Les attaques de phishing sont l’une des plus grandes menaces pour la sécurité de votre entreprise. En fait, selon le rapport d’enquête sur les violations de données de Verizon (2019), 32% des violations de données impliquaient des attaques de phishing. Ce crime coûte du temps, de l’argent, de la réputation aux entreprises, ainsi que la confidentialité et les informations privilégiées de leurs clients.
Un système de phishing réussi peut mettre toutes sortes d’informations confidentielles entre de mauvaises mains, des mots de passe aux données des clients en passant par les informations bancaires et de carte de crédit. Alors, comment fonctionnent les attaques de phishing? Comment pouvez-vous les reconnaître et les arrêter? Voici ce que vous devez savoir:
Que sont les attaques de phishing?
Le phishing est une forme spécialisée de cybercriminalité. L’escroc se fait passer pour une personne de confiance via une forme de communication électronique. Ils peuvent essayer d’obtenir des informations directement auprès de vous, par exemple en vous demandant votre mot de passe. Les pêcheurs peuvent également opter pour une méthode plus indirecte. Après tout, s’ils peuvent vous convaincre de les laisser passer le réseau de sécurité de votre entreprise, ils peuvent accéder à des données bien plus confidentielles que les informations de connexion d’une seule personne.
Qui ciblent les hameçonneurs?
Les hameçonneurs recherchent en fin de compte des données précieuses sur l’entreprise, les employés et la clientèle de l’entreprise. Certains hameçonneurs ciblent des individus. Pendant ce temps, d’autres attaquent en masse tout le monde dans l’entreprise, l’industrie ou la zone géographique.
Le spear phishing cible une personne ou une entreprise donnée. Cette cybercriminalité commence souvent par la collecte d’informations personnelles ou l’établissement de contacts personnels. L’approche d’une cible comme celle-ci augmente les chances de renforcer la confiance et de voler des informations avec succès. Dans un sous-ensemble de cela, la chasse à la baleine, un cadre de haut rang est spécifiquement visé. Les dirigeants sont plus susceptibles d’avoir accès à des données de grande valeur et de contourner les protocoles de sécurité vitaux en faveur du phisher.
Les attaques de phishing plus larges peuvent inclure des appels à froid de nombreuses personnes, comme l’arnaque de phishing bancaire désormais bien connue. Une autre attaque, le clone phishing, implique deux manœuvres. Le phisher accède d’abord à l’e-mail d’un employé. Ensuite, cet escroc clone un e-mail légitime et livré avec succès. Cet e-mail est modifié pour contenir des liens et des pièces jointes malveillants tout en ressemblant à une communication innocente.
Que sont les hameçonneurs après?
Les hameçonneurs recherchent les informations personnelles des employés, des dirigeants, des clients et des données privées liées à l’entreprise elle-même. Cela peut inclure:
mots de passe des employés
adresses des clients, informations de carte de crédit et informations sur la sécurité sociale
adresses e-mail de confiance
logiciels et projets en développement
propriété intellectuelle brevetée
campagnes publicitaires à venir
informations bancaires de l’entreprise
Ces informations sont très rentables pour les escrocs car elles peuvent être utilisées par de nombreuses personnes à de nombreuses fins néfastes. Les données personnelles volées peuvent être utilisées pour:
vol d’identité
voler des programmes ou des produits en développement
vendre la propriété intellectuelle de l’entreprise à des concurrents
drainer les comptes bancaires des entreprises et des clients
paralysant les réseaux informatiques et les détenant contre une «rançon»
utiliser l’identité d’un employé pour hameçonner d’autres entreprises
vendre des données à des tiers
Comment les hameçonneurs obtiennent-ils vos données?
Beaucoup de gens s’imaginent en cliquant sur le lien dans un faux e-mail, et c’est en effet l’une de leurs stratégies. Cependant, les hameçonneurs peuvent utiliser et utilisent toutes les formes de communication électronique pour tenter d’extraire des informations clés d’une entreprise. Ceci comprend:
e-mails
textes (SMiShing)
contacts médias sociaux
sites Web falsifiés
Appels téléphoniques
Manipulation du système VoIP (Vishing)
redirection secrète des onglets de navigation
À quoi ressemblent les attaques de phishing?
Les hameçonneurs sont enfermés dans une «course aux armements» avec les forces de l’ordre et le personnel chargé de la cybersécurité qui tentent de prévenir ce crime. Les hameçonneurs modernes sont devenus beaucoup plus sophistiqués et subtils au fil des ans, et cette tendance est susceptible de se poursuivre. La variété des attaques de phishing potentielles n’est limitée que par l’imagination des pirates qui tentent de hameçonner votre entreprise. Quatre exemples typiques incluent:
Un e-mail contenant un lien vers un site Web fréquenté par l’employé est envoyé. Ce site Web a été conçu pour ressembler étroitement à une institution réputée comme leur banque. Il utilisera les polices, la mise en page et les jeux de couleurs de la banque. Il peut même inclure le logo. Cependant, tout cela est un faux front. Si le destinataire tente de se connecter, le site collecte son nom d’utilisateur, son mot de passe, ses questions de vérification de sécurité, etc. Ces données sont transmises aux hameçonneurs pour être exploitées ou vendues.
