Qu’est-ce que le Spearphishing ?
Généralement, le mail usurpe l’identité d’une personne morale (établissement financier, service publique, concurrent) ou d’une personne physique (collègue de travail, ami…) dans le but de duper le destinataire.
Ce mail invite généralement le destinataire à ouvrir une pièce jointe malveillante ou suivre un lien vers un site web malveillant.
Pour plus d’informations concernant le Spearphishing, nous vous invitons à consulter notre article : https://www.mailinblack.com/ressources/glossaire/quest-ce-que-le-spearphishing/
Comment Mailinblack Protect le détecte ? Deux vérifications permettent de détecter ce type d’email :
Un premier contrôle s’effectue lors des vérifications SPF sur les domaines protégés du client si celui-ci SPF retourne un fail pour une adresse provenant d’un domaine interne d’un client alors l’email sera catégorisé en Spearphishing.
2. Un deuxième contrôle consiste en une analyse de différentes informations concernant l’expéditeur comme son nom et ses adresses d’enveloppe et d’entête afin de détecter des tentatives de duperie du destinataire et donc un danger potentiel.
Comment bénéficier du filtrage Spearphishing ?
Afin de bénéficier du filtrage Spearphishing, les utilisateurs doivent être protégés.
Il faut également que les options suivantes soient activées :
Ces options s’activent depuis votre interface Protect, onglet Paramètres puis filtrage des emails.
« Appliquer les filtres permettant la détection des emails Spearphishing » permet d’afficher un nouvel onglet Spearphishing sur l’interface de vos utilisateurs.
« Appliquer les filtres anti-usurpation sur mes domaines » permet de catégoriser comme spam les emails envoyés depuis votre domaine dont la provenance n’est pas vérifiée.
Vous pouvez également activer l’affichage des emails Spearphishing dans vos rapports d’emails stoppés. Pour cela, rendez-vous sur votre menu Protect, Onglet Paramètres puis Rapports d’emails stoppés et cochez l’option suivante :
Les Spearphishing peuvent être visibles dans le rapport d’emails stoppés.
Si vous récupérez un email détecté comme Spearphishing un bandeau de mise en garde sera présent dans l’email afin d’aider l’utilisateur dans sa prise de décision, le bandeau permettra aussi de signaler des faux-positifs.
Comment les retrouver sur vos interfaces ?
Si vous n’êtes pas manager de la solution, vous retrouverez les emails catégorisés comme Spearphishing depuis votre interface :
"Accéder à My protect" - Emails - Catégorie Spearphishing
Si vous êtes manager de la solution Mailinblack, vous retrouverez les emails catégorisés comme Spearphishing depuis votre interface Protect menu Emails.
Les emails sont tagués d’une pastille violette indiquant Spearphishing.
Vous avez également la possibilité de tracer les emails catégorisés comme Spearphishing depuis cette même interface :
Comment faire si un email de mon propre domaine est catégorisé comme Spearphishing ?
Si un mail en provenance d’un expéditeur de votre propre organisation est en Spearphishing, c’est donc que l’IP ou le serveur d’envoi n’est pas renseigné dans votre champ SPF.
La solution serait donc que vous ou votre gestionnaire de domaine fassiez une modification dans votre zone DNS (sur votre hébergeur de domaine) pour bien déclarer tous les serveurs avec lesquels vous faites des envois.
Vous pouvez également autoriser la récupération des mails Spearphishing aux utilisateurs depuis l’interface Protect/ Paramètres/Autorisations accordées aux utilisateurs.
#protect #mail #security #spearphishing