Snapchat victime de spearfishing : des données relatives aux employés volées !

Lorsqu’un email est arrivé, un vendredi du mois de février, envoyé par le CEO de Snapchat, Evan Spiegel, et demandant des informations sur les salaires des employés, le département paie a obtempérer sans se poser de questions.

Seulement, le problème est que ce mail en question ne provenait pas de Spiegel, mais plutôt d’un cybercriminel, qui avait pris pour cible la compagnie en lançant une attaque de type spearfishing.

Le spearfishing est un genre d’attaque basée sur l’ingénierie sociale, ciblant un individu en particulier ou une organisation, et qui pour des raisons de crédibilité dans notre cas, a usurpé l’identité du CEO de Snapchat.

Les cybercriminels ont donc réussi à dérober les données personnelles relatives à la paie d’un certain nombre d’employés, toujours présents au sein de l’entreprise ou ayant quitté Snapchat.

Dimanche 28 février, dans un post publié par la “Team Snapchat” sur son blog, l’entreprise s’est excusée auprès de ses employés, et a déclaré qu’elle offrait 2 années gratuites d’assurance et de surveillance concernant le vol d’identité.

Snapchat a déclaré être infiniment désolé à propos de cette faille, qui met l’entreprise dans une situation délicate et embarrassante.

Snapchat a aussi déclaré qu’aucune donnée appartement à des utilisateurs Snapchat n’avait été dérobée, et qu’aucun serveur interne à l’entreprise n’avait été compromis.

Snapchat a également déclaré qu’il “renforcerait de manière rigoureuse les formations et autres programmes autour de la protection de la vie privée et de la cybersécurité“, dans l’espoir qu’une telle situation ne se reproduise plus à nouveau.

Malheureusement pour les employés affectés, les informations relatives à la paie comprennent les données nécessaires, qu’un cybercriminel pourrait utiliser pour remplir une déclaration frauduleuse et demander un remboursement.

cependant, Snapchat n’a pas été la seule entreprise à être victime de spearfishing.

Les scams spécialisés dans la fraude fiscale représentent un business juteux pour les cybercriminels, et les attaques de type spearfishing ciblant les entreprises, ont eu lieu récemment au sein de RightSide, une entreprise du secteur de l’enregistrement des noms de domaine, et au sein de KnowBe4, qui quant à elle, est une entreprise de formation pour sensibiliser à la cybersécurité.

Les escrocs en question ont également ciblé, à maintes reprises, l’agence américaine en charge de la collecte de l’impôt sur le revenu (IRS).

L’IRS a admis il y a 2 semaines qu’en août 2015, une faille de sécurité qui au départ concernant 300 000 contribuables, a en réalité abouti au vol de données de plus de 700 000 personnes.

L’IRS a déclaré avoir observé une augmentation de près de 400% des attaques par hameçonnage, au cours des 12 derniers mois, avec pour objectif le vol de données personnelles à des fins de fraudes, telles que le numéro de sécurité sociale, les salaires, la situation fiscale et le PIN de vérification.

Laissons ces incidents servir de leçons aux employés où qu’ils se trouvent : si vous recevez une requête inhabituelle, même si cette dernière semble émaner de l’entreprise, transférez-là à la DRH, et surtout demandez-vous pourquoi vous avez reçu ce type de demande.

Si vous agissez ainsi, votre président vous remerciera certainement !

Suivre @SophosFrance
Billet inspiré de “Snapchat snared by phishers impersonating CEO, employee data swiped” par John Zorabedian de Naked Security
Partagez “Snapchat victime de spearfishing : des données relatives aux employés volées !” avec http://wp.me/p2YJS1-2wa