Le phishing, ou hameçonnage, est sûrement l’une des fraudes les plus répandue sur Internet. Les auteurs de ces arnaques ont pour habitude de se faire passer pour des organismes de confiance dans le but de soutirer aux internautes des informations confidentielles. Avec ces données récoltées, les cyber-escrocs peuvent facilement utiliser des comptes à des fins malhonnêtes. Face à cette fraude, plusieurs outils de lutte anti-spam ont vu le jour. En tant qu’annonceur, il est vous est possible de lutter efficacement contre l’usurpation d’identité grâce à des systèmes de signalement et à différentes normes d’authentification.

Le signalement : un bon moyen de lutte contre la fraude sur Internet

Différentes associations de lutte anti-spam permettent aux internautes de dénoncer tous les messages e-mails qu’ils jugent suspects, depuis ceux reçus sans avoir été sollicité à ceux représentant une réelle menace. Ces derniers ont généralement pour but le vol des données confidentielles de l’internaute (coordonnées bancaires, données d’identification…).

Depuis 2005, le site de l’association Signal Spam permet par exemple aux internautes d’émettre des signalements à l’encontre des messages perçus comme indésirables. Un vrai suivi est ensuite mis en place ainsi que la mobilisation des autorités compétentes. Les plaintes des internautes sont également retransmises aux routeurs e-mails qui peuvent ainsi identifier les annonceurs qui sont concernés par des attaques de phishing et les aider à s’en prémunir.

Un autre type de signalement : l’adresse e-mail du type « abuse@nomdelentreprise.com ». De nombreuses entreprises ont mis en place ce système de réception de plaintes à destination des internautes pour qu’ils puissent dénoncer toutes pratiques douteuses sur le web (phishing, messages intempestifs…).

L’authentification contre l’usurpation du nom de domaine

Pour éviter au maximum l’usurpation de son nom de domaine, l’annonceur doit intégrer à ses pratiques e-mails un certain nombre de normes d’authentification. Voici les 3 principaux dispositifs existants :
– SPF (Sender Policy Framework) : ce dispositif permet à l’expéditeur de légitimer la plateforme d’envoi de ses messages (via une déclaration des adresses IP autorisées à envoyer des e-mails auprès des serveurs DNS gérant le domaine de l’adresse expéditeur).
– DKIM (DomainKeys Identified Mail) : cette technologie donne la possibilité à l’expéditeur d’ajouter une signature unique à tous les messages e-mails qu’il envoie pour protéger son nom d’expéditeur. Ce dispositif permet de vérifier que le message en question n’a pas été altéré en cours d’envoi. Elle garantit l’intégrité des messages.
– DMARC (Domain-Based Authentication Reporting and Conformance) : cette norme d’authentification vient compléter efficacement DKIM et SPF.

Le courriel arrivant sur le serveur du FAI par exemple est vérifié avant d’être redirigé vers la messagerie du contact concerné. Dans le cas où le message a été altéré en cours d’envoi ou a été envoyé par un serveur d’envoi non authentifié, DKIM précise alors la réaction que doit avoir le FAI (blocage, rejet…). L’annonceur a de plus accès à des statistiques concernant les tentatives de phishing à son égard.

Ces technologies, en constante évolution, sont des moyens de lutte qui ont prouvé leur efficacité. D’après le dernier rapport de Phishing Initiative, parmi les 50 000 sites et adresses ayant été signalés par les internautes français en 2012, 30 000 d’entre eux ont été créés dans une optique d’escroquerie. Le rapport précise que la moitié des signalements ont été vérifiés en moins de 15 minutes, ce qui a limité la diffusion d’une bonne partie des messages frauduleux.

Besoin d’améliorer la délivrabilité de vos messages e-mails ? Dolist met à votre disposition le Pack Délivrabilité qui assure la réception de vos messages et la sécurité de vos opérations. Il intègre un ensemble de solutions techniques qui optimise la livraison de vos campagnes e-mails tout en protégeant votre réputation d’expéditeur.

Sources : JDN (30/04/2013), EmailMarketing (05/01/2011), Phishing Initiative (20/03/2013), Signal Spam