Petites et grandes entreprises : le Phishing concerne tout le monde !
Petites et grandes entreprises : le Phishing concerne tout le monde !
Depuis le début d’internet et encore plus depuis la pandémie, les entreprises, petites et grandes, sont victimes de phishing. Cette méthode qui consiste à subtiliser des informations personnelles à l’aide d’emails et de sites trompeurs peut anéantir une organisation. En 2020, plus de 2 millions d’attaques ont eu lieu, AB Expérience vous explique les différents éléments que vous devez connaître sur le phishing afin de protéger votre entreprise.
Sommaire :
- Qu’est-ce que le phishing ?
- Comment fonctionne-t-il?
- Pourquoi le phishing est-il un danger pour mon entreprise ?
- Quels sont les différents types de phishing ?
- Quels sont les signes du phishing ?
- Comment protéger mon organisation contre ce type d’attaque ?
Qu’est-ce que le phishing ?
Le phishing est une attaque via un SMS, un email, un réseau social ou encore un site internet. L’objectif est de faire croire au destinataire que le message est quelque chose qu’il souhaite ou dont il a besoin comme par exemple une demande de sa banque ou une note d’un collègue, et de l’inciter à cliquer sur un lien ou à télécharger une pièce jointe. Ce qui distingue vraiment le phishing, c’est la forme que prend le message. Les attaquants se font passer pour une personne ou organisation de confiance, souvent une personne réelle ou plausible, ou une entreprise avec laquelle la victime pourrait faire affaire. Il s’agit de l’un des plus anciens types de cyberattaques et il reste l’un des plus répandus et des plus dangereux, les messages et les techniques de phishing devenant de plus en plus sophistiqués. Le but des pirates est d’obtenir des informations personnelles ou professionnelles pour subtiliser l’identité de la personne et l’utiliser à des fins malveillantes.
Comment fonctionne-t-il?
Les hameçonneurs peuvent utiliser des sources d’information publiques pour recueillir des informations générales sur l’histoire personnelle et professionnelle, les intérêts et les activités de la victime. Il s’agit généralement de réseaux sociaux tels que LinkedIn, Facebook ou encore Instagram. Ces sources sont normalement utilisées pour découvrir des informations telles que les noms, les titres de poste et les adresses électroniques des victimes potentielles. Ces informations peuvent ensuite être utilisées pour élaborer un email, sms ou tout autre moyen de communiquer crédible. En général, la victime reçoit un message qui semble avoir été envoyé par un contact ou une organisation connue. L’attaque est alors menée soit par le biais d’une pièce jointe, soit par des liens renvoyant à des sites malveillants. Dans les deux cas, l’objectif est d’installer un logiciel sur l’appareil de l’utilisateur ou de diriger la victime vers un faux site. Les faux sites sont conçus pour inciter les internautes à divulguer des informations personnelles et financières, telles que des mots de passe, des identifiants de compte ou des données de carte de crédit. Bien que de nombreux emails de phishing soient mal rédigés et sont visuellement repérables, les cybercriminels utilisent de plus en plus les mêmes techniques que les spécialistes du marketing pour identifier les types de messages les plus efficaces.
Pourquoi le phishing est-il un danger pour mon entreprise ?
La pandémie a modifié la façon dont la plupart des organisations et des employés travaillent. Le travail à distance est devenu la norme et les outils informatiques de l’entreprise et les appareils personnels se confondent désormais. Cette modification de l’environnement de travail a donné un avantage aux pirates informatiques. Les utilisateurs ne disposent pas d’une cybersécurité de niveau professionnel à leur domicile, la sécurité des emails est moins efficace, ce qui donne aux attaquants plus de chances de réussir leur tactique de phishing. Comme les employés travaillent désormais de plus en plus à domicile, il est important pour les organisations de les former à la sensibilisation au phishing. L’usurpation de l’identité de dirigeants et de collaborateurs officiels a augmenté depuis la pandémie. Comme les employés ont toujours besoin d’accéder aux systèmes de l’entreprise, un attaquant peut cibler n’importe quel employé à domicile pour obtenir un accès à distance à l’environnement de travail. Les administrateurs ont été contraints de mettre rapidement en place un accès à distance, de sorte que la cybersécurité de l’environnement informatique a été mise de côté.. Cette urgence forcée a donné aux attaquants des vulnérabilités qui pouvaient être exploitées, et beaucoup étaient des erreurs humaines. Si l’on combine une cybersécurité moyenne et le fait que les utilisateurs se connectent avec leurs propres appareils, les attaquants disposent de nombreux avantages. Le phishing a augmenté dans le monde entier. Les risques pour les entreprises sont évidents : exposition des informations des clients et salariés, vol d’argent, accès à des dossiers confidentiels, verrouillage des fichiers, diminution de la confiance envers l’entreprise, atteinte à la réputation, impact sur la productivité et bien d’autres encore.
