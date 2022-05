Cyber hygiène et culture : comment repérer une arnaque par phishing ?

mai 2022 par André Schindler, DG EMEA de NinjaOne

Des outils technologiques existent pour limiter et détecter le nombre de mails de phishing arrivant dans votre entreprise. Pourtant, les êtres humains sont la dernière ligne de défense contre ce type d’attaques basées sur l’ingénierie sociale. Vous finirez par être battu en tant qu’employeur ou prestataire de service. Au lieu de tout verrouiller et de ralentir les échanges professionnels, les équipes des cadres dirigeants aux plus humbles employés doivent savoir identifier les mails d’hameçonnage, pour que le pire arrive à l’entraînement et non dans la vie réelle.

Examinez vos traces numériques

Les meilleurs cybercriminels vont prendre le temps d’effectuer leurs recherches sur leur prochaine victime. En parcourant les médias sociaux associés au nom de la personne et en cherchant dans Google toutes les informations disponibles sur une victime potentielle, ils peuvent combiner des informations pour découvrir ses habitudes.

Ils prennent en compte les endroits qu’ils fréquentent, comme une salle de gym ou un restaurant favori et recouvrent même des informations personnelles comme la date de naissance ou l’adresse du domicile. Imaginez si vous postez souvent à quel point vous adorer le café du coin de la rue sur les réseaux sociaux. Un message le concernant est peut-être d’ailleurs même dans votre timeline alors que vous lisez cet article. L’attaquant pourrait alors créer un mail de phishing convaincant qui a l’air d’un coupon de réduction en provenance de ce café ou d’un vendeur avec qui ils sont associés. Avec ces informations circulant sur le Web, les victimes tombent plus facilement dans le panneau des escroqueries qui utilisent ce genre d’information personnelle.

Créer de la pression sociale pour cliquer

Dans bien des cas, les attaquants vont se servir de la pression sociale pour pousser l’utilisateur moyen à cliquer sans réfléchir. Certains exemples sont des mails de phishing, comprenant des demandes d’un dirigeant envoyées à un nouvel employé durant les premières semaines suivant son embauche. Un exemple récent et marquant pour illustrer ce type de cas. L’entreprise Sefri Cime a découvert malgré elle « l’arnaque au président ». Cette arnaque d’ingénierie sociale lui a coûté la modique somme de 33 millions d’euros. Les hackers ont utilisé des adresses e-mail contrefaites et se sont fait passer pour le directeur de la société, faisant croire à la comptable que la société préparait son introduction en Bourse et qu’elle devait réaliser certaines opérations de manière secrète. Un second escroc, se décrivant comme un avocat du cabinet d’audit KPMG s’est joint à la conversation et a demandé à la comptable de réaliser plusieurs virements vers des comptes situés en Hongrie, en Croatie et en Grèce.

D’autres cas peuvent s’appuyer sur un chantage émotionnel venant d’un ami ou d’une collègue qui demande une aide immédiate pour se sortir d’un mauvais pas. Ces différents exemples s’appuient sur la pression sociale et sur les émotions humaines brutes pour que la victime clique avant même d’appliquer les consignes de sécurité.

Astuces pratiques pour identifier un phishing

Si vous voyez quelque chose, dites quelque chose

Signaler un mail de phishing potentiel devrait être la règle d’or ici, même si l’employé a ouvert le mail ou téléchargé la pièce jointe. Les employés doivent avoir des procédures et environnements adaptés pour signaler les phishings potentiels qu’ils ont identifiés ou ouverts. Durant l’un de nos événements, Connor Swalm, le PDG et fondateur de Phin Security, allait encore plus loin en disant : « N’avertissez pas vos employés de la date ou de l’heure d’un exercice autour du phishing. Si vous le faites, ils se contenteront de ne pas ouvrir leurs mails ce jour-là ce qui réduira leur efficacité au travail et la communication. »

Rappelez bien quelles sont les attaques les plus courantes

Plus les employés seront au courant des différents types d’attaques par phishing, plus ils seront équipés pour les détecter dans la réalité. La FTC (Federal Trade Commission) étatsunienne a établi cette liste qui recense les principaux types d’attaque par phishing, y compris la description de certaines opérations d’ingénierie sociale qui combinent mails, textos et même appels pour rassembler les informations nécessaires pour les déclencher. Ceci dit, ne créez pas de longues listes techniques de menace. À la place, expliquer les menaces les plus courantes, pour qu’elles soient compréhensibles pour tous les dirigeants et salariés de l’entreprise.

Culture cyber : le rempart contre le phishing

Comme le disait Kanye West, « la culture est la force la plus puissante de l’humanité. » Cela s’applique également à la sécurité. Tout n’est que culture. Plus vous éduquez au risque cyber, moins la menace pèsera sur votre entreprise. Le directeur de l’ANSSI Guillaume Poupard aime à rappeler que la cybersécurité est à l’affaire de tous. Nous abondons dans son sens, car au-delà des outils, chacun peut par sa culture et hygiène numérique, prévenir ou stopper ce type de menace par phishing.