Le phishing peut tuer l'e-réputation d'un annonceur en 10 h

09 avril 2014 à 19h18
0
Les annonceurs dépensent des fortunes dans leurs campagnes marketing dans le but de bâtir une réputation... qui peut être mise à terre en quelques heures par un cybercriminel usurpant leur identité. Retour sur cette menace avec Didier Colombani de Return Path lors du salon E-marketing.

0104000007292130-photo-phishing.jpg
L'hameçonnage - phishing en anglais, le filoutage pour certains - est utilisé par des fraudeurs pour obtenir des renseignements personnels comme les coordonnées de carte bancaire. Usurpant l'identité de services en ligne comme des Webmails, des banques ou des e-commerçants, ils finissent par porter préjudice à leur image de marque en décrédibilisant leurs campagnes marketing.

Selon Return Path, ce genre de menace a triplé ces trois dernières années en France, et a atteint les 450 000 attaques en 2012. Un chiffre largement sous-évalué selon Didier Colombani, directeur Europe du spécialiste de la délivrabilité e-mail. « Nous pensons qu'il faut multiplier ce chiffre par dix pour être plus proche de la réalité. Ce ne sont plus seulement les banques qui sont visées mais tous les secteurs », affirme l'expert sur ce sujet.

Si la technique n'est pas nouvelle, elle revêt de nouvelles formes. « Les cybercriminels se sont structurés en groupes internationaux organisés et aux moyens financiers très importants, et déploient des campagnes massives au niveau mondial », souligne le responsable régional de Return Path. Un autre phénomène a émargé, observe-t-il, ce sont des individus indépendants qui achètent des kits sur Internet pour 250 dollars et font des coups isolés. Comme le phishing est plus lucratif que le spam, leurs moyens augmentent vite.

La société rappelle que chaque minute, un site dédié au phishing voit le jour. Et que chaque personne reçoit en moyenne un e-mail de hameçonnage par jour dans sa boîte aux lettres. Plus inquiétant, la moitié de ces personnes ouvrent cet e-mail, « ce qui donne une idée du retour sur investissement de ces campagnes. Les équipes marketing qui ont des taux d'ouverture deux fois inférieurs se demandent comment ils font ».

Une personnalisation plus poussée qu'en marketing

Didier Colombani attribue le succès de ces campagnes à leur haut degré de personnalisation, les fraudeurs n'hésitant plus à utiliser les données des réseaux sociaux en plus de données personnelles toujours plus fournies. « Les fraudeurs vont plus loin que les annonceurs dans la personnalisation », estime-t-il. Et cite un exemple d'une personne victime d'un e-mail de phishing où figurait la véritable date d'expiration du service usurpé. Tout était exact dans ce message d'ailleurs, ce qui a failli tromper cette personne pourtant avertie.

Dans le top dix des pays hébergeant des sites de ce genre, la France se situe à la septième position, derrière le Royaume-Uni, quatrième, les Etats-Unis, deuxièmes, et la Chine, en tête. Mais l'Hexagone occupe le deuxième rang en ce qui concerne les attaques ! Pour usurper une marque, les fraudeurs utilisent trois fois sur dix les domaines exacts de marques mais non usités. Il s'agit de domaines enregistrés à des fins préventives ou de concurrence dans des secteurs critiques. Mais la plupart des temps, les fraudeurs ont recours à des domaines « cousins » ou ressemblants, orthographiés différemment mais subtilement.

Un autre moyen de duper un internaute se trouve sur mobile. « La plupart du temps le domaine d'envoi de l'expéditeur n'apparaît pas dans la boîte mail sur mobile et quand on sait que la moitié des gens consultent leurs messages électroniques sur ce canal, cela donne une idée de l'ampleur du risque », note l'expert.



0208000007292140-photo-phishing.jpg
Exemple d'un e-mail de hameçonnage raté.



Pour se prémunir de ce genre d'avarie, il existe quatre dispositifs principaux : le filtrage du FAI et du Webmail, les logiciels de sécurité, l'évidente éducation des internautes et la fermeture du site frauduleux qui intervient en moyenne au bout de 40 heures, alors que le gros de ces campagnes a lieu les 10 premières heures. Le problème de ces méthodes selon Didier Colombani c'est qu'elles arrivent après la bataille...

