How can attackers create such perfect copies of legitimate emails?

Attackers obtain legitimate emails through several methods: compromising email accounts to access sent messages, intercepting emails through network vulnerabilities, or using publicly available information from data breaches. Once they have a genuine email, they use simple copy-paste techniques to recreate it exactly, only modifying the embedded links or attachments. Modern email design tools make it trivial to replicate professional email templates with perfect accuracy.

Why don't spam filters catch clone phishing emails?

Clone phishing emails often bypass spam filters because they contain legitimate content, proper formatting, and accurate branding from real organizations. The only malicious element is typically a modified link or attachment, which filters may not detect if the destination website is newly created and not yet blacklisted. Additionally, if the email comes from a compromised legitimate account, it passes authentication checks like SPF and DKIM that filters rely on to identify spoofed messages.

If I clicked a link but didn't enter any information, am I still at risk?

Simply clicking a link in a clone phishing email can still pose risks, though less severe than providing credentials. The malicious website may attempt drive-by downloads of malware, track your IP address and browser information, or use exploits targeting browser vulnerabilities. Immediately run anti-malware scans, clear your browser cache and cookies, and monitor your accounts for unusual activity. Change passwords as a precaution if the link led to a fake login page, even if you didn't submit information.

How quickly do I need to act if I realize I fell for a clone phishing attack?

Act within minutes if possible. Immediately change the password for any account where you entered credentials, starting with your email account since attackers often use compromised email to reset other passwords. Enable multi-factor authentication on all affected accounts. Contact your bank or credit card company if you provided financial information. For work-related incidents, notify your IT security team immediately so they can secure systems and alert other potential targets. The faster you respond, the more you can limit the damage.

Can clone phishing happen with text messages or social media, or just email?

Clone phishing primarily occurs through email because attackers need access to previous communications to create convincing duplicates, which is easier with email interception. However, similar techniques called "smishing" (SMS phishing) can clone text messages from banks or service providers, and social media messages can be duplicated if an attacker compromises an account. The core technique of copying legitimate communications and modifying links works across platforms, though email remains the most common vector due to its widespread business use and technical vulnerabilities.

High Risk Average Loss: $2,000 Typical Duration: 1-3 days

Hameçonnage par clonage : Quand les e-mails légitimes deviennent dangereux

L'hameçonnage par clonage est une attaque sophistiquée au cours de laquelle les cybercriminels interceptent ou recréent des e-mails légitimes provenant d'organisations fiables, puis renvoient des copies quasi-identiques contenant des liens ou des pièces jointes malveillants. Contrairement à l'hameçonnage traditionnel qui crée des e-mails faux de toutes pièces, l'hameçonnage par clonage exploite la crédibilité des communications réelles que vous avez reçues ou auxquelles vous vous attendez. Les attaquants surveillent généralement le trafic e-mail, dupliquent un message authentique en provenance de votre banque, employeur ou fournisseur de services, et remplacent les liens légitimes par des liens malveillants qui mènent à des sites de vol d'identifiants ou à des téléchargements de malwares. Cette technique a connu une augmentation de 35 % d'année en année selon le rapport sur les crimes informatiques de 2023 du FBI, avec des pertes moyennes atteignant 2 000 dollars par victime. L'attaque est particulièrement efficace car l'e-mail cloné arrive souvent peu de temps après le message légitime, apparaît dans le même fil de discussion, et contient des marques, logos et messages identiques. Les attaques par hameçonnage par clonage ciblent fréquemment les professionnels pendant le traitement des factures, les demandes de réinitialisation de mot de passe et les notifications de mise à jour logicielle. Le danger de l'hameçonnage par clonage réside dans l'exploitation des relations de confiance établies. Lorsque vous recevez ce qui semble être un message de suivi de votre service informatique ou un deuxième avis de votre compagnie de carte de crédit, votre vigilance est naturellement moins élevée que face à des communications inattendues. Les attaquants exploitent cette vulnérabilité psychologique, sachant que les destinataires sont plus susceptibles de cliquer sur les liens dans les messages qui semblent poursuivre des conversations légitimes. La Commission fédérale du commerce a signalé que les escroqueries de compromission d'e-mail professionnel impliquant l'hameçonnage par clonage ont entraîné des pertes dépassant 2,7 milliards de dollars en 2023, ce qui en fait l'une des formes les plus coûteuses de fraude cybernétique.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Interception des e-mails légitimes par le biais de comptes e-mail compromis ou d'attaques de type « man-in-the-middle », permettant aux attaquants de voir les communications authentiques avant de les cloner avec des modifications malveillantes.
• Création de copies identiques d'e-mails provenant de sources fiables telles que les banques, employeurs ou fournisseurs de services, en remplaçant uniquement les liens ou pièces jointes intégrés tout en conservant intact tout le reste du contenu, de la marque et de la mise en forme.
• Synchronisation des e-mails clonés pour arriver quelques heures ou jours après le message légitime, souvent en prétendant être un suivi, une correction ou une mise à jour urgente qui nécessite une action immédiate.
• Usurpation d'adresses d'expéditeur pour que l'e-mail cloné semble provenir de la même source légitime, en utilisant des techniques telles que la manipulation du nom d'affichage ou des domaines semblables.
• Intégration de liens malveillants qui redirigent vers des pages de connexion volant les identifiants, conçues pour ressembler exactement à des sites web légitimes, et capturent les noms d'utilisateur et mots de passe lorsque les victimes tentent de se connecter.
• Utilisation de comptes e-mail compromis de collègues, partenaires ou contacts connus pour envoyer des messages clonés, donnant l'impression que l'attaque provient de réseaux fiables et augmentant la crédibilité.

