans se poser de questions.

La fraude au président ou fraude par faux ordre de virement (FOVI) est l’une des arnaques les plus répandues. En effet, si cette technique paraît facilement évitable, la réalité en est tout autre. En 2020, toujours selon l’étude Euler Hermès, 38% des tentatives de fraude concernaient la fraude au président. Elle concerne donc toutes les entreprises, quelle que soit leur taille et leur secteur d’activité. Entre 2010 et 2016, le préjudice total pour les entreprises victimes de cette escroquerie basée sur l’usurpation d’adresse mail s’élevait à 485 millions d’euros.

Pour les hackers, l’intérêt est double :

  • ce type de fraude n’est pas difficile à mettre en place (il suffit, en substance, d’une fausse adresse mail),
  • elle paraît crédible à première vue ce qui la rend très efficace.

En effet, les échanges par mail avec des fournisseurs et/ou des tiers à l’entreprise font partie de l’activité quotidienne, et les collaborateurs n’ont a priori pas de raison de se méfier des courriers électroniques qu’ils reçoivent.

Quelles bonnes pratiques mettre en place pour éviter d’être victime de spoofing ?

La vigilance et la sensibilisation des collaborateurs

Ces deux mesures sont efficaces pour lutter contre la fraude, et ont l’avantage d’être mise en place assez facilement grâce aux nombreuses documentations disponibles sur le net. Apprendre à reconnaître les emails potentiellement malveillants doit devenir un réflexe, et peut éviter de nombreuses catastrophes. Dans votre entreprise, n’hésitez pas également à installer un filtre antispam : s’il ne suffira pas à lui seul à vous protéger contre le spoofing, il pourra constituer une première barrière.

Ne sous-estimez pas le pouvoir de la communication entre les équipes

Plus elles communiqueront entre elles, plus elles seront en mesure de repérer rapidement des tentatives de hameçonnage.

Sécuriser les adresses email, ainsi que les adresses IP

A cet effet, on peut installer un serveur proxy qui permet de masquer les adresses IP de toutes les machines, de limiter les accès à certains sites Internet, et de surveiller les flux grâce à une traçabilité précise.

Instaurer un double contrôle en cas d’email impliquant une transaction financière

Cette pratique peut également être une manière de se protéger du spoofing. Par exemple, il est possible de mettre en place une vérification systématique des communications par email et de l’identité des interlocuteurs. Idéalement, cette vérification doit être automatisée.

Mettre en place un contrôle permanent des coordonnées bancaires des tiers

Cette pratique se révèle particulièrement utile lorsque plusieurs tiers demandent aux équipes comptables de procéder à la modification de leurs coordonnées bancaires.

Concernant ce dernier point, c’est l’une des opportunités offertes par Trustpair, dont la solution permet d’automatiser le contrôle des coordonnées bancaires des fournisseurs, et de vérifier l’identité des tiers grâce à l’association automatique de l’entreprise et de son compte bancaire.
Grâce à la solution proposée par Trustpair, la sécurité de vos processus de contrôle est renforcée et la visibilité sur les contrôles effectués est accrue, pour une lutte optimale contre la fraude.

Nouveau call-to-action


POINTS À RETENIR :

  • Le spoofing, ou usurpation d’adresse mail, désigne les techniques de piratage visant à usurper une adresse mail, une adresse IP ou encore un nom de domaine. Les hacker ciblent une personne bien définie de l’entreprise, contrairement aux autres techniques type phishing ou ransomware, qui s’adressent à un large nombre de personnes.
  • C’est aussi une technique de fraude redoutable. Les entreprises ciblées peuvent être alors victime de fraude au faux fournisseur, ou de fraude au président. Cette dernière consiste à se faire passer pour le dirigeant d’une entreprise et à demander, par email, le versement d’une importante somme d’argent.
  • Pour éviter d’être victime d’usurpation d’adresse mail, des techniques existent, telles que la sensibilisation des collaborateurs et la sécurisation des adresses mail et IP.
  • L’entreprise peut aussi effectuer des doubles vérifications lorsque l’objet du mail concerne la réalisation d’une transaction financière, et s’assurer que les coordonnées bancaires partagées correspondent à celles présentes dans son référentiel tiers.
  • Sur ce dernier point, le contrôle automatique des data fournisseurs et la sécurisation des paiements en entreprise peuvent être assurées par une solution dédiée. C’est dans ce sens que Trustpair accompagne les directions financières des ETI et Grands Comptes dans la digitalisation de leur processus, afin de sécuriser leurs paiements et de toujours payer le bon fournisseur sur le bon compte bancaire.

 

Articles liés