Conseils contre les attaques de phishing ciblées
Les vagues actuelles de phishing le prouvent : les cybercriminels sont créatifs. Il faut désormais se méfier des SMS de phishing, par exemple. Quelques recommandations d'action.
Rappelons la brève définition de l'hameçonnage : les cybercriminels trompent la victime pour qu'elle révèle quelque chose par voie électronique (qui n'appartient en fait pas à des mains étrangères). Même si, après une sensibilisation intensive, de nombreux utilisateurs reconnaissent les attaques de phishing évidentes, ce type de cybercriminalité reste un fléau gênant. En effet, les attaques de phishing ont également évolué. Aujourd'hui, l'hameçonnage ciblé, appelé spear phishing, est considéré comme la norme criminelle. Les attaquants consacrent beaucoup d'efforts à chaque e-mail afin de le rendre aussi authentique et crédible que possible.
Sophos a mis en évidence des conseils efficaces pour les utilisateurs et le service informatique sur la manière de gérer les e-mails de phishing.
Recommandations d'action pour chaque utilisateur
- Ne pas se laisser influencer : Même un inconnu peut se présenter sans peine comme un "initié". L'ami d'un ami, un ancien collègue, etc. Avec une combinaison d'informations collectées (provenant d'un vol de données antérieur, de profils de médias sociaux et d'anciens e-mails, que ce soit en tant que destinataire ou expéditeur), même un criminel sans grand soutien financier ni esprit technique parvient à paraître plus crédible que n'importe quel e-mail "Cher client".
- "Urgent" devrait éveiller les soupçons : Une grande partie des escroqueries par e-mail fonctionne parce que les criminels gagnent la confiance de la victime ou parce qu'ils se présentent comme une autorité (p. ex. un supérieur). La "tâche urgente à accomplir" est souvent combinée avec des flatteries. "Confidentiel" et "destiné uniquement au destinataire" isolent encore davantage la victime. Une telle confidentialité devrait être considérée comme suspecte.
- Ne pas se fier aux détails de l'expéditeur du courriel On pourrait croire à tort que les escrocs font tout leur possible pour ne pas encourager la victime à les examiner de près. Mais parfois, c'est le contraire qui se produit : ils font activement pression pour obtenir un rappel ou une réponse - dans le cadre de l'escroquerie. Mais ce faisant, on leur donne justement l'occasion de convaincre la victime avec leurs mensonges et on les prend au piège.
- Ne jamais suivre les instructions d'un e-mail : L'une des ruses habituelles des escrocs de phishing consiste à dissimuler des contenus malveillants. Macros, un logiciel de détournement de données, en est un exemple. L'e-mail qui semble inoffensif est précédé d'un préambule expliquant comment le regarder "correctement" en modifiant différents paramètres. Normalement, ces instructions sont assez plausibles, mais les escrocs attirent si habilement le destinataire que ce sont précisément les fonctions censées le protéger qui sont neutralisées.
- Demander un deuxième avis : Le principe des quatre yeux n'est pas seulement utile pour l'orthographe et la grammaire, mais aussi pour l'évaluation des e-mails d'hameçonnage de mauvais augure. C'est pourquoi les escrocs misent sur l'effet de confidentialité pour contourner ce contrôle.
Recommandations d'action pour l'informatique
En plus de ces conseils de premiers secours pour chaque utilisateur, Sophos a également résumé trois conseils bonus pour le service informatique :
- Définition d'un point de contact central pour les cas de cybersécurité
De nombreuses attaques de spear phishing réussissent parce que les employés veulent absolument faire ce qu'il faut - tout à fait dans l'esprit d'un service client serviable. En initiant un poste de rapport fixe (par exemple une adresse e-mail interne comme security-report@example.org), les collaborateurs disposent d'un moyen simple de demander des conseils en matière de sécurité. Et ce, plutôt AVANT qu'après un e-mail suspect !
- La cybersécurité ne devrait pas être une voie à sens unique.
Même les sites web les mieux protégés peuvent être attaqués, et si un collaborateur remarque quelque chose d'anormal, il faut le prendre au sérieux et ne pas le renvoyer à la souveraineté informatique. Mieux vaut prévenir que guérir.
- Des simulations de phishing comme camp d'entraînement
S'entraîner avec des e-mails de phishing peut aider les collaborateurs de l'entreprise. Il existe désormais des outils de formation explicites qui utilisent de fausses attaques de phishing sans conséquences dommageables pour s'entraîner. Il est important de les considérer comme des outils d'amélioration et non de contrôle. En effet, les escrocs ne se lassent pas de transformer chaque jour de nouveaux utilisateurs en victimes d'attaques de phishing toujours plus sophistiquées.
Source : Sophos / TC Communications