La cybersécurité est en train de devenir la dernière tendance. Nous avons tous lu des articles sur les brèches de TalkTalk, Dropbox et Yahoo, ce qui signifie qu'elles ne feront qu'augmenter dans un avenir proche.
En tant qu'êtres humains, nous sommes câblés pour faire des erreurs, il est donc nécessaire d'éduquer votre personnel sur ce dont il faut se méfier. Vous pouvez protéger votre organisation en sensibilisant votre personnel pour qu'il évite de cliquer sur des liens suspects dans les courriers électroniques, qu'il cesse d'écrire ses mots de passe sur un post-it ou qu'il sache qu'il ne doit pas se connecter à des réseaux Wi-Fi publics lorsqu'il travaille à distance.
Dans cette série de blogs, nous revenons à l'essentiel. Voyons donc quels types de menaces de phishing existent. Pour vous armer contre une éventuelle attaque de phishing, vous devez tirer parti des barrières techniques, mais aussi de la sensibilisation du personnel. En fin de compte, la sensibilisation du personnel aidera votre personnel à reconnaître les tactiques courantes utilisées par les cybercriminels dans un e-mail de phishing.
- Phishing (hameçonnage)
Le filtre anti-spam de vos comptes de messagerie personnels ou professionnels détecte généralement les courriers indésirables, mais il arrive parfois qu'ils se retrouvent dans votre boîte de réception principale. C'est là que vous devez être capable de repérer un courriel de phishing. Le fait que votre filtre anti-spam vous aide de temps en temps à éliminer les messages indésirables est à la fois une aide et un obstacle. Le filtre vous aide parce que vous n'êtes pas tenté de cliquer directement dessus (loin des yeux, loin du cœur), mais il vous empêche de voir les tactiques utilisées par les pirates et donc de faire la différence entre un courriel authentique et un courriel de phishing.
Par exemple, une personne vous contacte pour vous dire que vous avez été identifié comme le dernier descendant vivant d'un riche financier et que vous avez droit à sa fortune. Le bon sens est là pour vous dire que c'est pratiquement impossible. De plus, vous aimeriez penser que vous recevriez un document légal confirmant une telle nouvelle plutôt qu'un courriel provenant d'un compte Hotmail.
Si vous pouvez repérer ces signes d'alerte, c'est bien. Les courriels de phishing généralisés sont conçus pour vous piéger, mais les fausses promesses ou le manque de grammaire utilisés dans le courriel devraient vous alerter sur les dangers. Mais les cybercriminels sont de plus en plus malins.
Un test de ransomware est une solution permettant de tester vos employés sur leur comportement face aux e-mails de phishing. Une solution logicielle de simulation de phishing peut fournir à la direction des rapports sur la façon dont les employés réagissent à ces e-mails. Ces rapports indiqueront quels membres du personnel doivent suivre un module de formation au phishing.
- Spear phishing : hameçonnage par harponnage
Il s'agit d'une méthode d'hameçonnage extrêmement sophistiquée. Les cybercriminels qui envoient des e-mails de spear phishing ont fait leurs devoirs ; ils auront adapté le contenu de l'e-mail spécifiquement pour vous. Pour y parvenir, ils vous auront surveillé, vous et vos collègues, sur les médias sociaux et, finalement, ils utiliseront ces informations pour créer l'e-mail parfait pour vous, qui sera utilisé pour gagner votre confiance.
Le courriel que vous recevez semble provenir d'une personne ou d'une entreprise. Ajoutez à cela les informations personnelles qu'ils ont glanées et vous obtenez la recette du désastre. Par rapport à un e-mail de phishing standard, un e-mail de spear phishing vous sera personnellement adressé et contiendra des informations qui vous intéressent.
Et si vous receviez un courriel signé par votre équipe de support informatique pour vous dire que votre compte de messagerie manque d'espace ? Ce type d'e-mail semble un peu plus plausible. Les signatures d'e-mails peuvent avoir l'air officielles : c'est très bien, mais vous devez vous méfier de l'orthographe et de la grammaire dans le corps de l'e-mail, de la personne à qui l'e-mail s'adresse (vous désigne-t-il par votre nom ou simplement par "utilisateur" ?
- Whaling : pêche à la baleine
Cette forme d'attaque par hameçonnage vise directement les cadres supérieurs et la direction, mais l'objectif reste le même : obtenir des informations.
Le cybercriminel se fait passer pour une source fiable ou digne de confiance, comme dans le cas du spear phishing. Cependant, une attaque de type "whaling" est conçue pour tromper les cadres supérieurs, car ils sont plus susceptibles d'avoir accès à des informations financières importantes de l'entreprise, voire de pouvoir autoriser des transactions financières ou des paiements.
Par exemple, disons que vous êtes le directeur financier principal et que vous recevez un courriel de votre collègue concernant quelques factures qui nécessitent une approbation pour un paiement immédiat. Il a également joint un dossier zip à l'e-mail. Vous paniquez automatiquement et votre cerveau s'emballe : "Ai-je oublié d'autoriser ces factures ? Je suis sûr que non, j'ai traité toutes les factures lundi". Dans ce cas, votre réaction automatique serait de cliquer sur le dossier zip joint et de vérifier les factures pour vous rafraîchir la mémoire.
C'est là que vous devez vous arrêter. Au lieu de cliquer sur la pièce jointe, vérifiez vos propres dossiers pour voir si le paiement a été approuvé. Économisez quelques secondes supplémentaires (et la réputation de votre entreprise) en vérifiant vos dossiers avant d'accéder au contenu téléchargeable d'un courriel.
Si vous avez téléchargé ce dossier zip, il contient probablement un fichier suspect qui exécute un dangereux logiciel malveillant sur votre ordinateur ou votre portable. Ce programme pourrait même accéder à votre réseau, causant des dommages potentiellement irréparables.
Conclusion
Les attaques de phishing peuvent tout simplement détruire une entreprise en un seul clic. Il suffit qu'une personne clique sur un lien ou télécharge une pièce jointe pour que la réputation et les actifs de votre entreprise soient menacés. Pour lutter contre la menace du phishing, les entreprises doivent investir dans la formation de leur personnel sur les points à surveiller.
Chez MetaCompliance, nous fournissons des logiciels de simulation de phishing et des contenus d'apprentissage en ligne qui, en fin de compte, augmenteront la sensibilité d'une organisation aux e-mails frauduleux.
Saviez-vous qu'il ne faut qu'une minute et vingt secondes pour que quelqu'un ouvre un courriel de phishing ? Prenez plutôt le temps de réfléchir avant de cliquer.
