Défendez votre entreprise contre les tentatives de phishing

Saviez-vous que plus de 90 % des violations de données et piratages réussis commencent par un hameçonnage, ou phishing ? Savez-vous même en quoi consiste cette technique et comment protéger votre entreprise contre ce risque ?

Les hameçonnages sont des pratiques par lesquelles des cybercriminels cherchent à persuader illégalement les utilisateurs d’effectuer certains types d’actions, comme cliquer sur un lien, saisir des informations d’identification, ouvrir une pièce jointe ou même modifier les procédures de leur entreprise. Ces attaques sont le plus souvent déclenchées par des e-mails malveillants, mais peuvent aussi prendre d’autres formes : un ransomware, l’installation d’un programme malveillant (virus, cheval de Troie, ver…), le vol d’informations d’identification, le détournement d’argent ou la perte de données, voire l’usurpation d’identité. Les escrocs exploitent des caractéristiques humaines courantes, comme la confiance accordée à des personnes connues, pour inciter les gens à accomplir des actes qu’ils ne feraient pas normalement.

Mettez vos défenses en place

Si vous êtes victime d’une tentative de phishing, comment protéger vos collaborateurs ? Ce type d’attaque s’apparente à une cible mouvante. Les « phishers » changent aujourd’hui de tactique pour piéger les gens, et vous devez plus que jamais rester sur vos gardes pour conserver constamment une longueur d’avance sur eux.

Vous pouvez vous préparer en renforçant vos défenses techniques et en considérant votre personnel comme le prolongement de votre équipe de sécurité. S’équiper de filtres anti-spam adaptés, mettre en place une passerelle de messagerie sécurisée et utiliser des protocoles d’authentification par e-mail standard (de type DMARC, DKIM ou SPF), entre autres technologies, sont des mesures essentielles pour empêcher les messages de phishing de s’introduire dans vos boîtes de réception. Mais tôt au tard, vos collaborateurs se retrouveront inéluctablement confrontés à une tentative de phishing. Et il suffit d’un clic pour qu’une personne crée des désordres obligeant vos équipes de sécurité à faire des heures supplémentaires.

Ne serait-il pas préférable d’expliquer à vos salariés comment reconnaître et signaler un e-mail de phishing au lieu de cliquer dessus ? Incontestablement. C’est pourquoi une sensibilisation constante à la sécurité est à mes yeux primordiale. Dispensez à vos collaborateurs des formations sur les attaques par phishing et apprenez-leur à les repérer. Testez si possible leur capacité à les identifier et récompensez-les lorsqu’ils y parviennent. Encouragez-les à signaler les e-mails suspects à votre équipe de sécurité en vous efforçant de leur simplifier la tâche. Ne vous contentez pas d’aborder le sujet du hameçonnage ou de la sécurité une fois par an. L’un comme l’autre doivent faire l’objet d’échanges continus.

Mécanisme d’une tentative de phishing

Une fois décidé à préparer vos collaborateurs, vous devez identifier vos adversaires. Comment fonctionnent les attaques par phishing et que recherchent leurs auteurs ?

Le concept du phishing est à la fois simple et ancien. Vous n’avez certainement pas oublié les appels téléphoniques qui vous annonçaient que vous aviez gagné un concours dont vous n’aviez plus aucun souvenir ? Vous étiez ravi et donniez à votre interlocuteur tous les renseignements nécessaires pour récupérer votre lot. Ce même concept s’applique aujourd’hui au phishing. La seule différence, c’est que l’appel est remplacé par un e-mail ou un autre canal de communication numérique.

Les « phishers », qui ne sont en fait que des escrocs passés maîtres dans l’art d’utiliser les communications numériques, exploitent des caractéristiques humaines courantes, comme la confiance accordée à des personnes connues, pour inciter les gens à accomplir des actes qu’ils ne feraient pas normalement.

Graphic caption: Un e-mail est envoyé à Le destinataire tombe dans le piège à Le destinataire effectue l’action prévue à Des informations sont dérobées ou un ordinateur est infecté

Par exemple, un pirate envoie un e-mail à un destinataire. Cet e-mail contient des leurres pour convaincre le destinataire d’effectuer l’action demandée. Les e-mails incluent généralement des hyperliens ou des pièces jointes, même si ce n’est pas systématique. En principe, les hyperliens renvoient vers des sites Web factices qui demandent certains types d’informations. Certains vont même jusqu’à imiter l’identité d’entreprises légitimes. Les pièces jointes contiennent le plus souvent du code malveillant destiné à infecter l’ordinateur ou le réseau du destinataire. Les e-mails qui n’en contiennent pas demandent habituellement au destinataire de répondre à l’e-mail ou d’appeler un numéro pour fournir des informations dont l’expéditeur a besoin.

Si le destinataire tombe dans le piège, il n’en a généralement pas conscience. Il est convaincu que le message était légitime et qu’il pouvait en ressortir quelque chose de positif. Le « phisher » a pourtant dérobé ses informations ou son argent, ou infecté son ordinateur.

