Comme vous pouvez l’imaginer, les pirates ont à priori utilisé des attaques de phishing.
Le phishing, pour résumer très brièvement, est une technique utilisée par un cybercriminel avec comme objectif de vous inciter à révéler des informations numériques que vous auriez dû garder confidentielles.
La bonne nouvelle est que la plupart d’entre nous ont appris, de nos jours, à repérer les attaques de phishing les plus courantes.
La mauvaise nouvelle est que vous ne pouvez pas repérer de manière fiable les attaques de phishing simplement en faisant attention aux erreurs évidentes qui auront été commises ou en espérant que les cybercriminels vous appellent “Cher client” au lieu d’utiliser directement votre nom.
Vous devez faire attention au phishing ciblé, souvent appelé spear-phishing, où les cybercriminels font un véritable effort pour personnaliser chaque email, par exemple en l’adaptant spécifiquement à vous et à votre entreprise.
Le spear-phishing, qui utilise de faux emails vraiment crédibles, n’est pas seulement un problème pour les victimes de premier plan telles que l’entreprise Burisma ou d’autres sociétés du même type présentes dans le monde entier.
L’acquisition des données spécifiques nécessaires pour créer des emails de phishing personnalisés est plus facile que vous ne le pensez, et de plus une grande partie de la collecte de données peut être automatisée.
5 conseils pour vous protéger contre le spear-phishing
Voici donc nos 5 conseils pour lutter contre les attaques par spear-phishing, surtout si vous faites face à un cybercriminel qui est prêt à consacrer du temps et des efforts pour gagner votre confiance au lieu de simplement vous inonder avec des emails du type “Cher client” :
1. NE BAISSEZ PAS LA GARDE UNIQUEMENT PARCE QU’UNE PERSONNE SEMBLE DÉTENIR DE NOMBREUSES INFORMATIONS SUR VOUS
Une personne que vous n’avez jamais rencontrée, et que vous ne rencontrerez certainement jamais, peut néanmoins facilement se faire passer pour un proche, un ami d’un ami peut-être, ou même un collègue avec lequel vous avez travaillé à distance à une époque, sans jamais vous rencontrer face à face.
Avec un mélange d’informations collectées à partir de violations de données déjà publiques, de profils sur les réseaux sociaux et de l’historique des emails que vous avez envoyés ou reçus, même un cybercriminel avec des moyens financiers modestes et peu de connaissances techniques pourra se montrer beaucoup plus convaincant qu’un simple “Cher client“.
2. NE VOUS PRÉCIPITEZ PAS POUR ENVOYER VOS DONNÉES JUSTE PARCE QUE VOTRE INTERLOCUTEUR VOUS DIT QUE C’EST URGENT
De nombreuses escroqueries par email fonctionnent parce que le cybercriminel en question parvient à gagner votre confiance ou à vous fait croire qu’il est très bien placé en haut de l’organigramme de votre propre entreprise, tout en insistant sur l’urgence de la tâche qu’il vient de vous confier.
Il aura souvent recours à la flatterie également, en expliquant pourquoi il vous le demande à vous et à personne d’autre. Il vous fera comprendre que le travail demandé est confidentiel et ne doit donc pas être partagé avec un tiers.
Ne considérez jamais comme normal le fait que l’on exige de vous un silence total : considérez plutôt cette demande comme suspecte.
3. NE VOUS FIEZ PAS AUX DÉTAILS FOURNIS PAR L’EXPÉDITEUR MÊME APRES LES AVOIR VÉRIFIÉS
Vous pensez certainement que les cybercriminels vont essayer de vous décourager avec insistance de mener la moindre vérification, mais parfois, non seulement ils vont accueillir positivement votre démarche, mais ils vont vous inciter activement à les rappeler, à leur envoyer un message, ou encore à visiter leur site Web. Méfiez-vous car en réalité cette stratégie fait justement partie de l’arnaque.
Si vous les rappelez au numéro de téléphone qu’ils vous ont donné ou si vous leur envoyez un message via le site Web qu’ils vous ont fourni, vous leur offrez alors une formidable opportunité pour qu’ils vous racontent les mensonges auxquels ils souhaitent que vous adhériez.
NB : C’est pourquoi les institutions financières impriment leurs numéros de contact en cas d’urgence au dos de votre carte bancaire et les affichent sur les écrans d’accueil de leurs distributeurs automatiques de billets : en effet, pour les cybercriminels, ces informations sont beaucoup plus difficiles à manipuler.