How to Identify

Réception d'e-mails dupliqués ou quasi-dupliqués sur le même sujet dans un court laps de temps, en particulier s'ils prétendent que le message précédent contenait une erreur ou nécessite une action urgente.
Détection de légères discordances dans les adresses e-mail de l'expéditeur, telles que des caractères supplémentaires, des chiffres ou des domaines semblables qui diffèrent d'une lettre par rapport à la source légitime.
Constatation que les liens de l'e-mail, lorsqu'on les survole, affichent des URL qui ne correspondent pas au domaine de l'organisation légitime ou qui redirigent via des URL raccourcies ou des adresses IP inconnues.
Détection d'une urgence inattendue dans les messages de suivi prétendant que votre compte sera suspendu, qu'un paiement a été refusé ou qu'une vérification immédiate est requise, alors que la communication d'origine n'avait pas cette urgence.
Observation d'incohérences mineures dans la mise en forme, de changements de police inhabituels ou de légères altérations dans les logos ou signatures qui n'étaient pas présents dans les e-mails légitimes précédents du même expéditeur.
Réception de demandes de réinitialisation de mot de passe, de mises à jour de factures ou de notifications d'expédition que vous n'avez pas initiées, en particulier si elles arrivent peu de temps après avoir reçu une communication similaire légitime.

How to Protect Yourself

Vérifiez les e-mails suspects en contactant l'expéditeur par le biais d'un canal de communication distinct, obtenu indépendamment, tel qu'un numéro de téléphone du site officiel, sans jamais utiliser les coordonnées figurant dans l'e-mail questionnable.
Tapez manuellement les URL des sites web directement dans votre navigateur plutôt que de cliquer sur les liens dans les e-mails, en particulier pour les comptes bancaires, e-mail ou autres comptes sensibles qui nécessitent des identifiants de connexion.
Activez l'authentification multifacteur sur tous les comptes critiques, notamment les e-mails, les comptes bancaires et les systèmes de travail, ce qui empêche les attaquants d'accéder aux comptes même s'ils obtiennent votre mot de passe par hameçonnage par clonage.
Survolez tous les liens avant de cliquer pour inspecter l'URL de destination réelle, et soyez suspect de tout lien qui ne mène pas au domaine légitime de l'organisation ou qui utilise des raccourcisseurs d'URL.
Mettez en place des règles de filtrage des e-mails et des logiciels de sécurité qui détectent les adresses d'expéditeur usurpées, signalent les e-mails externes prétendant provenir de sources internes et avertissent des e-mails présentant des caractéristiques suspectes.
Établissez des procédures de vérification au sein de votre organisation pour les transactions financières, les modifications de factures et les demandes sensibles qui nécessitent une confirmation via une deuxième méthode de communication avant de passer à l'action.

Real-World Examples

Un petit entrepreneur a reçu ce qui semblait être un deuxième avis de son fournisseur de fournitures de bureau concernant une facture impayée de 1 850 euros. L'e-mail était identique à une facture légitime reçue deux jours auparavant, incluant les mêmes détails de commande et le logo du fournisseur. La seule différence était un lien pour « consulter les détails de paiement mis à jour » qui menait à un faux portail de paiement. Après avoir saisi ses identifiants bancaires pour effectuer le paiement, l'attaquant a vidé le compte courant professionnel de 12 400 euros avant que la fraude soit découverte.

Un employé d'une entreprise technologique a reçu un e-mail cloné en provenance de son service informatique, demandant de vérifier son compte Microsoft 365 suite à une mise à jour de sécurité. L'e-mail était une copie exacte d'un avis informatique légitime envoyé à toute l'entreprise trois heures auparavant. L'employé a cliqué sur le lien de vérification et a saisi ses identifiants sur une fausse page de connexion convaincante. Dans les 30 minutes, l'attaquant a accédé au compte e-mail de l'employé et a envoyé des demandes de redirection de paiement aux clients de l'entreprise, entraînant une détournement de 47 000 euros.

