5 menaces de « Phishing » pour vos salariés

La cybercriminalité est un véritable fléau. Les attaques de piratage et de logiciels malveillants se sont révélées très lucratives pour les organisations criminelles, et l'effet qu'elles peuvent avoir sur les entreprises qui en sont victimes est dévastateur. Par conséquent, il n'est pas surprenant que les investissements dans des solutions de sécurité plus strictes soient une priorité.

Malheureusement, même les entreprises les mieux préparées ont des vulnérabilités, et souvent, le maillon faible d'un système informatique est l’être humain. Cette situation est bien connue par les criminelles, comme en témoignent les tactiques d'ingénierie sociale de plus en plus utilisées pour contourner les défenses de sécurité. Après tout, pourquoi perdre son temps à choisir une serrure quand il suffit de convaincre quelqu'un de vous ouvrir la porte ?

Par conséquent, sensibiliser les utilisateurs à ce qu'ils doivent faire pour rester en sécurité est essentiel, et l’accent doit être mis sur le danger des attaques par hameçonnage. Elles incitent les gens à révéler des détails confidentiels, tels que les noms d'utilisateur, les mots de passe ou les coordonnées bancaires. De telles attaques prennent souvent la forme d’e-mails censés provenir d'une personne connue par le destinataire, et qui l'incitent à cliquer sur un lien malveillant qui infectera son ordinateur avec un logiciel malveillant ou le conduira à saisir des informations qu'il considère comme légitimes.

Cependant, il existe plusieurs types d'attaques par hameçonnage pouvant avoir différents signes révélateurs. Voici cinq tactiques communes à connaître.

1. L'hameçonnage ciblé

Une attaque par hameçonnage classique permet de ratisser large, les fraudeurs envoient des milliers de messages identiques dans l'espoir de trouver une proie. Ces efforts impersonnels ont souvent un très faible taux de réponse, car seul le volume garantit leur succès, l’hameçonnage ciblé est beaucoup plus délimité.

Ces messages seront adaptés directement à leur destinataire, incluront probablement leur nom et d'autres détails afin de convaincre les victimes que le message est authentique et semble provenir d'entreprises ou de personnes avec lesquelles elles ont déjà une relation. Beaucoup de gens sont plus enclins à faire confiance à des messages qui leur sont directement adressés, c’est pour cela qu’ils sont moins suspicieux que lorsqu’il s’agit d’un e-mail qui commence par « cher client ».

2. Le Whaling

Le Whaling (chasse à la baleine en anglais) est un type spécifique d'hameçonnage qui consiste à aller à la rencontre des cibles les plus importantes, généralement un chef de la direction ou un autre membre du conseil d'administration. Ces attaques sont très prisées des fraudeurs, car, en cas de réussite, elles peuvent leur donner accès à beaucoup plus d'informations qu’avec un salarié lambda.

Naturellement, ces comptes sont donc assortis de plus de garanties de sécurité et ne sont pas aussi librement partagés, de sorte que les escrocs se donnent beaucoup de mal à être crédibles. Cela implique de savoir avec qui la victime communique et le genre de discussions qu’elle a. Des exemples réussis peuvent inclure des références détaillées aux plaintes des clients, aux problèmes juridiques, ou même à des problèmes au sein de la direction. Étant très difficiles à repérer, les cadres supérieurs doivent donc être particulièrement méfiants.

3. Clonage

Une autre variante de l'attaque par hameçonnage ciblé est le clonage, qui se produit lorsqu'un fraudeur utilise un message légitime existant envoyé à un utilisateur comme base de son e-mail. Il copie alors presque tout, mais remplace une pièce jointe ou un lien légitime par sa version infectée.

Par exemple, un escroc peut usurper le compte de messagerie d'un collègue pour envoyer un message cloné le décrivant comme une « version mise à jour » ou quelque chose de similaire pour tromper le destinataire. Ces messages semblent plus vrais que nature pour les utilisateurs parce qu'ils semblent identiques à quelque chose qu'ils ont déjà vu et dont ils connaissent la véracité.

4. E-mail professionnel compromis

Les e-mails commerciaux compromis ou les attaques de type BEC sont similaires à l'hameçonnage ciblé dans la mesure où ils se font passer pour des e-mails de personnes connues du destinataire, mais le facteur clé est qu'ils prétendent être des managers de haut niveau exigeant des informations ou demandant à des salariés d’effectuer des transferts d'argent.

Ceux-ci peuvent être très efficaces, car la plupart des gens recevant un message de leur chef de direction leur demandant de faire quelque chose sont plus susceptibles d’obéir. Quelques-unes de plus grandes entreprises technologiques du monde en ont été victimes. Une société ciblant Snapchat en 2016, par exemple, a poussé un salarié à envoyer les données de paie de l'entreprise à quelqu'un prétendant être le PDG Evan Spiegel.

5. Menaces mobiles

Les tactiques ci-dessus tirent généralement parti des communications courantes par e-mail, mais comme de plus en plus d'activités commerciales deviennent mobiles, cela ouvre le champ des possibles pour les hameçonneurs. Il existe toute une gamme de menaces adaptées aux mobiles, telles que l'hameçonnage par SMS, où un escroc envoie à un utilisateur un message texte contenant un lien malveillant ou créant de fausses applications téléchargées par les utilisateurs, qui les confondent avec de véritables programmes.

Il existe également des techniques émergentes telles que l’URL Padding, qui correspond à une inclusion de texte dans ce qui ressemble à une adresse de site Web légitime dans une URL bidon. Cette technique est particulièrement efficace sur mobile en raison de l'espace limité pour afficher une URL complète et du fait que les gens sont habitués à un format différent. Par exemple, ils peuvent voir un lien qui commence par « m.facebook » et supposent qu'il mène au site mobile du réseau social, mais en réalité la véritable destination est cachée à la fin d'un long lien.