QU’EST-CE QUE LE SPOOFING ?
L’usurpation d’identité, aussi appelée spoofing, survient lorsqu’un cybercriminel se fait passer pour un autre individu ou une organisation pour commettre un acte malveillant.
Les cybercriminels utilisent un large éventail de tactiques pour usurper une identité, des moins techniques comme l’usurpation d’adresses e-mail, de sites Web ou de numéros de téléphone, aux plus avancées tels que l’usurpation d’adresses IP, de serveurs de noms de domaine (DNS) ou de protocoles de résolution d’adresse (ARP).
Quelle que soit la tactique utilisée, l’objectif de l’usurpation d’identité est de parvenir à voler les victimes. En faisant appel à l’ingénierie sociale, les cybercriminels utilisent des adresses e-mail, des sites Web et des numéros de téléphone falsifiés pour convaincre leurs victimes de partager des informations confidentielles, de télécharger des pièces jointes ou de cliquer sur des liens qui entraînent l’installation de logiciels malveillants.
À l’instar de la plupart des cyberattaques, la réussite de l’usurpation d’identité repose sur le piratage psychologique. Les cybercriminels choisissent de falsifier les adresses e-mail, les sites Web et autres entités en ligne que la majorité des gens connaissent. Cela permet de réduire les doutes et les soupçons, et de profiter de confiance inhérente à la nature humaine.
Quels sont les différents types d’usurpation d’identité ?

Indices signalant une usurpation de site Web
- S’il n’y a pas de cadenas dans la barre d’adresse, le site Web n’est pas sécurisé et une usurpation est probable.
- L’URL commence par http, et non https. Méfiez-vous des sites Web qui n’utilisent pas le préfixe de chiffrement https.
- Beaucoup de sites Web remplissent automatiquement les champs « nom d’utilisateur » et votre « mot de passe ». Pour éviter d’être automatiquement connecté à un site Web usurpé, utilisez un gestionnaire de mots de passe pour consigner vos informations de connexion. Si le gestionnaire de mots de passe ne reconnaît pas le site Web, il ne remplira pas automatiquement les informations de connexion.
- Les fautes d’orthographe, les liens rompus, des informations de contact suspectes et des badges de médias sociaux manquants sont autant d’indicateurs signalant une usurpation de site Web.
- Les adresses de site Web qui contiennent le nom de domaine falsifié, mais qui ne reflètent pas le nom de domaine officiel.

Indices signalant une usurpation d’adresse e-mail
- Des fautes d’orthographe ou un nom de domaine incorrect dans l’adresse e-mail de l’expéditeur indiquent qu’il s’agit d’une adresse e-mail usurpée.
- Un ton urgent qui incite à agir rapidement, à transférer de l’argent ou à fournir des informations confidentielles.
- Des liens imbriqués présentant des URL inconnues. Survolez ou surlignez l’URL avant de cliquer pour en confirmer la légitimité.
- Des fautes d’orthographe ou de grammaire et un langage inhabituel peuvent indiquer que l’e-mail est un faux.
- Des pièces jointes et un message qui vous demande urgemment de les télécharger. Assurez-vous que les pièces jointes ne contiennent pas une extension EXE masquée.

Indices signalant une usurpation de l’identité de l’appelant ou de message texte
- L’identité de l’appelant est votre propre numéro de téléphone ou lui ressemble beaucoup.
- Le numéro de téléphone ou l’identité de l’appelant est masqué.
Comment prévenir l’usurpation
1. Mettez en place des contrôles techniques et des procédures pour vous protéger contre l’usurpation d’adresse e-mail, de site Web, d’adresse IP et de DNS.
2. Mettez l’accent sur l’ingénierie sociale au sein de vos équipes et assurez-vous que tous les membres en comprennent le principe de fonctionnement. Utilisez des scénarios réels et des formations pour montrer à quel point il est facile de se faire piéger.
3. Tirez parti des programmes de sensibilisation à la sécurité qui utilisent des modèles d’apprentissage flexibles adaptés à l’enseignement aux adultes. Assurez-vous que le contenu de formation est motivant, pertinent et basé sur des scénarios réalistes.
4. Rappelez aux employés les risques associés à leur boîte de réception. Utilisez des simulations, des bulletins d’informations, des campagnes de communication et des cyberhéros pour entretenir la conversation sur l’usurpation d’identité et la cybersécurité.
5. Assurez-vous que tous les systèmes d’exploitation, navigateurs, applications, outils réseau et logiciels internes sont à jour et sécurisés. Installez des logiciels de protection contre les logiciels malveillants et le spam.
6. Lancez régulièrement des campagnes de sensibilisation à la sécurité qui rappellent aux employés les risques associés au partage en ligne d’informations confidentielles, de mots de passe, de données d’entreprise et des informations de carte bancaire.
7. Informez votre équipe sur l’usurpation. Utilisez des logiciels de simulation et des formations qui incluent des exemples réels d’attaques d’usurpation.
8. Évaluez régulièrement le niveau de sensibilisation de vos employés à l’usurpation, à l’ingénierie sociale et aux autres types de cybermenaces à l’aide de simulations.
9. Développez une culture d’entreprise qui stimule le changement de comportement. Créez un environnement de travail qui accorde aux employés le temps et les ressources nécessaires pour favoriser la sensibilisation à la cybersécurité.
10. Soyez proactif dans la création d’une culture de sensibilisation à la cybersécurité. Consultez The Human Fix to Human Risk pour connaître les étapes à suivre afin de développer un programme efficace de sensibilisation à la sécurité qui stimule le changement de comportement.

