Attaques par hameçonnage : Les données d'accès comme mine d'or
De nombreuses entreprises permettent à leurs employés de partager des documents en ligne et même d'accéder à des systèmes bureautiques entiers en ligne. Parfois, un seul mot de passe suffit pour accéder à un compte de messagerie, mais aussi à divers autres documents. Il n'est donc pas surprenant que ces données d'accès présentent un grand intérêt pour les attaques de phishing.
Au cours des derniers mois, la Centre d'enregistrement et d'analyse Melani Les utilisateurs ont reçu des messages concernant de nombreuses attaques de phishing qui imitent de telles plateformes et tentent d'obtenir des données d'accès. Par exemple, les sites web de Microsoft Office 365 ou OneDrive sont imités. La qualité et la nature des e-mails varient fortement. Dans certains e-mails, le destinataire est invité à s'identifier pour résoudre un problème avec son compte ou, au contraire, à consulter un document partagé avec lui. Dans tous les cas, le destinataire est redirigé vers une page de phishing qui imite la page du fournisseur ; il doit y indiquer son nom d'utilisateur et son mot de passe.
Une tentative d'escroquerie sur mesure
Dès que les criminels ont accès au compte, ils peuvent en principe procéder aux mêmes réglages que le titulaire du compte :
- Mettre en place une redirection des e-mails afin qu'ils aient accès à toute la correspondance de la personne lésée. La redirection se fait souvent par copie, de sorte que le titulaire du compte ne peut pas s'en rendre compte.
- Si le compte de messagerie de la plate-forme est utilisé comme adresse de messagerie de réinitialisation pour d'autres services, un pirate pourrait faire réinitialiser les mots de passe correspondants et obtenir ainsi l'accès à d'autres services.
- Les pirates peuvent obtenir l'accès à d'autres documents dans la mesure où les droits de l'utilisateur le permettent. Ils peuvent également demander à d'autres utilisateurs, au nom de leur victime, de partager des documents. Comme ceux-ci supposent que cela est fait par un collègue de l'entreprise, ils accèdent souvent à cette demande.
Pour les criminels, ces données d'accès sont souvent une mine d'or qui leur permet de collecter des informations pertinentes, telles que les relations commerciales, les cas à traiter, la structure et l'organigramme de l'entreprise, pour une tentative de fraude sur mesure. Il n'est pas non plus exclu que ces informations soient utilisées ou revendues à des fins d'espionnage économique.
Dès qu'un compte est compromis, tous les contacts de la personne lésée peuvent être affectés. Souvent, ils risquent de recevoir un e-mail contenant un logiciel malveillant ou un hameçonnage, qui semble provenir du compte d'un collègue ou d'un partenaire commercial. Cette méthode permet aux pirates d'obtenir d'autres accès au réseau de l'entreprise
Le bureau fédéral Melani émet les recommandations suivantes
Mesures techniques :
- Utilisez l'authentification à deux facteurs partout où elle est disponible.
- Il est recommandé de choisir un service qui offre suffisamment de fonctionnalités de journalisation et qui met les journaux à la disposition des clients sous une forme appropriée.
- Il est recommandé aux entreprises de rechercher des actions anormales sur les comptes des collaborateurs : accès depuis des lieux ou à des heures inhabituels, ajout de redirections d'e-mails, etc.
- Les courriels devraient toujours être signés numériquement (du moins en interne) et les utilisateurs devraient être formés à traiter avec une prudence particulière les courriels qui ne sont pas signés de la sorte.
- Lors de l'envoi d'e-mails légitimes présentant un fort potentiel d'abus pour le phishing, comme par exemple l'envoi électronique de factures, il faut veiller à ce que les liens ne soient pas cachés derrière du texte HTML et que les e-mails et/ou documents soient signés numériquement.
- Afin que son propre domaine puisse être moins facilement utilisé pour des tentatives de phishing, il convient de mettre en place les protocoles SPF, DKIM et DMARC. Cela est également possible chez certains des grands fournisseurs de collaboration, comme par exemple pour Office365
Mesures organisationnelles:
- La meilleure façon de lutter contre le phishing est de sensibiliser les collaborateurs à ce phénomène : Il est indispensable que les collaborateurs soient formés à la reconnaissance et à la gestion des e-mails suspects et frauduleux. Les collaborateurs sensibilisés savent qu'en cas d'e-mails suspects ou frauduleux, ils ne doivent pas cliquer sur les liens ou ouvrir les pièces jointes, mais informer immédiatement leurs supérieurs ou les responsables informatiques.
- De même, les processus définis par l'entreprise et les mesures de minimisation des risques doivent être respectés à tout moment. En particulier, tous les processus concernant le trafic des paiements devraient être clairement réglementés au sein de l'entreprise et respectés par les collaborateurs dans tous les cas (p. ex. principe du double contrôle, signature collective à deux, processus conformes au système de contrôle interne).
- Les tentatives de phishing peuvent être consultées sur la page www.antiphishing.ch être signalés. Cela permet au service fédéral Melani de prendre des mesures rapides pour protéger les autres utilisateurs.
Communiqué de presse Melani