Que sont les escroqueries par hameçonnage ?

Les escroqueries par hameçonnage, une tactique trompeuse, sont couramment utilisées par les cybercriminels pour mener des activités malveillantes. La plupart des gens ont déjà reçu un courriel d’hameçonnage. Malgré sa prévalence, les cybercriminels continuent d’utiliser cette méthode pour installer des logiciels malveillants, voler des informations d’identification et commettre des escroqueries, notamment la compromission des courriels d’entreprise (BEC).

Un rapport de CISCO sur les tendances des menaces en matière de cybersécurité pour 2021 place le phishing et le crypto-minage en tête des menaces pour les entreprises. Le rapport indique également que 86 % des employés des organisations cliquent sur des liens de phishing.

La protection contre les escroqueries par hameçonnage est essentielle pour assurer la sécurité de votre organisation, car 90 % des violations de données proviennent d’attaques par hameçonnage.

Voici 10 façons de vous assurer que votre organisation n’est pas victime d’une escroquerie par hameçonnage.

10 façons de prévenir les escroqueries par hameçonnage

Pour se protéger contre les escroqueries par hameçonnage, il faut utiliser plusieurs niveaux de protection :

Découvrez à quoi ressemble une attaque de phishing

Les cybercriminels ne ménagent pas leurs efforts pour que les courriels de phishing paraissent légitimes. Par conséquent, les escroqueries par hameçonnage sont de plus en plus sophistiquées et ciblent souvent des personnes et des entreprises spécifiques. Une campagne de phishing ciblée est appelée spear phishing. Cette forme d’hameçonnage implique la collecte de renseignements afin d’adapter les courriels d’hameçonnage qui sont difficiles à différencier des courriels authentiques.

Les employés de toutes les unités d’une entreprise doivent être formés à repérer les signes révélateurs de l’hameçonnage. Les campagnes d’hameçonnage sur mesure utilisent souvent des marques commerciales connues, telles que Microsoft Office 365, pour dissimuler habilement une escroquerie par hameçonnage.

Les plateformes de simulation de phishing sont un moyen idéal pour former les employés à repérer une tentative de phishing. En outre, les plateformes de simulation de phishing avancées telles que MetaPhish permettent à une entreprise d’adapter ces simulations en fonction des rôles au sein de l’organisation, de sorte que même les tentatives de spear phishing peuvent être évitées.

Pour en savoir plus sur le phishing, consultez le MetaCompliance Ultimate Guide to Phishing.

Ne cliquez pas sur des liens inconnus

Les utilisateurs finaux et les consommateurs ont été formés par une expérience utilisateur intelligente et des tactiques d’interface utilisateur à cliquer sur des liens pour rendre leur vie en ligne plus facile à gérer. Mais les cybercriminels ont fini par exploiter ce comportement.

L’envie de cliquer doit être interceptée pour éviter une cyberattaque. Une règle simple peut faire la différence entre prévenir une cyberattaque et devenir une statistique de la cybersécurité : « ne cliquez pas sur un lien dans un courriel si vous n’êtes pas sûr à 100 % qu’il est valide ». Si un courriel ou un SMS contient un lien, arrêtez-vous toujours et réfléchissez avant de cliquer.

Pour en savoir plus, consultez l’article Que faire si vous cliquez sur un lien d’hameçonnage ?

Ne téléchargez pas de pièces jointes non vérifiées

Les employés ouvrent une pièce jointe et votre organisation est infectée par un logiciel malveillant. Ne téléchargez pas une pièce jointe si vous n’êtes pas sûr à 100 % qu’elle est légitime.

Une récente attaque de phishing démontre la sophistication des attaques utilisant des pièces jointes infectées. La campagne de phishing SVCReady utilise un type particulier de propriété inhérente à un document Microsoft Word, connu sous le nom de shellcode, pour livrer un chargeur sur une machine. La machine infectée est ensuite utilisée pour recueillir des informations sensibles, mettre en place un centre de contrôle à distance et, d’une manière générale, rester dans les parages jusqu’à ce que l’attaquant décide de passer à l’acte, d’installer d’autres logiciels malveillants et/ou de voler des données.

Ne partagez pas trop sur les médias sociaux

Les cybercriminels recueillent des informations sur leurs cibles afin d’adapter leurs attaques de phishing et de les rendre plus susceptibles de tromper les destinataires. Les médias sociaux sont un terrain idéal pour la recherche d’informations. Les cybercriminels font des recherches sur l’entreprise et ses employés, à la recherche d’informations qui peuvent être utilisées pour créer des campagnes de spear phishing.

