Bonjour, J’ai un client qui a évité une arnaque au président grâce à l’oeil de lynx de la comptable ^^ Le mail a passé toutes les protections dkim/spf car expédié d’un domaine tiers mais le from était déguisé en mettant dans la partie « Nom » une adresse email, ce qui aurait pu tromper bon nombre d’utilisateur.
Voici à quoi ressemblait le champ « From » du mail reçu : From: "Nom du président sonvrai@email.com," faux@domaine.fr
Comme vous le voyez, ce format fait que ça a passé le dkim/spf de domaine.fr http://domaine.fr/ (le faux domaine). Quant au vrai email il donnait une belle illusion étant placé dans la partie du nom de l’expéditeur.
Bref, mon client est chez O365. Ma question est : comment bloquer ce genre d’attaque ? Existe-t-il des moyens de les détecter automatiquement ?
Merci d’avance
— Kevin LABECOT
Le bloquer chez O365 ou en général ?
En général, ça semble assez simple de bloquer un mail qui a 2 @ dans le From. Avec O365, je suppose qu’on fait pas tout ce qu’on veut.
Le 28 sept. 2022 à 14:52, Kevin Labécot kevin@labecot.fr a écrit :
Bonjour, J’ai un client qui a évité une arnaque au président grâce à l’oeil de lynx de la comptable ^^ Le mail a passé toutes les protections dkim/spf car expédié d’un domaine tiers mais le from était déguisé en mettant dans la partie « Nom » une adresse email, ce qui aurait pu tromper bon nombre d’utilisateur.
Voici à quoi ressemblait le champ « From » du mail reçu : From: "Nom du président <sonvrai@email.com http://email.com/>," faux@domaine.fr
Comme vous le voyez, ce format fait que ça a passé le dkim/spf de domaine.fr http://domaine.fr/ (le faux domaine). Quant au vrai email il donnait une belle illusion étant placé dans la partie du nom de l’expéditeur.
Bref, mon client est chez O365. Ma question est : comment bloquer ce genre d’attaque ? Existe-t-il des moyens de les détecter automatiquement ?
Merci d’avance
— Kevin LABECOT
Liste de diffusion du %(real_name)s http://www.frsag.org/
Hello,
Accessoirement former les présidents a utiliser des outils de signature numérique et de confirmer par un autre moyen que le mail ce genre de chose.
Typiquement, que la comptable n'aie pas peur d’appeler le président pour confirmer...
Xavier
De: "David Ponzone" david.ponzone@gmail.com À: "Kevin Labécot" kevin@labecot.fr Cc: "French SysAdmin Group" frsag@frsag.org Envoyé: Mercredi 28 Septembre 2022 14:56:29 Objet: [FRsAG] Re: Email / Protection de l'arnaque au président
Le bloquer chez O365 ou en général ?
En général, ça semble assez simple de bloquer un mail qui a 2 @ dans le From. Avec O365, je suppose qu’on fait pas tout ce qu’on veut.
Le 28 sept. 2022 à 14:52, Kevin Labécot < [ mailto:kevin@labecot.fr | kevin@labecot.fr ] > a écrit :
Bonjour, J’ai un client qui a évité une arnaque au président grâce à l’oeil de lynx de la comptable ^^ Le mail a passé toutes les protections dkim/spf car expédié d’un domaine tiers mais le from était déguisé en mettant dans la partie « Nom » une adresse email, ce qui aurait pu tromper bon nombre d’utilisateur.
Voici à quoi ressemblait le champ « From » du mail reçu : From: "Nom du président <sonvrai@ [ http://email.com/ | email.com ] >," < [ mailto:faux@domaine.fr | faux@domaine.fr ] >
Comme vous le voyez, ce format fait que ça a passé le dkim/spf de [ http://domaine.fr/ | domaine.fr ] (le faux domaine). Quant au vrai email il donnait une belle illusion étant placé dans la partie du nom de l’expéditeur.
Bref, mon client est chez O365. Ma question est : comment bloquer ce genre d’attaque ? Existe-t-il des moyens de les détecter automatiquement ?
Merci d’avance
— Kevin LABECOT
Liste de diffusion du %(real_name)s [ http://www.frsag.org/ | http://www.frsag.org/ ]
Liste de diffusion du %(real_name)s http://www.frsag.org/
Oui merci pour les conseils… Mais je cherchais une solution technique pour aider ou capable de faire mieux que l’antispam de O365. Dans le cas présent, c’est justement la formation et l’oeil humain qui a sauvé la mise mais c’est par par ce que cette arnaque a été évitée que la prochaine le sera...
— Kevin Labécot
Le 28 sept. 2022 à 17:37, Richard Baret richard@baret.me a écrit :
Bonjour, et surtout ne pas appeler le numéro fourni dans le mail...
Dans des petites boites une usurpation de la voix ça passerait pas mais dans une plus grosse avec moins voire aucune proximité entre le PDG et les employés n-2/3/4...
Richard
Obtenir Outlook pour Android https://aka.ms/AAb9ysg_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Hello, mettez en quarantaine les emails contenant le nom de famille du DG/DAF en From, sauf adresse perso légitime. Mesure hyper efficace. Briefez aussi le personnel sur les appels / SMS / WhatsApp
On Wed, Sep 28, 2022, 14:54 Kevin Labécot kevin@labecot.fr wrote:
Bonjour, J’ai un client qui a évité une arnaque au président grâce à l’oeil de lynx de la comptable ^^ Le mail a passé toutes les protections dkim/spf car expédié d’un domaine tiers mais le from était déguisé en mettant dans la partie « Nom » une adresse email, ce qui aurait pu tromper bon nombre d’utilisateur.
Voici à quoi ressemblait le champ « From » du mail reçu : From: "Nom du président sonvrai@email.com," faux@domaine.fr
Comme vous le voyez, ce format fait que ça a passé le dkim/spf de domaine.fr (le faux domaine). Quant au vrai email il donnait une belle illusion étant placé dans la partie du nom de l’expéditeur.
Bref, mon client est chez O365. Ma question est : comment bloquer ce genre d’attaque ? Existe-t-il des moyens de les détecter automatiquement ?
Merci d’avance
— Kevin LABECOT
Liste de diffusion du %(real_name)s http://www.frsag.org/
Hello,
pour ma part j'ai trouvé un script powershell qui permet de rajouter des règles dans exchange, ca va détecter le nom affiché dans les mails reçus, et si un nom est identique à celui de quelqu'un dans l'entreprise ça rajoute un gros bandeau rouge dans le mail en warning.
seul défaut, script pensé pour les Anglophone, donc il faut faire attention aux accents et rajouter la variante sans accents...
source dispo ici :
https://lazyadmin.nl/office-365/warn-users-for-email-impersonation-phishing-...
PS: le script permet pas de mettre à jour les règles, il faut delete les règles et relancer le script quand on veut update avec les entrées sorties.
Le Wed, Sep 28, 2022 at 02:52:28PM +0200, Kevin Labécot [kevin@labecot.fr] a écrit:
Bonjour,
.... une tentative de phishing ....
Bref, mon client est chez O365. Ma question est : comment bloquer ce genre d???attaque ? Existe-t-il des moyens de les détecter automatiquement ?
Demander à l'intégrateur quelle solution de protection contre le phishing il propose ? ...
-
David Ponzone -
Dominique Rousseau -
Fabien S -
Kevin Labécot -
morghotb@gmail.com -
Richard Baret -
Xavier Beaudouin