Un SMS ou un e-mail prétend provenir du fournisseur de logiciels de l’entreprise est envoyé. Une mise à jour de sécurité est disponible et son installation est aussi simple que de cliquer sur une pièce jointe. Bien sûr, cette «mise à jour» est en fait un logiciel malveillant. Une fois installé, le logiciel malveillant permet aux hameçonneurs de passer outre le système de sécurité d’un ordinateur et de s’aider eux-mêmes à accéder aux données du réseau.
Une personne de l’entreprise reçoit un appel téléphonique concernant une livraison urgente de fournitures de bureau. Malheureusement, il y a eu une erreur. L’employé est invité à «valider» ce compte ou cet achat en communiquant au phisher certaines informations privées. Certains hameçonneurs s’appuient sur cette escroquerie et transmettent les informations à un autre fraudeur. Le deuxième hameçonnage renforce la confiance avec un autre employé en révélant des informations que (soi-disant) seule une entreprise en partenariat connaîtrait. L’équipe d’arnaqueurs peut passer d’une personne à une autre dans une organisation, obtenant ainsi une grande quantité de données d’entreprise.
Beaucoup de gens connaissent les signes de la pêche au chat sur les réseaux sociaux, mais qu’en est-il de «Catphishing»? Ici, l’escroc se fait passer pour une connaissance occasionnelle sur les réseaux sociaux. Le catphisher tente de gagner l’amitié et la confiance de la cible. Ceci est ensuite exploité en faveurs, informations de compte révélées, etc.
Quels sont les signes d’un potentiel de phishing?
Plusieurs fois, vous remarquerez que quelque chose ne va pas au cours de la tentative de phishing. Par exemple, cette correspondance prétendument officielle d’un fournisseur est criblée d’erreurs d’orthographe et de grammaire. Vous vous demandez si quelqu’un de nouveau dans l’entreprise écrit le courriel.
Vous vous demandez peut-être pourquoi votre banque demande des informations confidentielles. Ils n’ont jamais fait cela auparavant. En fait, vous ne vous souvenez d’aucune banque qui vous a envoyé un lien pour mettre à jour votre compte.
Un contact Facebook peut vous contacter avec une nouvelle adresse e-mail ou un nouveau numéro de téléphone. Leur nom semble familier, mais a-t-il toujours été orthographié comme ça? Ce contact est amical et bavard, mais parle en général. Ils repoussent soigneusement les questions sur eux-mêmes et se concentrent sur ce que vous avez à partager.
Ces exemples peuvent sembler suspects, mais vous ne pouvez pas toujours vous fier aux petits détails. Les escrocs sophistiqués et bien préparés ne peuvent pas faire ces erreurs. Alors, que pouvez-vous rechercher d’autre?
Gardez un œil sur une combinaison globale d’appât tentant et de pression. Les hameçonneurs fonctionnent avec des degrés divers d’incitations «carottes et bâtons».
La «carotte» est souvent une opportunité qui semble trop belle pour être vraie. Il s’agit peut-être d’un tirage au sort des vacances unique qui requiert les informations de votre carte de crédit pour participer. Peut-être que le fournisseur propose un article de grande valeur pour la moitié de son prix habituel. Il pourrait y avoir à la fois de l’argent et une opportunité de carrière à portée de main, si vous coopérez.
Voici le bâton: la pression est appliquée sur vous. Cette offre alléchante s’accompagne d’une échéance difficile. La personne qui vous contacte compte dix autres personnes intéressées par ce qu’elle vend et elle vous rend service en vous parlant d’abord. Peut-être prétendent-ils que votre compte bancaire pourrait être gelé. Si vous n’agissez pas maintenant pour saisir vos informations et les valider, vous ne pourrez peut-être pas accéder à votre argent pendant des semaines!
À quoi servent la pression du temps et la peur induite? Cela augmente les chances que vous ignoriez les lacunes de leur histoire et que vous preniez l’appât.
Comment vous protéger et protéger votre entreprise
La préparation est ici essentielle, à la fois en termes de structure de vos données et systèmes de sauvegarde et de votre plan de formation des employés. Les logiciels peuvent également améliorer la résistance de votre entreprise au phishing. Enfin, et peut-être le plus important, ce sont les choix quotidiens que vous et vos employés faites dans vos communications électroniques. Ceux-ci peuvent faire la différence entre une cyberattaque vaincue et une violation de données grave.
Jetons un coup d’œil à quelques outils et stratégies anti-hameçonnage:
Se préparer à une cyberattaque potentielle
Bien qu’une certaine présence sur Internet soit attendue de nos jours, soyez prudent et sélectif sur ce que vous proposez. Votre site Web a-t-il vraiment besoin de répertorier les numéros de téléphone, les extensions ou les e-mails des employés? Plus vous donnez d’informations de contact, plus un phisher peut essayer d’ouvrir de portes.
