LEGALAUDIT
Cyber Coach

Phishing

Phishing email : usurpation et DMARC

Emails qui se font passer pour banque, poste, impots ou collegue. Defense : lire en-têtes, SPF, DKIM et DMARC.

8 min de lectureDebutant

Drapeaux rouges à reconnaître

  • Expéditeur avec domaine similaire mais pas identique
  • SPF=fail, DKIM=none ou DMARC=quarantine dans les en-têtes techniques
  • Lien avec texte amical pointant vers un domaine réel different
  • Demande urgente d'identifiants, OTP, données de carte ou reset
  • Pièce jointe HTML, ZIP ou document avec macro non attendue
  • Langue légèrement non naturelle ou traductions melangees
  • Reply-To different du From visible
  • Référence à une facture, un colis ou un dossier que vous ne reconnaissez pas

Quoi faire maintenant

  • Ne cliquez pas : ouvrez le site officiel manuellement ou utilisez votre app installée
  • Affichez l'en-tête complet et contrôlez SPF/DKIM/DMARC avec un analyseur
  • Transferez le message en pièce jointe a phishing@ ou au CERT national
  • En cas de compromission : changez mot de passe, activez 2FA matérielle, contrôlez règles de transfert
  • Preservez l'eml original comme preuve forensique (hash, horodatage, en-têtes)
  • Prevenez collegues ou famille si le sujet les concerne aussi

Cas réel

Faux email de fisc, printemps 2025

Une PME recoit ce qui semble être un email du fisc 'Remboursement F24 retenu - action requise dans 24h'. Logo parfait, ton formel, lien vers 'agenziaentrate-rimborsi.servizi-fiscali.cloud'.

La comptable suit le lien, saisit les identifiants du portail fiscal et un OTP SMS. En 12 heures les criminels emettent quatre delegations à un faux intermédiaire et exfiltrent les données TVA. Le CERT avait signalé le domaine 72 heures plus tôt.

L'analyse forensique a révélé : domaine enregistré 5 jours avant l'attaque chez un registrar offshore, SPF fail, DKIM absent, IP d'envoi liée à un hébergement bulletproof. Mythos a reconstruit la chaîne de preuves pour la plainte.

Ce que Mythos peut faire sur ce cas

  • Analyse des en-têtes SMTP avec SPF/DKIM/DMARC et chaîne Received
  • Reputation du domaine expéditeur, historique d'enregistrement et WHOIS
  • Extraction URL, chaîne de redirection, capture et empreinte de la landing
  • Classification de la marquéé usurpee et croisement CERT
  • Dossier PDF signé pour plainte pénale

Prochaines étapes

Analyser l'email avec MythosLeçon : reconnaître le phishing en 60 secondes