Les différents types d’attaques par phishing

Les attaques par phishing ne sont pas toutes identiques. Il en existe différents types que vous devez préparer tous les membres de votre entreprise à identifier. Voici les principaux :

Spear phishing (harponnage)

Le spear phishing est une attaque ciblée destinée à un public spécifique. Vous ne recevez pas l’e-mail par hasard. Le « phisher » a effectué des recherches précises pour vous trouver et vous envoyer un message qui éveillerait votre intérêt, par exemple, parce que faites partie du service RH de votre entreprise ou avez récemment indiqué en ligne que vous aviez été promu.

Whaling

Le whaling est un type de spear phishing qui vise directement les dirigeants d’une entreprise. L’équipe dirigeante d’une société fait généralement partie des informations publiques faciles à trouver sur le site Web de l’entreprise. C’est donc une cible toute trouvée. Mais elle a également accès à des informations sensibles et prend des décisions financières, ce qui en fait une proie lucrative pour les pirates.

Attaque BEC et fraude au PDG

Les attaques de type BEC (Business Email Compromise) et la fraude au PDG sont une autre forme de spear phishing visant à usurper l’identité de votre entreprise ou de son PDG. Sachant que les gens sont prompts à faire confiance aux personnes en position d’autorité, les « phishers » usurpent l’identité de personnes dont les demandes semblent au-dessus de tout soupçon. Les domaines e-mail d’une entreprise sont faciles à imiter et les logos officiels disponibles en ligne. Les noms des personnes qui travaillent dans votre entreprise figurent également sur de nombreux réseaux sociaux, ce qui aide les pirates à cibler les BEC.

Vishing

Le vishing (contraction de « voice phishing ») est une forme de phishing par téléphone. Il s’agit pour l’essentiel d’appels téléphoniques illicites très courants aujourd’hui, mais que vous avez probablement déjà reçus par le passé, avant même d’avoir un ordinateur à la maison. Le succès de ces escroqueries tient au fait qu’entendre la voix d’une personne aide à nouer une relation avec elle. Il est donc plus difficile pour l’appelé de ne pas souscrire à la demande de son interlocuteur.

Smishing / SMShing

Le smishing, ou SMShing (contraction de « SMS phishing »), revêt la forme de SMS malveillants. Versions réduites des attaques par phishing classiques, ces derniers contiennent généralement un hyperlien abrégé assorti d’un message succinct et ciblé invitant à passer rapidement à l’action.

Sensibilisation au phishing : comment neutraliser un message de phishing ?

Il y a de fortes chances qu’on vous demande régulièrement comment faire pour détecter une tentative de phishing. Même si vous mettez en place tous les moyens techniques possibles pour évaluer les en-têtes d’e-mail, les utilisateurs lambda doivent être formés à reconnaître certains signes avant-coureurs. Mais plus important encore peut-être que les signes avant-coureurs, vous devez leur rappeler qu’au moindre doute, ils doivent impérativement signaler l’e-mail à l’équipe de sécurité, qui procédera à une enquête approfondie pour vérifier s’il s’agit d’une attaque par phishing. N’oubliez pas d’encourager une bonne dose de scepticisme.

Signes avant-coureurs d’une tentative de phishing 

Quels sont les signaux d’alerte ? Ils sont nombreux et susceptibles d’évoluer lorsque les « phishers » changent de tactique. En règle générale, si vos collaborateurs observent plusieurs des signes suivants, ils doivent faire extrêmement attention :

  • Salutations ou signatures génériques
  • Manque d’informations sur l’expéditeur ou l’entreprise
  • Images pixellisées ou floues
  • Liens vers des sites Web non pertinents
  • Orthographe ou grammaire approximative
  • Menaces ou demandes urgentes
  • Offres trop alléchantes pour être vraies
  • Demandes d’informations personnelles ou de virement, de transfert d’argent ou de modification de coordonnées de virement
  • E-mails ou pièces jointes imprévus​ 
  • Objet et message discordants
  • Absence de communication pertinente

Vous avez du mal à faire la différence entre un véritable e-mail et un message de phishing ? Suivez ces étapes : 

  1. Soyez consciencieux. Essayez de trouver en ligne des informations sur le prétendu expéditeur. Vous pouvez même faire une recherche sur l’e-mail que vous avez reçu pour savoir s’il a déjà été signalé comme une escroquerie.
  2. Confirmez les demandes en utilisant une seconde méthode de vérification. Ne renvoyez jamais l’e-mail à l’expéditeur en répondant au message d’origine. Utilisez un autre mode de communication, comme un numéro de téléphone ou une adresse e-mail figurant sur une facture récente, afin de contacter l’expéditeur et de confirmer la demande.
  3. Survolez les liens figurant dans l’e-mail pour voir si l’adresse Web de l’hyperlien correspond au domaine de site Web légitime de l’entreprise. En cas de doute, saisissez l’hyperlien dans le navigateur ; ne cliquez pas directement dessus.
  4. Examinez le nom de fichier des pièces jointes. Demandez-vous si vous vous attendiez à ce message ou si vous en aviez besoin. N’ouvrez jamais une pièce jointe que vous n’attendez pas ou dont le nom se termine par une extension que vous ne reconnaissez pas (nomdefichier.exe pour un document Word, par exemple).
  5. Faites preuve de bon sens. Dans la plupart des cas, faire preuve de bon sens aide à déterminer si un e-mail est légitime ou s’il s’agit d’un message de phishing.