Un propriétaire a reçu un e-mail cloné apparemment en provenance de sa société de services hypothécaires, demandant la confirmation des détails du compte de cautionnement. Le message est arrivé un jour après une déclaration d'analyse de cautionnement annuelle légitime. Croyant qu'il s'agissait d'un suivi pour assurer l'exactitude, le propriétaire a cliqué sur le lien et a fourni ses identifiants de services bancaires en ligne. L'arnaqueur a utilisé ces identifiants pour initier des virements totalisant 8 200 euros vers des comptes à l'étranger avant que le système de détection de fraude de la banque signale l'activité suspecte.

Frequently Asked Questions

Comment les attaquants peuvent-ils créer des copies aussi parfaites d'e-mails légitimes ?

Les attaquants obtiennent les e-mails légitimes par plusieurs méthodes : en compromettant les comptes e-mail pour accéder aux messages envoyés, en interceptant les e-mails par le biais de vulnérabilités réseau, ou en utilisant les informations disponibles publiquement provenant de fuites de données. Une fois qu'ils disposent d'un e-mail authentique, ils utilisent de simples techniques de copier-coller pour le recréer exactement, en ne modifiant que les liens ou pièces jointes intégrés. Les outils modernes de conception d'e-mails rendent trivial la réplication de modèles d'e-mails professionnels avec une précision parfaite.

Pourquoi les filtres anti-spam ne détectent-ils pas les e-mails d'hameçonnage par clonage ?

Les e-mails d'hameçonnage par clonage contournent souvent les filtres anti-spam car ils contiennent du contenu légitime, une mise en forme correcte et une marque exacte d'organisations réelles. Le seul élément malveillant est généralement un lien ou une pièce jointe modifiée, que les filtres peuvent ne pas détecter si le site web de destination est nouvellement créé et pas encore sur la liste noire. De plus, si l'e-mail provient d'un compte légitime compromis, il passe les vérifications d'authentification telles que SPF et DKIM sur lesquelles les filtres s'appuient pour identifier les messages usurpés.

Si j'ai cliqué sur un lien mais n'ai pas saisi d'informations, suis-je toujours à risque ?

Cliquer simplement sur un lien dans un e-mail d'hameçonnage par clonage peut toujours présenter des risques, bien que moins graves que de fournir des identifiants. Le site web malveillant peut tenter des téléchargements de malwares à la volée, suivre votre adresse IP et les informations de votre navigateur, ou utiliser des exploits ciblant les vulnérabilités du navigateur. Exécutez immédiatement les analyses anti-malwares, videz la mémoire cache et les cookies de votre navigateur, et surveillez vos comptes pour détecter toute activité inhabituelle. Changez les mots de passe par précaution si le lien menait à une fausse page de connexion, même si vous n'avez pas soumis d'informations.

Combien de temps ai-je pour agir si je me rends compte que je suis tombé dans un piège d'hameçonnage par clonage ?

Agissez en quelques minutes si possible. Changez immédiatement le mot de passe de tout compte où vous avez saisi des identifiants, en commençant par votre compte e-mail puisque les attaquants utilisent souvent l'e-mail compromis pour réinitialiser d'autres mots de passe. Activez l'authentification multifacteur sur tous les comptes affectés. Contactez votre banque ou votre compagnie de carte de crédit si vous avez fourni des informations financières. Pour les incidents liés au travail, notifiez immédiatement votre équipe de sécurité informatique afin qu'elle puisse sécuriser les systèmes et avertir les autres victimes potentielles. Plus vous agissez rapidement, plus vous pouvez limiter les dégâts.

L'hameçonnage par clonage peut-il se produire via les messages texte ou les réseaux sociaux, ou uniquement par e-mail ?

L'hameçonnage par clonage se produit principalement par e-mail car les attaquants ont besoin d'accès aux communications précédentes pour créer des doublons convaincants, ce qui est plus facile avec l'interception d'e-mails. Cependant, des techniques similaires appelées « smishing » (hameçonnage par SMS) peuvent cloner les messages texte des banques ou des fournisseurs de services, et les messages de réseaux sociaux peuvent être dupliqués si un attaquant compromet un compte. La technique fondamentale de copie des communications légitimes et de modification des liens fonctionne sur tous les réseaux, bien que l'e-mail reste le vecteur le plus courant en raison de son utilisation largement répandue dans le commerce et de ses vulnérabilités techniques.

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API