L'éducation et la sensibilisation sont les premières étapes
Un seul courriel malveillant, d'apparence innocente, peut coûter des millions de dollars aux entreprises et perturber la continuité de leurs activités. Ajoutez à cela la sophistication des attaques par courrier électronique et les techniques méticuleuses d'ingénierie sociale utilisées, et vous obtenez la recette d'une cyber-catastrophe potentielle. Ainsi, en plus de déployer la meilleure solution de sécurité pour le courrier électronique, les entreprises devraient former leurs employés aux schémas de courrier électronique, afin de créer une dernière ligne de défense contre ces attaques.
Techniques courantes d'ingénierie sociale et comment elles exploitent la nature humaine
Les ingénieurs sociaux savent comment les humains fonctionnent et pensent, et sont plus qu'heureux de tirer parti de ces connaissances. Un ingénieur social peut utiliser un certain nombre de tactiques différentes pour amener sa cible à faire ce qu'il veut :
- Utilisation de l'autorité : Les organisations sont construites comme des hiérarchies, où les personnes au sommet sont responsables. Un ingénieur social peut se faire passer pour une personne d'autorité et ordonner à sa cible de prendre certaines mesures.
- Le charme opère : Les gens sont plus enclins à faire des choses pour les personnes qu'ils apprécient. Un ingénieur social peut essayer d'utiliser son charisme pour influencer quelqu'un à faire ce qu'il veut.
- Donner et recevoir : les ingénieurs sociaux peuvent donner à leur cible quelque chose de mineur gratuitement. Ensuite, ils profiteront d'un sentiment d'obligation pour obtenir ce qu'ils veulent.
- Recherche de soutiens : Les gens sont plus enclins à faire quelque chose que quelqu'un leur demande après avoir soutenu publiquement cette personne ou cette cause. Un ingénieur social peut chercher à obtenir l'approbation publique de sa victime, puis lui demander quelque chose.
- Faites ce qui est populaire : Les gens aiment être populaires. Un ingénieur social donnera l'impression que "tout le monde fait" ce qu'il essaie de faire faire à sa cible.
- L'offre rare : Les ingénieurs sociaux peuvent donner l'impression que ce qu'ils proposent est rare ou qu'il s'agit d'une offre limitée dans le temps. Cela incite les gens à se précipiter pour l'obtenir (comme le papier hygiénique pendant le COVID-19).
Les cybercriminels utiliseront toutes ces tactiques pour accéder au réseau et aux informations sensibles d'une organisation. Pendant et après la pandémie de COVID-19, de nombreux employés travaillant à domicile, les entreprises sont plus vulnérables qu'auparavant aux attaques par hameçonnage.
Types d'attaques par hameçonnage
En termes simples, une attaque par hameçonnage est une attaque d'ingénierie sociale réalisée par le biais d'un courrier électronique ou d'une autre plate-forme de communication. Ces attaques sont conçues pour inciter une personne à cliquer sur un lien, à télécharger une pièce jointe, à partager des données sensibles ou à entreprendre toute autre action préjudiciable.
Les attaques par hameçonnage peuvent se présenter sous différentes formes. Voici quelques exemples courants :
- Problèmes de compte : Une tactique d'hameçonnage courante consiste à dire à quelqu'un qu'il y a un problème avec l'un de ses comptes en ligne (Amazon, Netflix, PayPal, etc.). Lorsqu'ils s'empressent de cliquer sur le lien et de résoudre le problème, l'attaquant récupère leurs identifiants de connexion.
- Business Email Compromise (BEC): Une attaque BEC est un exemple classique d'utilisation de l'autorité. L'attaquant se fait passer pour une personne importante au sein d'une organisation (PDG, direction, etc.) et demande à la cible de prendre une mesure préjudiciable, comme envoyer de l'argent sur un compte contrôlé par l'attaquant.
