Le phishing, sous toutes ses formes, des courriels malveillants au SMShing (hameçonnage par SMS), en passant par le social post phishing et le Vishing (hameçonnage par appel téléphonique), fait désormais partie du quotidien d'une organisation.
Cependant, les courriels d'hameçonnage sont de loin la forme la plus courante d'hameçonnage.
Selon lerapport de Cisco intitulé "2021 Cybersecurity Threat Trends Report", environ 90 % des violations de données commencent par des courriels de phishing. Plus inquiétant encore, le rapport suggère que dans 86 % des organisations, au moins une personne cliquera sur un lien de phishing. Mais, bien sûr, il suffit d'un clic pour être infecté par un ransomware ou l'exposition de données sensibles, etc.
Comprendre les tactiques utilisées dans certaines des formes les plus courantes d'attaques par courriel de phishing et savoir comment les employés peuvent les éviter permet de réduire les cyberrisques. Voici cinq exemples d'e-mails de phishing et comment empêcher les employés de prendre des risques.
L'arnaque des fausses factures
L'arnaque aux fausses factures est l'une des plus populaires parmi les hameçonneurs. Les fraudeurs envoient des courriels contenant de fausses factures, dans l'espoir de piéger un employé inconscient. Malheureusement, si la fausse facture est payée ou si une question concernant la facture est posée au fraudeur, de l'argent ou des données personnelles seront probablement volés.
Le type de facture inclus dans les courriels d'hameçonnage varie, mais on peut citer les exemples suivants :
Facturation des produits de sécurité tels que les logiciels anti-virus
- Factures impayées de faux fournisseurs
- Courriels d'expiration du paiement du domaine avertissant que si vous n'agissez pas, votre site web et vos courriels ne seront plus disponibles.
- Factures de collecteurs de fonds et d'organisations caritatives, offrant souvent un placement publicitaire ou un article dans une publication caritative.
- Le Business Email Compromise (BEC) est une forme très sophistiquée et ciblée d'escroquerie aux fausses factures.
Comment éviter les escroqueries aux fausses factures
Les escroqueries à la facture peuvent être très sophistiquées, les fraudeurs ciblant des personnes spécifiques, telles que les personnes travaillant dans la comptabilité fournisseurs ou les directeurs financiers. Les courriels ont l'air authentiques et contiennent souvent un message urgent du type "payez maintenant ou subissez les conséquences".
Utilisez une simulation de phishing qui offre une formation basée sur les rôles pour cibler les types d'utilisateurs les plus exposés aux escroqueries par fausses factures. Les simulateurs d'hameçonnage basés sur les rôles vous permettront d'adapter vos campagnes d'hameçonnage simulées pour refléter les défis réels auxquels sont confrontés des départements et des personnels spécifiques.
Faux e-mails de support technique
Créer un sentiment d'urgence et de conformité sont deux des techniques de manipulation utilisées par les escrocs pour inciter les employés à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées. Un exemple de ces manipulations comportementales se retrouve dans les courriels de phishing qui prétendent provenir du support technique.
Dans l'exemple ci-dessous, vous pouvez voir que le personnel est invité à passer à un nouveau portail web pour accéder à des informations personnelles et professionnelles importantes, y compris leurs bulletins de salaire. L'e-mail rappelle aux employés qu'ils n'ont que 24 heures pour se mettre en conformité.
L'e-mail contient un lien vers un site web malveillant. Si l'employé clique sur ce lien et se rend sur le site, il lui sera demandé de saisir ses identifiants de connexion et ses données personnelles. S'il le fait, ces données seront volées et les fraudeurs les utiliseront pour se connecter au portail réel.
Comment éviter les faux e-mails d'assistance technique
Tout le personnel est exposé à ce type de courriel de hameçonnage spéculatif général. La formation générale de sensibilisation à la sécurité devrait être utilisée pour apprendre à tous les employés, dans tous les départements, comment être en sécurité en ligne.
L'éducation sur la façon dont les cybercriminels manipulent le comportement humain est cruciale pour former les employés aux tactiques utilisées par les fraudeurs lors de la création d'e-mails de phishing. Les programmes efficaces de formation à la sensibilisation à la sécurité s'appuient sur un apprentissage ponctuel qui utilise les opportunités pour réapprendre les mauvais comportements en matière de sécurité.
La formation générale de sensibilisation à la sécurité doit être utilisée parallèlement à des exercices de simulation de hameçonnage qui s'attaquent spécifiquement à ce type de menace. Il s'agit d'e-mails qui semblent provenir de services internes et qui utilisent des tactiques telles que l'urgence et la menace de mesures disciplinaires en cas de non-intervention.
Escroqueries fiscales
Les escroqueries fiscales augmentent souvent en volume pendant la saison des impôts, mais elles peuvent survenir à tout moment. Souvent, ces courriels proposent un remboursement d'impôts. Cependant, le HMRC indique explicitement sur son site web: "HMRC n'enverra jamais de notifications par e-mail concernant des remises ou des remboursements d'impôts."