Vous êtes redirigé vers un site Web dont la légitimité vous paraît douteuse ? Suivez ces conseils : 

  • Utilisez un faux mot de passe. Vérifiez si le site reconnaît que le mot de passe saisi est incorrect (s’il s’agit d’un faux site qui cherche à collecter des mots de passe, il ne peut pas savoir que celui saisi est incorrect).  
  • Vérifiez l’adresse Web. Le nom de l’entreprise figurant dans l’URL est-il correctement orthographié ? L’adresse commence-t-elle par https, et non par http ? Le fait qu’elle commence par https ne veut pas dire qu’elle est légitime, mais qu’il s’agit d’une connexion sécurisée. En revanche, si elle ne commence pas par https, cela devrait au moins constituer un signal d’alarme invitant à ne pas saisir d’informations. De même, un cadenas fermé ou une clé dans la barre d’adresse ne veut pas toujours dire que le site est légitime. Cependant, si aucun symbole de ce type n’est visible, n’entrez aucune information.  
  • Méfiez-vous des messages pop-up. Si vous accédez à un site et que vous êtes assailli de messages publicitaires pop-up, soyez prudent.   
  • Soyez attentif àl’identité visuelle. L’identité visuelle (l’apparence) du site correspond-elle à l’idée que vous vous faites de la soi-disant entreprise à laquelle vous essayez d’accéder ?

Que devez-vous faire si votre entreprise est victime d’une tentative de phishing ?

N’oubliez pas que le seul but des attaques par phishing est de vous escroquer. Même si vous avez mis en place les meilleurs programmes de sensibilisation et contre-mesures anti-phishing, il est possible que l’un de vos utilisateurs se laisse abuser. Cela arrive. Le plus important, c’est de vous préparer à faire face.

Envisagez de prendre les mesures de récupération suivantes et, en partenariat avec vos équipes de cybersécurité, de doter votre entreprise d’un plan de réponse et de reprise adapté :

Maîtrisez les risques potentiels

Si un utilisateur interagit avec un e-mail de phishing, essayez d’isoler son ordinateur et demandez à votre équipe de cybersécurité d’y accéder afin d’effectuer des recherches.

Changez les mots de passe

Obligez l’utilisateur à changer de mot de passe. S’il en utilise plusieurs, il est conseillé de tous les modifier, car vous ne connaissez pas forcément l’étendue des éléments susceptibles d’avoir été compromis.

Suivez votre procédure de gestion des incidents

Une attaque par phishing fait partie des incidents de cybersécurité. Suivez vos procédures de gestion des incidents, qui doivent prévoir des mesures pour identifier l’e-mail de phishing, le localiser dans les boîtes de réception des autres utilisateurs, l’en retirer, en étudier l’impact et le hiérarchiser en conséquence.

Recherchez les logiciels malveillants

Servez-vous de vos outils de supervision pour analyser l’ordinateur de l’utilisateur et votre réseau à la recherche de malwares (programmes malveillants de type virus, chevaux de Troie ou vers), d’activités suspectes ou d’anomalies.

Protégez les informations personnelles

Selon la nature de la tentative de phishing, si l’utilisateur a divulgué des informations personnelles, il peut vouloir mettre en place des alertes anti-fraude avec les services de surveillance du crédit concernés. Si l’attaque a imité ou usurpé l’identité d’une véritable entreprise, vous devez en informer cette dernière afin qu’elle puisse alerter à son tour d’autres utilisateurs.

Prenez le temps d’apprendre

Comme avec n’importe quelle cyberattaque, les leçons tirées d’un hameçonnage sont souvent plus précieuses que les données dérobées par les cybercriminels. Conservez la liste de ces enseignements et évaluez les procédures et contrôles en place afin d’identifier les points à modifier. Et sensibilisez encore plus vos utilisateurs au phishing.

Le hameçonnage est l’un des principaux vecteurs d’attaque de cybersécurité utilisés par les cybercriminels qui s’appuient sur la psychologie humaine pour convaincre un destinataire d’effectuer un type d’action précis. Anticipez ces tentatives en mettant des défenses en place et en apprenant à vos employés à repérer les messages de phishing.

Ressources complémentaires :

 

Recevoir les mises à jour hebdomadaires du blog
En vous inscrivant, vous acceptez que vos données personnelles soient traitées conformément aux termes de la Politique de confidentialité de Veeam.
Merci de nous accorder une place dans votre boîte aux lettres !
Désormais, grâce à ce résumé hebdomadaire, vous avez moins de risque de manquer ce qui se passe sur notre blog.
OK
NOUVELLE
V11A

Limitez les pertes de données
Bloquez les ransomwares

#1 Backup and Recovery