- Fausse facture : l'attaquant peut se faire passer pour un fournisseur cherchant à obtenir le paiement d'une facture impayée. Cette fraude vise soit à inciter la victime à envoyer de l'argent à l'attaquant, soit à lui faire télécharger et ouvrir une pièce jointe contenant un logiciel malveillant.
- Documents partagés cloud: Les cybercriminels profitent souvent du partage de documents basé sur cloudpour contourner la sécurité d'Office 365 et d'autres solutions de sécurité intégrées. Souvent, ces outils vérifient qu'un lien est légitime, mais pas que le document partagé ne contient pas de contenu malveillant. Un pirate peut également faire semblant de partager un document et afficher une page qui demande à la victime d'entrer ses identifiants de connexion, puis les envoie au pirate.
Beaucoup de ces courriels sont conçus pour ressembler à des courriels légitimes. Il est important de prendre une seconde pour valider un courriel avant de le croire.
Ce qu'il faut rechercher dans un e-mail malveillant
Il est évident que les courriels d'hameçonnage sont conçus pour paraître aussi plausibles que possible afin de maximiser leur probabilité de tromper la victime. Cependant, il existe des signes avant-coureurs d'un e-mail malveillant :
- Adresse de l'expéditeur : Les hameçonneurs utilisent généralement des adresses électroniques qui ressemblent à des adresses de confiance ou légitimes dans leurs attaques. Vérifiez toujours que l'adresse de l'expéditeur ne comporte pas d'erreurs, mais n'oubliez pas qu'un pirate peut avoir compromis le compte réel et l'utiliser pour son attaque.
- Salutation : La plupart des entreprises personnalisent leurs courriels en les adressant au destinataire par son nom, mais un hameçonneur peut ne pas connaître le nom correspondant à une adresse électronique donnée. Si une salutation est trop générale - comme "Cher client" - il peut s'agir d'un courriel d'hameçonnage.
- Ton et grammaire : souvent, un courriel d'hameçonnage ne semble pas correct et comporte des problèmes d'orthographe et de grammaire. Si un courriel semble ne pas correspondre à la marque de l'expéditeur, il est probablement malveillant.
- Liens non concordants : Vous pouvez vérifier la cible d'un lien dans un courriel sur un ordinateur en le survolant avec votre souris. Si le lien ne va pas là où il devrait aller, l'e-mail est probablement malveillant.
- Types de pièces jointes bizarres : Les courriels d'hameçonnage sont fréquemment utilisés pour propager le logiciel malveillant. Si vous recevez une "facture" qui est un fichier ZIP, un exécutable ou quelque chose d'inhabituel, il s'agit probablement d'un logiciel malveillant.
- La poussée : Les courriels d'hameçonnage sont conçus pour inciter la victime à faire quelque chose. Si un courriel suscite un sentiment d'urgence ou incite à une action particulière, il peut être malveillant.
L'importance de la sensibilisation à la sécurité du courrier électronique
La sensibilisation à la sécurité du courrier électronique est essentielle pour protéger une organisation contre les attaques par courrier électronique. Former les employés à reconnaître les signes d'un courriel d'hameçonnage - en particulier les prétextes et les techniques actuellement en vogue - permet de réduire la probabilité qu'ils cliquent sur un lien malveillant ou qu'ils ouvrent une pièce jointe.
Il est également bon d'apprendre aux employés à signaler à l'équipe informatique ou à l'équipe de sécurité de votre organisation les courriels suspects d'hameçonnage. Cela leur permet d'enquêter et de réagir au cas où un autre employé serait tombé dans le panneau.
Cependant, même avec le meilleur programme de formation, il arrive qu'un courriel de hameçonnage réussisse et, dans de nombreux cas, les fonctions de sécurité du courriel cloud intégrées à votre solution de courriel ne pourront pas contrer l'attaque. Investir dans une solution spécialisée de sécurisation des courriels est un bon choix pour éviter que ces courriels malveillants n'atteignent jamais les utilisateurs.