Les courriels d'escroquerie fiscale ont généralement un aspect réaliste et sont souvent bien composés. Les escrocs utilisent le logo et la marque du HMRC pour donner aux e-mails de phishing une apparence légitime. Ils contiennent généralement un lien vers la page de connexion de HMRC Gateway. La page Web vers laquelle renvoie le lien est un faux site Web utilisé pour recueillir des données et les envoyer aux fraudeurs à l'origine de l'escroquerie. Parfois, ces sites Web contiennent également des logiciels malveillants, et toute personne naviguant sur ce site Web peut se retrouver avec un appareil infecté.
Comment éviter les escroqueries fiscales
Les escroqueries fiscales peuvent être non ciblées et être envoyées à n'importe qui dans une organisation. Cependant, les arnaques fiscales les plus efficaces seront envoyées à des employés spécifiques des départements financiers. Par conséquent, s'il est important d'inclure les escroqueries fiscales dans vos exercices de simulation de hameçonnage pour tout le monde, vous devez également vous concentrer sur la formation de tous les membres du département financier à ce sujet. À l'approche de la saison des impôts, redoublez de formation pour vous assurer que les employés, en particulier ceux du département financier, sont prêts à faire face à l'assaut probable de ces e-mails de phishing.
Problème de compte courriel Courriel de phishing
Supposons qu'un employé reçoive un courriel à consonance urgente l'informant que son compte de messagerie est sur le point d'être suspendu ou qu'il doit être mis à niveau de toute urgence. Dans ce cas, il peut se sentir obligé de cliquer sur le lien pour résoudre le "problème". Cependant, cet e-mail pourrait être une arnaque de phishing menant à des informations d'identification volées.
L'exemple d'e-mail de phishing ci-dessous montre comment la marque Microsoft a été utilisée pour donner plus de poids à l'affirmation selon laquelle le compte de messagerie de l'utilisateur est en danger. Le lien contenu dans l'e-mail est malveillant et renvoie l'utilisateur vers un site Web qui ressemble à une page de connexion à Microsoft Office 365.
Microsoft figure souvent dans le top 5 des marques les plus usurpées utilisées dans les messages de phishing. Selon Cisco, les cinq premières marques usurpées au premier trimestre 2022 sont les suivantes :
- LinkedIn (concernant 52% de toutes les attaques de phishing dans le monde)
- DHL (14%)
- Google (7%)
- Microsoft (6%)
- FedEx (6%)
Comment éviter le problème du courrier électronique de Microsoft : le courrier électronique de phishing
Les fraudeurs utilisent souvent Microsoft et d'autres marques connues pour donner aux employés un faux sentiment de sécurité. La fidélité à la marque et la confiance sont utilisées pour s'assurer que les victimes s'engagent dans le message électronique et cliquent sur le lien malveillant. C'est là que les exercices de simulation de phishing peuvent apprendre aux employés à se méfier des e-mails de marque qui incluent des tactiques de manipulation du comportement telles que l'urgence.
Arnaque de Google Docs
Les entreprises utilisent régulièrement Google docs pour saisir des documents et des idées et collaborer avec leurs collègues. En 2020, Google GSuite comptait plus de 6 millions d'entreprises abonnées au service. Ces nombreux utilisateurs font de Google une proposition alléchante pour les escrocs.
Une nouvelle utilisation récente d'une attaque basée sur le phishing qui utilise GSuite pour accrocher une cible montre à quel point les pirates peuvent être innovants. Dans cette escroquerie, un fraudeur crée un document Google, puis le commente en utilisant la notation @ pour cibler un utilisateur spécifique. Cela déclenche l'envoi par Google d'un courriel de notification dans la boîte de réception de la cible au sujet du commentaire. L'e-mail de Google est authentique, mais il contient un commentaire intégré. Ce commentaire contient généralement des liens malveillants qui, s'ils sont cliqués, conduisent l'employé vers un site web malveillant.
Google a récemment mis à jour les commentaires afin que les internautes puissent voir qui a laissé le commentaire. Cependant, les escrocs mettent constamment à jour leurs tactiques, et une nouvelle arnaque de GSuite pourrait apparaître prochainement.
Comment éviter les arnaques aux commentaires de GSuite (et autres)
Des courriels d'hameçonnage habilement déguisés peuvent se greffer sur des courriels légitimes et des services similaires, comme c'est le cas de l'arnaque aux commentaires GSuite. Ces escroqueries sophistiquées font qu'il est difficile pour les employés de reconnaître une escroquerie.
La formation à la sécurité doit refléter les politiques de l'entreprise, notamment en ce qui concerne l'utilisation de référentiels de documents basés sur le cloud et les personnes autorisées ou non à collaborer à la documentation de l'entreprise. Lors de la formation à la sécurité, assurez-vous que vous disposez des renseignements les plus récents sur les escroqueries et que le contenu reflète les dernières escroqueries.
Utilisez la formation à la sensibilisation à la sécurité et une plateforme de simulation d'hameçonnage qui fournit un excellent support pour élaborer des programmes de formation basés sur les rôles et offrant plusieurs langues et un support d'accessibilité.
De plus, il est essentiel de reconnaître que les fraudeurs changent régulièrement de tactique pour éviter d'être détectés. C'est pourquoi il est vital d'organiser régulièrement des formations de sensibilisation à la sécurité tout au long de l'année.