4. NE SUIVEZ PAS LES INSTRUCTIONS POUR VISUALISER UN EMAIL QUI APPARAISSENT JUSTEMENT DANS L’EMAIL REÇU
Une technique courante utilisée par les cybercriminels consiste à cacher du contenu malveillant, tel qu’un logiciel de vol de données appelé plus communément macros, à l’intérieur de fichiers de type document à l’allure inoffensive, puis à faire précéder le “document” d’instructions sur la façon de le visualiser “correctement” en modifiant divers paramètres de sécurité.
Habituellement, les instructions semblent assez réalistes, mais les cybercriminels vous incitent en fait à désactiver des fonctions de sécurité qui sont justement censées vous protéger.
5. N’AYEZ PAS PEUR DE DEMANDER UN DEUXIÈME AVIS
Si vous avez déjà demandé à des collègues de relire vos documents ou vos emails, ils ont souvent trouvé des erreurs que vous ne pensiez pas avoir pu laisser passer.
C’est parce qu’un deuxième avis est indispensable et permet justement de voir au-delà des apparences.
En fait, c’est la principale raison pour laquelle les cybercriminels vous invitent à ne partager avec personne ce que vous faites, pour vous empêcher justement d’obtenir un deuxième avis et de les démasquer.
Des conseils aussi pour les équipes IT
Pendant que nous y sommes, voici 3 conseils supplémentaires pour les équipes IT et les administrateurs système :
1. DÉFINIR UN SEUL POINT DE CONTACT POUR PERMETTRE AUX EMPLOYÉS DE SIGNALER DES PROBLÈMES DE CYBERSÉCURITÉ
La plupart des tentatives de spear phishing ne fonctionnent pas parce que les employés cherchent délibérément à être malveillants, mais parce qu’ils souhaitent justement être bienveillants en se rendant utiles et en offrant le meilleur service client possible à tout le monde.
Personne ne veut risquer d’être cet “ex-collègue qui a été licencié pour avoir traité de manière méprisante l’un de ses plus importants clients”.
En fournissant un point de contact unique pour tout signalement tel qu’une adresse interne comme securite-signalement@exemple.com
, vous permettez à vos utilisateurs d’obtenir facilement des conseils de sécurité avant de prendre des risques, et non après.
Le pire serait d’être victime de spear phishing par email et de découvrir que la personne qui est tombée dans le piège n’était malheureusement pas la première dans l’entreprise à s’être fait avoir et qu’avec un système d’alerte mis en place en amont, vous auriez pu éviter tout simplement que cette attaque ne se produise.
2. FAITES DE LA CYBERSÉCURITÉ UN ESPACE D’ÉCHANGE ET DE PARTAGE : ÉCOUTEZ VOS UTILISATEURS !
Dans les années 1990 et 2000, la cybersécurité était souvent basée sur l’idée selon laquelle “les équipent et les systèmes IT étaient les véritables experts et fixeraient toutes les règles à suivre, sans exception”.
Mais cette approche tend à créer une culture dans laquelle tout ce qui n’est pas bloqué est aveuglément supposé fiable.
Même les sites Web légitimes à fort trafic sont parfois piratés, et si l’un de vos utilisateurs se trouve être la première personne à se faire piéger, vous voulez qu’il soit en mesure de vous le dire, sans hausser les épaules en ignorant tout simplement le problème rencontré.
3. PENSEZ AUX SIMULATIONS D’ATTAQUES DE PHISHING
Des produits comme Sophos Phish Threat peuvent vous permettre d’exposer vos utilisateurs aux mêmes techniques que celles utilisées dans des attaques de spear-phishing, mais en toute sécurité par contre, afin que si ces derniers devaient tomber dans le piège, aucun dommage réel ne serait causé.
Tant que vous indiquerez clairement que vos tests de phishing sont là pour aider et sensibiliser vos utilisateurs, et non pas là pour les surveiller et les prendre la main dans le sac le moment venu, alors tout le monde en profitera.
Après tout, certains de vos employés reçoivent probablement déjà des dizaines de vrais emails de phishing ou de spear-phishing chaque mois, donc même si vous ne testez pas vos utilisateurs, n’ayez crainte car les cybercriminels les testeront très certainement pour vous !
EN SAVOIR PLUS SUR LE PHISHING
Billet inspiré de 5 tips to avoid spear-phishing attacks, sur Sophos nakedsecurity.