Cryptez les informations vitales. En particulier, configurez et exigez un cryptage pour les employés qui font du télétravail.
Formez vos employés à ce qu’il faut rechercher et comment réagir s’ils soupçonnent du phishing. Qui contactent-ils? Est-ce qu’ils suppriment l’e-mail ou l’enregistrent pour qu’il l’examine? Que faire s’ils découvrent un problème après avoir entré leurs informations de connexion?
Demandez à votre service informatique de vous informer, ainsi que le reste de l’entreprise, des nouvelles escroqueries par hameçonnage. Cela permettra aux employés de garder à l’esprit la formation anti-hameçonnage et leur permettra de savoir ce qu’il faut rechercher.
Sauvegardez les informations fréquemment et à plusieurs endroits. Rappelez-vous la règle du 3-2-1. Conservez au moins 3 copies de vos données, stockées sur au moins 2 formes différentes de supports de stockage, et placez l’une d’entre elles hors site. Par exemple, stockez deux copies sur le stockage en nuage et une copie sur un disque dur externe au bureau. De cette façon, si des hameçonneurs entrent et modifient votre liste de contacts ou installent quelque chose de malveillant, vous disposez d’une sauvegarde propre sur laquelle travailler.
Lors de la sauvegarde de vos données, assurez-vous qu’elles ne sont pas connectées à votre réseau domestique. N’oubliez pas non plus de sauvegarder les données de votre téléphone professionnel.
Solutions logicielles
Utilisez un logiciel anti-hameçonnage et maintenez-le à jour. Ce logiciel a été spécialement conçu pour détecter et désactiver les tentatives de phishing. Recherchez les programmes qui fonctionnent avec la stratégie d’authentification, de rapport et de conformité des messages basée sur le domaine (DMARC).
Pendant que vous y êtes, gardez tous les autres logiciels entièrement mis à jour et corrigés. Ces entreprises renforcent constamment leurs programmes contre les cyberattaques. Si vous prenez du retard et travaillez sur d’anciennes versions du logiciel, les pirates trouveront une cible facile. N’oubliez pas de vérifier d’abord la mise à jour.
Pensez à convertir les e-mails HTML en messages texte uniquement. Vous pouvez également désactiver les e-mails HTML. Cela limite les options des hameçonneurs pour tromper les employés avec des liens actifs trafiqués et d’autres astuces.
Filtrer les courriers indésirables. Soyez très prudent avant de récupérer quoi que ce soit de votre dossier spam. Essayez de vérifier cette adresse avant de l’ouvrir. Méfiez-vous des astuces comme changer les majuscules et les minuscules, remplacer le numéro un par une ell minuscule ou ajouter des espaces. Ces fausses adresses peuvent sembler très convaincantes en un coup d’œil, mais s’effondrer à un examen plus approfondi.
Filtrez le Web. Certains logiciels tiennent un registre de sites Web ou d’adresses IP malveillants, suspects et insuffisamment protégés. Cela ne suffit pas en soi, mais crée une autre brique dans votre mur de cyberdéfense.
N’oubliez pas de protéger votre téléphone et votre tablette avec votre ordinateur. Envisagez des stratégies telles que l’authentification multifacteur ou l’association d’un mot de passe avec une analyse d’empreintes digitales.
Bonnes pratiques au jour le jour
Évitez d’accéder au site Web de l’entreprise via des réseaux publics ou non sécurisés.
Soyez prudent avec les liens raccourcis. Ce ne sont pas toujours une arnaque. Cependant, certaines astuces de phishing courantes impliquent la manipulation d’URL. Il est plus facile pour le phisher de vous rediriger vers un faux site Web via un lien raccourci.
N’envoyez pas d’informations sensibles telles que les numéros d’identification par e-mail ou par SMS. De nos jours, toutes les entreprises sont bien conscientes des violations potentielles de données. Les entreprises réputées ne vous demanderont pas de faire quelque chose d’aussi risqué.
Vérifiez les liens avant de cliquer dessus. Vérifiez les pièces jointes ou les mises à jour logicielles. En cas de doute, votre service informatique devrait être en mesure de vous dire si un fichier ou un lien est légitime.
Signalez les communications suspectes et suivez le plan de réponse anti-cyberattaque de votre entreprise.
La préparation et l’éducation font toute la différence
De nombreux hameçonneurs sont prêts à créer des logiciels malveillants sournois, à créer des maquettes de sites Web et à consacrer des jours ou des semaines à obtenir des données de votre entreprise. Les informations de votre entreprise et de vos clients sont précieuses.
Cependant, le phishing ne peut réussir que lorsque les systèmes ne sont pas correctement sécurisés ou lorsque les employés les laissent entrer. Mettez à jour votre cybersécurité. Renseignez-vous ainsi que vos employés. En supprimant tous les points d’accès, le phisher n’aura d’autre choix que de vous laisser tranquille et de passer à une nouvelle cible.