Quels sont les différents types de phishing ?
Les cybercriminels ont plusieurs techniques de phishing, AB Expérience vous expose les plus connus :
- Le phishing par email
La plupart des attaques de phishing sont envoyées par courrier électronique. Les attaquants enregistrent généralement de faux noms de domaine qui imitent des organisations réelles et envoient des requêtes communes aux victimes. Pour les faux domaines, ils peuvent ajouter ou remplacer des caractères, comme par exemple, nom-de-votre-banque.fr au lieu de nomdevotrebanque.fr, utiliser des sous-domaines comme : nomdevotrebanque.ok.fr ou utiliser le nom de l’organisation de confiance comme nom d’utilisateur de l’e-mail par exemple, nomdevotrebanque@ok.fr. De nombreux emails de phishing utilisent un sentiment d’urgence ou une menace pour inciter l’utilisateur à se conformer rapidement sans vérifier la source ou l’authenticité de l’email. Ils ont plusieurs objectifs comme amener l’utilisateur à cliquer sur un lien vers un site malveillant afin d’installer un logiciel sur son appareil ou encore à télécharger un fichier infecté et l’utiliser pour déployer un logiciel. Ils peuvent également avoir pour but d’amener l’utilisateur à cliquer sur un lien vers un faux site et à soumettre des données personnelles ou à répondre et à fournir des données personnelles directement par email.
- Le Spear Phishing
Le spear phishing consiste à envoyer des emails à des personnes spécifiques. L’attaquant dispose généralement déjà de tout ou partie des informations suivantes sur la victime comme son nom, son travail, son poste, son adresse email, ses proches, etc. Ces informations permettent d’accroître l’efficacité des emails de phishing et de manipuler les victimes pour qu’elles accomplissent des tâches comme le transfert d’argent.
- Le Whaling phishing
Les attaques de type Whaling visent plus particulièrement les gérants, cadres supérieurs et d’autres rôles importants dans les entreprises. L’objectif du whaling est le même que celui des autres types d’attaques de phishing, mais la technique est souvent très subtile. Les cadres supérieurs disposent généralement de nombreuses informations dans le domaine public, et les attaquants peuvent utiliser ces informations pour élaborer des attaques très efficaces. En général, ces attaques n’utilisent pas d’astuces telles que des faux liens, elles s’appuient plutôt sur des messages personnalisés utilisant des informations découvertes lors de leurs recherches sur la victime.
- Le Smishing (SMS) et Vishing (Voice)
Il s’agit d’une attaque de phishing qui utilise le téléphone au lieu de la communication écrite. Le smishing consiste à envoyer des SMS frauduleux, tandis que le Vishing implique des conversations téléphoniques. Dans une arnaque typique de phishing vocal, un attaquant se fait passer pour un enquêteur de banque, informant les victimes que leur compte a été piraté. Les criminels demandent ensuite à la victime de fournir des informations sur sa carte de paiement afin de vérifier son identité ou transférer de l’argent sur un compte sécurisé, qui est en réalité celui de l’attaquant. Ces escroqueries peuvent également impliquer des appels téléphoniques automatisés prétendant provenir d’une personne ou organisation de confiance et demandant à la victime de saisir des informations personnelles à l’aide du clavier de son téléphone.