Pour cerner ces menaces, Return Patch conseille d'adopter une « vision en 3D », en identifiant leur nature (récupération de données personnelles, faux jeux concours, etc.), leur ampleur, dans le but de quantifier le risque, de pouvoir justifier des dépenses pour les contenir et de mesurer son retour sur investissement, et enfin de déterminer leur niveau d'efficacité afin de dimensionner sa réaction en matière de sécurisation.

Coût financier important et dégradation de l'image

Le coût d'une attaque de phishing peut être important. Lorsqu'une banque est visée, elle doit rembourser ses clients en raison de la législation. Alerter sa base client par e-mail demande de mobiliser des équipes de communication ce qui a un coût non négligeable également. Dès qu'une attaque survient, il se peut aussi que ces personnes se ruent vers le service client, auquel cas cela peut faire saturer les centres d'appel.

Return Path cite l'exemple d'un service en ligne qui a fait face à 70 000 appels en moins de 10 heures suite à une attaque d'hameçonnage. Avec un coût d'appel entre 10 et 15 euros, cela donne une idée du préjudice. En sus, faire « tomber » un site de phishing en appelant un prestataire est une opération aussi onéreuse.

« Le paradoxe est que souvent ce sont les équipes informatiques et le juridique qui montent au front alors qu'il s'agit aussi et même surtout d'une question marketing. C'est le marketing qui subit le gros de l'impact, le RSSI n'a aucune vision sur les conséquences en termes d'image de marque », observe Didier Colombani. Selon lui c'est la réputation du site qui a le plus à perdre. « Un de nos clients avait lancé une campagne e-mail deux jours après une attaque de phishing. Résultat : les gens n'ont pas fait la différence. Les FAI et Webmails les ont passé en spams et personne ne les a ouverts », illustre le responsable de Return Path.


0140000007292132-photo-e-reputation.jpg


Didier Colombani cite l'exemple d'un e-commerçant français majeur qui, en novembre 2013, a été victime de phishing. Son taux de remise en boîte aux lettres, habituellement de 90%, a chuté à 58% en moins de deux jours. Lorsque Gmail a catégorisé ses e-mails dans les spams, ce site a perdu 17 000 euros par jour...

« La confiance entre un client et un annonceur met du temps à se bâtir mais peut être rapidement mise à terre par une campagne d'hameçonnage de seulement quelques heures », prévient-il. Chiffre à l'appui, il souligne que 42% des internautes français affirment que leur confiance serait durablement affectée vis-à-vis d'une marque utilisée à des fins de phishing. Pour Meetic, la plus grosse préoccupation liée au phishing d'après lui est que ses clients finissent par croire que le site de rencontres monétise leurs données.

Parmi les pistes pour minimiser les risques, Didier Colombani conseille de rapprocher la direction marketing du responsable de la sécurité des systèmes d'informations et du juridique, afin qu'ils travaillent ensemble sur ce sujet. Et d'adopter les protocoles d'authentification SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance).



A lire également :

Modifié le 01/06/2018 à 15h36
0 réponses
0 utilisateurs
Suivre la discussion

Les actualités récentes les plus commentées

Tesla : Elon Musk a tranché, la Gigafactory 4 sera construite en Allemagne, préférée à la France
Le Japon va-t-il vraiment déverser de l’eau radioactive dans l’océan ?
Un TER n’émet pas toujours moins de CO2 qu'une voiture ou un autobus !
BMW s'intéresse de près à la charge bidirectionnelle
Windows 10 : la mise à jour (1909) de novembre 2019 est là !
À Marseille, un radar en test mesure le niveau de pollution des véhicules
Les camions électriques Volvo sont désormais en vente (et bientôt sur nos routes)
Plombé par son coût environnemental, le projet géant EuropaCity tombe à l'eau
Selon Bloomberg, un MacBook 16

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

Discussions sur le même sujet

scroll top