Co-présenté par

Comparez votre taux de clics avec celui de vos pairs!
Réservez le rapport du Gone Phishing Tournament 2021 dès maintenant
Même si l’usurpation et le phishing sont deux types différents de cyberattaques, la réussite d’une attaque de phishing dépend souvent de l’usurpation.
Les simulations de phishing constituent le moyen idéal de mesurer la sensibilisation des employés à l’ingénierie sociale et aux risques liés à leurs boîtes de réception. Elles permettent d’intégrer la formation en sensibilisation à la cybersécurité dans votre organisation de façon interactive et instructive.
Vos employés sont alors à même de constater qu’un langage convaincant est utilisé dans les e-mails en vue de voler des informations confidentielles et des données d’entreprise. Les simulations de phishing en temps réel sont une excellente façon de renforcer les indicateurs d’usurpation d’adresse e-mail et d’autres tactiques d’usurpation.
Les simulations de phishing vous fournissent 10 moyens clés de protéger vos employés contre les attaques d’usurpation. Elles permettent de :
1. Réduire le niveau de risque des cybermenaces.
2. Accroître la sensibilisation et la vigilance face aux risques d’usurpation et liés à l’ingénierie sociale.
3. Mesurer le degré de vulnérabilité de l’entreprise et des employés.
4. Encourager une culture de sensibilisation à la cybersécurité et former des cyberhéros en interne.
5. Changer les comportements pour éliminer les réflexes de confiance automatique.
6. Renforcer les messages véhiculés par la formation en sensibilisation à la sécurité.
7. Susciter l’implication de la haute direction à la nécessité d’une formation et de campagnes de sensibilisation à la sécurité permanentes.
8. Garantir la vigilance des employés face aux attaques d’usurpation, de phishing et à l’ingénierie sociale.
9. Répondre aux exigences de l’industrie en matière de conformité.
10. Évaluer la performance de la formation en sensibilisation à la sécurité.
L’ingénierie sociale
L’ingénierie sociale est une composante clé d’une attaque réussie d’usurpation. Les cybercriminels utilisent des techniques d’ingénierie sociale pour convaincre leurs victimes de cliquer sur des liens, de télécharger des pièces jointes, de remplir des formulaires en ligne et de répondre à des messages texte.
Le succès de l’ingénierie sociale repose sur une seule chose : la confiance. Il est essentiel que vos employés comprennent son fonctionnement. Offrez-leur la formation et les simulations qui leur permettront de changer leur comportement.
Usurpation (spoofing)
L’usurpation est souvent utilisée dans le cadre d’une cyberattaque plus vaste. Un cybercriminel peut utiliser l’usurpation d’adresse e-mail pour orienter sa victime vers un site Web frauduleux afin d’installer un logiciel malveillant sur son ordinateur.
Pour en apprendre davantage sur l'usurpation et comment garder votre entreprise en cybersécurité, consultez les ressources gratuites suivantes :
Contactez nous au 33 7 61 69 79 79 ou sur [email protected] pour en apprendre d’avantage sur la façon de protéger votre organisation contre l'usurpation.
Terranova Security s’engage à fournir une formation centrée sur les personnes qui sensibilise votre entreprise à la cybersécurité.