- Les Malwares
Les escroqueries par phishing impliquant des logiciels malveillants nécessitent leur exécution sur l’ordinateur de l’utilisateur. Le logiciel malveillant est généralement joint à l’email envoyé à l’utilisateur par les hameçonneurs. Une fois que vous aurez cliqué sur le lien, le malware commencera à fonctionner. Parfois, le logiciel malveillant peut également être joint à des fichiers téléchargeables.
- Les Ransomwares
Les ransomwares refusent l’accès à un appareil ou à des fichiers jusqu’au paiement d’une rançon. Les rançongiciels sont des logiciels malveillants qui s’installent sur le poste de travail d’un utilisateur par le biais d’une attaque au cours de laquelle l’utilisateur est incité à cliquer sur un lien, à ouvrir une pièce jointe ou à cliquer sur une publicité malveillante.
- Les Angler phishing ou le phishing des réseaux sociaux
Ces attaques utilisent de faux comptes de médias sociaux appartenant à des organisations bien connues. Les cybercriminels utilisent un identifiant de compte qui imite une organisation légitime et utilise la même photo de profil que le compte de la véritable entreprise. Ils profitent de la tendance des consommateurs à formuler des plaintes et à demander de l’aide aux marques en utilisant les canaux des médias sociaux. Cependant, au lieu de contacter la vraie marque, le consommateur contacte le faux compte social. Lorsque les attaquants reçoivent une telle demande, ils peuvent demander au client de fournir des informations personnelles afin de pouvoir identifier le problème et y répondre de manière appropriée. Dans d’autres cas, le pirate fournit un lien vers une fausse page de support client, qui est en fait un site web malveillant.
Quels sont les signes du phishing ?
Bien sûr, pour faire face à ce type de cybermenaces, vous devez pouvoir les détecter, AB Expérience vous donne quelques indices :
- Le message est menaçant ou implique un sentiment d’urgence
Les emails qui menacent de conséquences négatives doivent toujours être traités avec scepticisme. Une autre stratégie consiste à utiliser l’urgence pour encourager ou exiger une action immédiate. Les hameçonneurs espèrent qu’en lisant l’email dans l’urgence, ils n’en examineront pas le contenu en profondeur et ne découvriront pas les incohérences.
- Une demande d’identifiants, d’informations de paiement ou d’autres données personnelles
Dans de nombreux emails de phishing, les cybercriminels créent de fausses pages de connexion liées à des emails qui semblent officiels. La fausse page de connexion comporte généralement un champ de connexion ou une demande d’informations sur le compte financier. Si l’email est inattendu, le destinataire ne doit pas saisir ses informations de connexion ni cliquer sur le lien. Par précaution, les destinataires devraient visiter directement le site qu’ils pensent être la source de l’email.
- Le style du message
Le fait qu’un message soit rédigé dans un langage ou sur un ton inapproprié est une indication immédiate de phishing. Si, par exemple, un collègue de travail semble trop décontracté, ou si un ami proche utilise un langage formel, cela devrait éveiller les soupçons. Les destinataires du message doivent vérifier tout ce qui pourrait indiquer un message de phishing.
- Les demandes inhabituelles
Si un email vous demande d’effectuer des actions inhabituelles, cela peut indiquer qu’il est malveillant. Par exemple, si un courriel prétend provenir d’une équipe informatique spécifique et demande l’installation d’un logiciel, alors que ces activités sont généralement gérées de manière centralisée par le service informatique, il est probablement malveillant.
- Les incohérences dans les adresses de site
Un autre moyen facile d’identifier les attaques de phishing potentielles consiste à rechercher les adresses électroniques, les liens et les noms de domaine qui ne correspondent pas. Par exemple, il est bon de vérifier une communication antérieure qui correspond à l’adresse électronique de l’expéditeur. Les destinataires doivent toujours survoler un lien dans un email avant de cliquer dessus, pour voir la destination réelle du lien.
- Les fautes
Les fautes d’orthographe et de grammaire sont un autre signe d’hameçonnage. La plupart des entreprises ont mis en place une vérification orthographique dans leur messagerie. Par conséquent, les emails comportant des fautes doivent éveiller les soupçons, car ils peuvent ne pas provenir de la source annoncée.
