La cybersécurité est de plus en plus à la mode. Nous avons tous entendu parler des brèches dans les systèmes TalkTalk, Dropbox et Yahoo, ce qui signifie qu’elles ne feront qu’augmenter dans un avenir proche.

En tant qu’êtres humains, nous avons tendance à commettre des erreurs. Il est donc nécessaire d’informer votre personnel sur les précautions à prendre. Vous pouvez protéger votre organisation en sensibilisant votre personnel à ne pas cliquer sur des liens suspects dans les courriels, à ne pas écrire leurs mots de passe sur un post-it ou à ne pas se connecter à des réseaux Wi-Fi publics lorsqu’ils travaillent à distance.

Dans cette série de blogs, nous revenons aux fondamentaux et examinons donc les types de menaces de phishing qui existent. Pour vous prémunir contre une éventuelle attaque de phishing, vous devez tirer parti des barrières techniques, mais aussi de la sensibilisation du personnel. En fin de compte, la sensibilisation du personnel aidera votre personnel à reconnaître les tactiques couramment utilisées par les cybercriminels dans un courriel de phishing.

  • Hameçonnage

Le filtre anti-spam de votre compte personnel ou professionnel détecte généralement les courriels indésirables, mais il arrive qu’ils se frayent un chemin jusqu’à votre boîte de réception principale. C’est là que vous devez être capable de repérer un courriel d’hameçonnage. Le fait que votre filtre anti-spam vous aide de temps en temps et déplace les courriels indésirables hors de votre vue est à la fois une aide et un obstacle. Le filtre vous aide parce que vous n’êtes pas tenté de cliquer directement dessus (loin des yeux, loin du cœur), mais il vous empêche de voir les tactiques utilisées par les pirates informatiques et peut donc vous empêcher de faire la différence entre un courriel authentique et un courriel d’hameçonnage.

Par exemple, une personne vous contacte pour vous dire que vous avez été identifié comme le dernier descendant vivant d’un riche financier et que vous avez droit à sa fortune. Le bon sens est là pour vous dire que c’est pratiquement impossible. De plus, vous aimeriez bien recevoir un document légal confirmant une telle nouvelle plutôt qu’un courriel provenant d’un compte Hotmail.

Si vous parvenez à repérer ces signes d’alerte, c’est une bonne chose. Les courriels d’hameçonnage généralisés sont conçus pour vous prendre au dépourvu, mais les fausses promesses ou le manque de grammaire utilisés dans le courriel devraient vous alerter sur les dangers. Mais les cybercriminels sont de plus en plus intelligents.

Un test de ransomware est une solution permettant de tester le comportement de vos employés face aux courriels de phishing. Un logiciel de simulation d’hameçonnage peut fournir à la direction des rapports sur la façon dont les employés réagissent à ces courriels. Ces rapports indiqueront quels membres du personnel doivent suivre un module de formation sur le phishing.

  • Spear Phishing

Il s’agit d’une méthode d’hameçonnage extrêmement sophistiquée. Les cybercriminels qui envoient des e-mails de spear phishing ont fait leurs devoirs ; ils ont adapté le contenu de l’e-mail spécifiquement pour vous. Pour ce faire, ils vous ont surveillé, vous et vos collègues, sur les médias sociaux et ont finalement utilisé ces informations pour créer l’e-mail parfait pour vous, qui servira à gagner votre confiance.

Le courriel que vous recevez semble provenir d’une personne ou d’une entreprise. Ajoutez à cela les informations personnelles qu’ils ont glanées et vous obtenez la recette d’un désastre. Par rapport à un courriel de phishing standard, un courriel de spear phishing s’adresse personnellement à vous et contient des informations qui vous intéressent.

Et si vous receviez un courriel signé par votre équipe d’assistance informatique vous informant que votre compte de messagerie manque d’espace ? Ce type d’e-mail semble un peu plus plausible. Les signatures des courriels peuvent avoir l’air officielles : c’est très bien, mais dans le corps du courriel, vous devez vous méfier de l’orthographe et de la grammaire, de la personne à qui le courriel est adressé (se réfère-t-elle à vous par votre nom ou simplement à « l’utilisateur » ?

  • Chasse à la baleine

Cette forme d’attaque par hameçonnage vise directement les membres du personnel et de la direction, mais l’objectif reste le même : acquérir des informations.

Le cybercriminel se fait passer pour une source fiable ou digne de confiance, un peu comme dans le cas du spear phishing. Cependant, une attaque de type « whaling » est conçue pour piéger les membres du personnel de haut niveau, car ils ont plus de chances d’avoir accès à des informations financières importantes de l’entreprise, voire de pouvoir autoriser des transactions financières ou des paiements.

Par exemple, supposons que vous soyez le directeur financier principal et que vous receviez un courriel de votre collègue au sujet de quelques factures qui nécessitent une approbation pour un paiement immédiat. Il a également joint un dossier zip à l’e-mail. Vous paniquez automatiquement et votre cerveau s’emballe en pensant : « Ai-je oublié d’autoriser ces factures ? Je suis sûr que non – j’ai traité toutes les factures lundi ». Dans ce cas, votre réaction automatique serait de cliquer sur la pièce jointe du dossier zip et de vérifier les factures pour vous rafraîchir la mémoire.

C’est là que vous devez vous arrêter. Au lieu de cliquer sur la pièce jointe, vérifiez dans vos dossiers si le paiement a été approuvé. Gagnez quelques secondes (et la réputation de votre entreprise) en vérifiant vos dossiers avant d’accéder à un contenu téléchargeable à partir d’un courriel.

Si vous avez téléchargé ce dossier zip, il contient probablement un fichier suspect qui exécute un dangereux programme malveillant sur votre ordinateur ou votre portable. Ce programme pourrait même accéder à votre réseau et causer des dommages potentiellement irréparables.

Conclusion

Les attaques de phishing peuvent tout simplement détruire une entreprise d’un simple clic. Il suffit qu’une personne clique sur un lien ou télécharge une pièce jointe pour que la réputation et les actifs de votre entreprise soient menacés. Pour lutter contre la menace du phishing, les entreprises doivent investir dans la formation de leur personnel pour qu’il sache à quoi s’attendre.

Chez MetaCompliance, nous fournissons des logiciels de simulation de phishing et des contenus d’apprentissage en ligne qui augmenteront la sensibilité d’une organisation aux courriels frauduleux.

Saviez-vous qu’il suffit d’une minute et vingt secondes pour que quelqu’un ouvre un courriel de phishing ? Prenez plutôt le temps de réfléchir avant de cliquer.