Les médias sociaux sont également un lieu où le partage excessif peut entraîner le partage de mots de passe. Par exemple, un rapport a identifié un partage généralisé de mots de passe sur des canaux de collaboration non sécurisés tels que Slack. Veillez à ce que vos employés connaissent les dangers liés à la communication de données privées et de mots de passe sur des canaux tels que Slack, Discord et les plateformes de médias sociaux.

Soyez attentif à l’hygiène des mots de passe

Le partage et la réutilisation des mots de passe augmentent les chances qu’une campagne d’hameçonnage aboutisse à la compromission des données et des systèmes informatiques. Le partage des mots de passe est un problème grave dans les organisations. Selon une étude de Google, 62 % des personnes réutilisent leurs mots de passe et 52 % les réutilisent pour accéder à plusieurs comptes.

En outre, 34 % des employés partagent leurs mots de passe avec leurs collègues. Si les mots de passe « circulent » et sont réutilisés, les gens sont moins susceptibles de voir la valeur de la sécurité et ont donc une attitude de laisser-faire à l’égard de la sécurité des mots de passe. Faites de l’hygiène des mots de passe un thème central de la formation de sensibilisation à la sécurité.

La pièce rapportée dans le temps

Les campagnes de phishing dépendent souvent d’une faille de sécurité exploitable. Par exemple, l’attaque de phishing de Zimbra en 2021 a exploité des vulnérabilités dans le client de messagerie Zimbra par le biais d’un courriel de phishing. Par conséquent, il est essentiel de veiller à ce que les applications logicielles soient corrigées dès que possible dans le cadre des mesures permanentes de lutte contre le phishing.

Tenez vos comptes à jour

Les anciens comptes en ligne sont utiles aux cybercriminels qui peuvent les utiliser pour créer des identités synthétiques et commettre des fraudes. Ces comptes peuvent également être utilisés dans le cadre d’une escroquerie BEC ou pour obtenir des renseignements en vue d’autres cyberattaques.

Si vous avez un ancien compte de messagerie ou un compte en ligne que vous n’utilisez jamais, fermez le compte ou rétablissez son utilisation et surveillez-le régulièrement. Veillez à modifier fréquemment le mot de passe et consultez HaveIBeenPwnd pour savoir si un compte de messagerie ou un mot de passe a été exposé lors d’une violation de données.

Utilisez 2FA ou MFA (mais restez prudent)

Une bonne pratique pour se protéger contre les escroqueries par hameçonnage consiste à appliquer un deuxième facteur (2FA) ou une authentification multifactorielle (MFA) chaque fois que cette mesure est prise en charge. Cependant, le 2FA ou le MFA ne garantit pas l’échec d’une attaque par hameçonnage, mais réduit le risque.

Des mesures 2FA ou MFA mal mises en œuvre, par exemple, peuvent s’avérer inutiles pour prévenir les attaques de phishing. Utilisez le 2FA ou le MFA, mais soutenez-le par une formation de sensibilisation à la sécurité.

Signalez tout ce qui est suspect

Encouragez les employés à signaler tout courriel ou texte suspect afin d’éviter qu’un incident ne se produise. Créez un environnement qui encourage la coopération en matière de sécurité. Gardez une porte et un esprit ouverts à l’égard des employés qui cliquent sur un lien malveillant en leur donnant l’espace nécessaire pour qu’ils sentent qu’ils peuvent signaler une erreur.

Le signalement des incidents contribuera à protéger votre organisation contre les escroqueries par hameçonnage, mais le signalement doit être facile et basé sur un système de signalement avancé conçu pour escalader et fournir des options de triage.

Envisagez d’utiliser des outils anti-hameçonnage

La formation à la sensibilisation à la sécurité fait partie d’un ensemble plus large de mesures qui peuvent être utilisées pour se protéger contre les escroqueries par hameçonnage. D’autres mesures peuvent être employées pour ajouter des couches de protection : un logiciel de filtrage DNS qui empêche un employé de naviguer vers un site web malveillant ; et un filtre anti-spam basé sur le cloud qui peut empêcher les courriels de phishing d’entrer dans la boîte de réception d’un employé.

Cependant, ces mesures de sécurité ne sont pas suffisantes. Les cybercriminels qui conçoivent les courriels d’hameçonnage les élaborent de plus en plus de manière à échapper à la détection. Ce n’est qu’en utilisant des méthodes à plusieurs niveaux, y compris les connaissances de vos employés en matière de phishing, qu’une organisation peut se protéger contre les escroqueries par phishing.

[faq_posts]