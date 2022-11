Mailinblack dévoile ses nouvelles simulations d’attaques par clé USB et QR Code

novembre 2022 par Marc Jacob

Mailinblack intègre des simulations d’attaques par clé USB et QR Code à Cyber Coach, son outil de sensibilisation et de formation des collaborateurs. Il est désormais possible de diffuser des fausses campagnes personnalisées via une clé USB ou un QR Code. Ces simulations permettent aux collaborateurs d’apprendre à identifier les attaques perpétuées par des hackers diversifiant leurs outils et n’utilisant plus uniquement l’email comme vecteur.

Le QR Code, nouveau vecteur privilégié des hackers

Si 84% d’entre nous ont déjà scanné un QR Code, 71% ne savent pas identifier un QR Code légitime d’un QR Code malveillant (étude MobileIron de 2020). Depuis la crise Covid, les QR codes se sont démocratisés et font désormais partie du quotidien. Les cyberattaquants ont saisi cette opportunité et développé des campagnes de phishing, de ransomware et de Browser into Browser transitant par QR Code. Afin de sensibiliser et de former les collaborateurs à ces nouvelles méthodes, Cyber Coach a intégré des simulations d’attaques sous forme d’offres alléchantes, attisant la curiosité : abonnement de sport, billetterie en ligne, voyage d’entreprise, chèque cadeau, garde d’enfant, ou encore un modèle libre et personnalisable à 100% par l’entreprise.

Ces QR codes peuvent être diffusés par email et également sur de faux flyers, posters et autres supports qui peuvent être répartis au sein de l’environnement de travail.

La clé USB, un outil universel qui présente des risques importants

Les clés USB sont ancrées dans nos habitudes et il est facile d’oublier qu’elles peuvent être une arme cyber. En 2016, des chercheurs des Universités de l’Illinois et de Michigan ont déposé 300 clés USB sur un campus universitaire américain. Six heures plus tard, 45% des clés avaient été connectées et dans 48% des cas, les personnes ayant branché les clés USB ont ouvert et exécuté les fichiers présents sur celles-ci. Cyber Coach a intégré un module de simulations d’attaque par clé USB en y associant une pièce-jointe. Celle-ci peut être personnalisée par l’entreprise et/ou inspirée des modèles proposés : facture impayée, règlement RGPD à acter, bon d’achat à recevoir, salaires des employés, paiement encaissé, livraison prévue, informations personnelles, etc. Des sujets qui peuvent facilement intriguer les collaborateurs et les pousser à ouvrir le fichier joint.

Que ce soit via le QR Code ou la clé USB, le collaborateur, s’il se fait piéger, est conduit vers une page de sensibilisation personnalisée en fonction du sujet de l’attaque et de l’erreur commise.

Lancé en 2021, Cyber Coach a déjà séduit plus de 650 clients et entraîné 300 000 collaborateurs à travers plus de 6000 simulations d’attaques. Parmi eux, 25 % en moyenne ont cliqué sur les liens vérolés et 15 % ont renseigné des informations personnelles. Si ces chiffres sont alarmants et mettent en évidence la faille humaine, les résultats de la formation sont plus qu’encourageants. La vulnérabilité des collaborateurs est réduite de moitié après 6 simulations d’attaques.

Les nouvelles fonctionnalités de Cyber Coach permettent non seulement de continuer de former les collaborateurs aux risques cyber transitant par email, mais également de les sensibiliser aux autres vecteurs d’attaques, comme la clé USB et le QR Code.