Les emails de phishing usurpant des marques connues ou l’identité de personnes haut placées (VIP) au sein d’une entreprise représentent un défi de taille pour les équipes de sécurité. Nous sommes donc ravis de lancer une nouvelle fonction dans Sophos Email Advanced qui permet de détecter et de bloquer ce type d’attaque.
La menace d’une attaque de phishing par usurpation d’identité
Selon l’une des dernières études réalisées par Sophos, 5 entreprises sur 10 estiment que les emails malveillants constituent leur principal problème de sécurité, avec 53 % d’entre elles ayant subi une attaque de phishing au cours des douze derniers mois. Les attaques par usurpation d’identité sont parmi les plus difficiles à combattre, car elles n’ont souvent pas de charge virale malveillante à détecter. Le cybercriminel trompe l’employé en utilisant le nom d’un expéditeur de confiance, encourageant ainsi la victime à répondre ou à cliquer sur un lien, à ouvrir une pièce jointe, etc.
S’appuyant sur les utilisateurs qui analysent les adresses email des expéditeurs, ces attaques utilisent une simple falsification du nom d’affichage pour modifier la partie visible de l’adresse email que nous voyons dans de nombreux clients de messagerie. Changer le nom d’affichage pour utiliser celui de marques de confiance ou d’individus importants au sein de l’entreprise est une stratégie très efficace pour les attaquants.
Ces attaques reposent sur des comptes de messagerie gratuits et, dans les attaques plus ciblées, sont connues pour utiliser des noms de domaine « sosies », similaire à celui du domaine de l’entreprise.
Avantages principaux de la dernière version
Cette nouvelle version de Sophos Email Advanced assure une protection essentielle contre ces attaques de phishing par usurpation d’identité et offre plusieurs améliorations importantes :
- Elle compare le nom d’affichage des messages entrants avec le nom d’affichage des fournisseurs de services Cloud les plus souvent utilisés dans ce type d’attaque, et avec les personnes haut placées (ou VIP) de l’entreprise, telles que les PDG, les directeurs financiers, les DRH, etc.
- Un assistant identifie et ajoute les VIP de votre entreprise à la politique de sécurité utilisée pour l’analyse des emails entrants.
- Elle compare les informations d’en-tête et analyse le nom d’affichage par rapport à l’adresse email complète et au nom de domaine utilisés, afin d’identifier les domaines de messagerie gratuits, les domaines « sosies » de services cloud tels que Microsoft ou Amazon, et les tentatives d’usurpation d’identité des noms de VIP.
Identification des VIP
Les VIP sont les employés de votre organisation les plus susceptibles d’être victimes d’une usurpation d’identité. Tous les utilisateurs bénéficient du même niveau de protection, mais le système recherche les expéditeurs externes usurpant l’identité de vos VIP. Les clients peuvent ajouter jusqu’à 200 VIP.
Il est très simple de créer une liste de VIP dans Sophos Central. Passez en revue votre liste d’utilisateurs et cliquez sur « Ajouter un VIP » pour ajouter un employé à la liste. Si la synchronisation avec Active Directory est activée, il suffit de sélectionner « M’aider à trouver des VIP » et Sophos Email recherche automatiquement les utilisateurs portant des titres susceptibles d’être usurpés.
Exemples de titres et de fonctions usurpés :
- PDG
- Président
- Directeur des Finances
- CFO
- Directeur financier
- Directeur des ressources humaines
- DRH
Agir sur la menace
Ce nouveau service permet à l’administrateur de la messagerie de répondre aux attaques potentielles en configurant des stratégies pour mettre en quarantaine les messages suspects, baliser la ligne d’objet ou encore avertir les utilisateurs en affichant un bandeau en haut des emails entrants.
Le rapport « Utilisateurs à risque » offre encore plus de visibilité sur ces menaces de phishing, en fournissant la liste de chaque tentative d’usurpation d’identité reçue, ainsi que les utilisateurs avertis ou empêchés de visiter les URL avec du contenu malveillant. Les sous-options fournissent des informations supplémentaires, notamment :
- Le nombre d’emails d’usurpation d’identité reçus par l’utilisateur qui permet de facilement identifier les individus les plus ciblés
- Le type d’usurpation d’identité : Usurpation d’identité de VIP ou de marque
- Informations récapitulatives pour chaque email de phishing, y compris le nom d’affichage et l’adresse email utilisés et si le destinataire a répondu
- Visibilité complète sur l’en-tête de l’email, le contenu du message et les types de pièces jointes
Protection supérieure contre le phishing avec Sophos Email Advanced
Le niveau de protection contre le phishing intégré à cette dernière version de Sophos Email apporte une forte valeur ajoutée, avec des contrôles simples permettant d’avoir une protection rapidement opérationnelle.
Ingénierie sociale
Les emails suspects peuvent être bloqués, mis en quarantaine, signalés avec une ligne d’objet prédéfinie ou se voir ajouter une bannière d’avertissement.
Sophos analyse tous les emails entrants en temps réel, en recherchant les principaux indicateurs de phishing grâce aux techniques d’authentification SPF, DKIM et DMARC et à l’analyse les anomalies des en-têtes, et protège contre l’usurpation d’identité à l’aide du nom d’affichage. L’analyse des domaines « sosies » identifie les tentatives d’usurpation d’identité d’une marque ou d’un VIP.
URL et pièces jointes malveillantes
Détection des URL malveillantes en temps réel et technologie de sandboxing basée sur l’IA.
Pour la protection anti-phishing contre les URL malveillantes ou les pièces jointes pouvant contenir des malwares, Sophos fournit une analyse des URL en temps réel et une réécriture des URL pour analyser n’importe quelle URL avant de cliquer. Ensuite, Sophos Sandstorm, notre technologie de sandboxing basée dans cloud et optimisée par l’IA, exécute les fichiers suspects afin de garantir qu’aucun malware n’atteigne la boîte de réception.
Formation des utilisateurs
Formation intelligente sur la sensibilisation à la cybersécurité.
La sécurité synchronisée de Sophos connecte Sophos Email avec Sophos Phish Threat, la plate-forme de formation et de simulation du phishing, pour identifier les utilisateurs ayant été avertis ou empêchés d’accéder à un site Web à risque ou ayant répondu à un email de spear phishing. Elle permet de les enrôler en toute transparence à des simulations de phishing ciblé et à des formations pour mieux les sensibiliser. Licence Phish Threat requise.
Supports commerciaux
Un ensemble de ressources pour la vente mis à jour est à votre disposition pour vous aider à promouvoir ces nouvelles fonctionnalités :
- Fiche technique de Sophos Email
- Guide des nouveautés
- Guide de gestion des licences Sophos Email
- Présentation commerciale
Remarques
- La protection contre l’usurpation d’identité n’est disponible que pour les clients Sophos Email Advanced existants.
- L’ensemble des fonctionnalités a été ajouté automatiquement à Sophos Central, et sera activé par défaut. Il revient naturellement aux clients de définir leur propre liste de VIP.
- La politique de sécurité par défaut est d’ ‘Ajouter un bandeau’ pour mettre en évidence les messages entrants sur lesquels une usurpation d’identité a été détectée. Ce message peut être personnalisé par l’administrateur de Sophos Email.