Comment protéger mon organisation contre ce type d’attaque ?
Voici quelques façons dont votre organisation peut réduire le risque d’attaques par hameçonnage :
- Sensibilisez vos employés
Il est primordial de former les employés à comprendre les stratégies de phishing, à identifier les signes et à signaler les incidents suspects à l’équipe de sécurité.
- Déployez des solutions de sécurité pour votre messagerie
Les solutions de filtrage des emails peuvent vous protéger contre les logiciels malveillants et autres fichiers contenus dans les messages. Elles peuvent détecter les courriels contenant des liens ou des pièces jointes malveillants, du spam et un langage qui pourrait suggérer une attaque de phishing. Les solutions de sécurité de messagerie bloquent et mettent automatiquement en quarantaine les courriels suspects. Chez AB Expérience, nous travaillons avec Mailinblack, qui nous permet de garantir la sécurité de votre messagerie grâce à des technologies propriétaires et de l’intelligence artificielle.
- Mettez en place la double authentification
L’authentification à deux facteurs (2FA) est un type spécifique d’authentification multifactorielle qui renforce la sécurité d’accès en exigeant deux méthodes pour vérifier votre identité. Cette sécurité supplémentaire signifie que même si une personne malveillante connaît le mot de passe d’un utilisateur, il ne sera pas autorisé à accéder à son compte en ligne ou à son appareil. Afin de protéger les données sensibles, l’identité de l’utilisateur qui tente d’y accéder doit être vérifiée. En ayant deux facteurs d’identification, la difficulté pour se connecter est renforcée. Vous pouvez par exemple entrer le mot de passe que vous avez choisi et ensuite recevoir un code sur votre téléphone mobile. Ce n’est qu’une fois que vous aurez entré votre code unique reçu par SMS, que la connexion à votre compte sera effective. Il est donc plus compliqué pour une personne mal attentionnée de se connecter puisque cela voudrait dire qu’elle doit également avoir accès à votre téléphone portable. Pour en apprendre davantage sur la double authentification, rendez-vous sur notre article dédié !
- Surveillez et protégez les différents outils informatiques
L’utilisation croissante des services cloud et des appareils personnels sur le lieu de travail a introduit de nombreux nouveaux points d’attaques qui peuvent ne pas être entièrement protégés. Les équipes de sécurité doivent partir du principe que certains outils informatiques feront l’objet d’attaques. Il est essentiel de les surveiller pour détecter les menaces de sécurité et de mettre en œuvre des mesures correctives et des réponses rapides sur les appareils compromis.
- Effectuez des tests d’attaque par phishing
Les tests de simulation d’attaques de phishing peuvent aider les équipes de sécurité à évaluer l’efficacité des programmes de formation à la sensibilisation à la sécurité, et aider les utilisateurs finaux à mieux comprendre les attaques. Même si vos employés sont doués pour repérer les messages suspects, ils doivent être testés régulièrement pour imiter de véritables attaques. Les menaces continuent d’évoluer, et les simulations de cyberattaques doivent également évoluer.
- Limitez l’accès des utilisateurs aux systèmes et aux données
La plupart des méthodes de phishing sont conçues pour tromper les humains et les comptes d’utilisateurs privilégiés sont des cibles attrayantes pour les cybercriminels. Restreindre l’accès aux systèmes et aux données peut contribuer à protéger les données sensibles contre les fuites. Ne donnez l’accès qu’aux utilisateurs qui en ont réellement besoin.
La protection contre le phishing est une mesure de sécurité importante que les entreprises.. La sensibilisation à la sécurité et l’éducation sur les signes d’un message suspect contribuent à réduire les attaques. Cependant, comme le comportement des utilisateurs n’est pas prévisible, la détection du phishing par une solution de sécurité est essentielle. Le phishing évolue constamment pour adopter de nouvelles formes et techniques. Dans cette optique, il est impératif que les entreprises organisent régulièrement des formations de sensibilisation à la sécurité afin que leurs employés puissent rester au fait de l’évolution des cyberattaques. AB Expérience a toutes les solutions pour vous aider à préserver les informations de votre organisation, faites appel à nous !