Luttez contre le phishing avec la puissance de votre propre marque
Dans le monde de la cyber-fraude, le phishing reste l'une des tactiques les plus efficaces et les plus fréquemment utilisées pour voler des informations d'identification. Malheureusement, à mesure que les couches de sécurité des entreprises s'améliorent, la surface d'attaque se concentre de plus en plus sur les personnes plutôt que sur les systèmes. En bref, les humains sont devenus le maillon le plus faible de la chaîne. Ainsi, les courriels générés par les fournisseurs de signatures électroniques sont devenus une cible privilégiée pour les escroqueries visant à inciter les utilisateurs à divulguer des informations personnelles et des identifiants de connexion.
Par exemple, les chercheurs en sécurité d'Armorblox ont identifié un système d'hameçonnage qui usurpait un courriel de flux de travail courant d'un fournisseur de signature électronique de premier plan. L'e-mail malveillant contournait astucieusement les solutions de sécurité de messagerie interne et en nuage et visait plus de 10 000 utilisateurs finaux au sein de plusieurs organisations.
Mais il y a de l'espoir. Une chose aussi simple que le marquage des communications relatives à la signature électronique peut constituer un moyen simple mais efficace d'ajouter un élément de confiance essentiel avec les clients.
Les attaques de phishing usurpent l'identité de fournisseurs d'e-signatures à forte notoriété
Voici comment fonctionne l'escroquerie. Afin d'inviter un utilisateur à une session de signature, un fournisseur de signature électronique envoie généralement un courrier électronique provenant de son propre domaine et présentant de manière égoïste sa propre marque. Le fraudeur exploite cette stratégie en envoyant un courriel malveillant qui ressemble en tous points au courriel officiel et qui contient un message urgent incitant l'utilisateur à cliquer. Le fraudeur va même jusqu'à manipuler le nom de l'expéditeur dans l'en-tête du courriel pour qu'il corresponde à celui du fournisseur, voire à utiliser un domaine valide non marqué pour contourner les contrôles de sécurité.
Le destinataire peu méfiant voit un courriel provenant d'une marque de signature électronique qu'il connaît, dans le cadre d'un processus qui lui est familier, ce qui ne soulève aucun problème. En cliquant sur l'e-mail, il accède à une page d'atterrissage falsifiée où il peut facilement obtenir ses identifiants pour ProofPoint, Microsoft 365 ou d'autres applications.
Le succès de ce stratagème d'hameçonnage dépend entièrement de la familiarité des utilisateurs avec la marque du fournisseur de signature électronique et de l'uniformité de ses communications à travers l'ensemble de sa base de clients. Un courriel de notification d'une organisation ressemble beaucoup à un autre, ce qui permet aux fraudeurs de lancer des campagnes de phishing de masse comme celle identifiée par Armorblox. Cette approche endort pratiquement le consommateur peu méfiant.
Comment la marque blanche met fin à ce scénario d'hameçonnage
Avec une solution de signature électronique en marque blanche, telle que OneSpan Sign, l'entreprise peut mettre sa propre marque en avant et au centre, limitant ainsi l'attrait pour les fraudeurs potentiels. En personnalisant le contenu, les couleurs, le logo et d'autres éléments des courriers électroniques de votre organisation, vous pouvez créer un style unique qui nécessiterait trop d'efforts individuels pour que cela en vaille la peine pour des personnages malveillants. Les campagnes d'hameçonnage généralisées qui s'attaquent à un ensemble beaucoup plus large de cibles marquées par le fournisseur de signature électronique constituent un terrain beaucoup plus fertile.
Mais nous ne nous arrêtons pas là. OneSpan Sign peut également être intégré à vos serveurs de messagerie afin que toutes les communications soient envoyées exclusivement à partir de votre domaine. Cela crée une couche supplémentaire de confiance et de cohérence dans votre processus, tout en conduisant à des taux d'achèvement plus élevés et à des délais plus courts pour les flux de travail des clients et des entreprises génératrices de revenus.
Si la même attaque était tentée contre les utilisateurs d'un client de OneSpan Sign, ils seraient bien plus susceptibles de faire une pause. L'e-mail proviendrait du mauvais endroit, inclurait la mauvaise marque ou présenterait un logo que l'utilisateur ne reconnaîtrait pas. Le phishing dépend de la perception de légitimité et d'un appel urgent à l'action qui exige un clic immédiat. Si vous parvenez à éveiller les soupçons du lecteur, cela peut faire la différence entre un clic malheureux et une tentative de phishing signalée.
Découvrez d'autres moyens de lutter contre le phishing
Ce stratagème d'hameçonnage visant à imiter les courriels de processus de signature électronique n'est pas nouveau et il est de plus en plus répandu. Consultez cet article de blog de mai 2022, "Phishing : Attackers Use E-Signature Software to Send Emails with Malicious Links" pour en savoir plus sur ces attaques et découvrir d'autres moyens de protéger vos clients et vos partenaires commerciaux.