Geekflare
Geekflare est soutenu par notre public. Nous pouvons gagner des commissions d'affiliation en achetant des liens sur ce site.
By Amos Kingatua in Confidentialité  |  Dernière mise à jour : 27 janvier 2023
Partager sur:

Phishing Attack 101 : comment protéger votre entreprise

Attaque d'hameçonnage 101
Scanner de sécurité des applications Web Invicti – la seule solution qui offre une vérification automatique des vulnérabilités avec Proof-Based Scanning™.

L'hameçonnage est une technique utilisée par les criminels pour inciter les utilisateurs à révéler leurs identifiants de connexion, les détails de leur carte de crédit et d'autres données privées.

Habituellement, les attaquants apparaissent comme s'ils appartenaient à des organisations connues et de confiance. Cela leur permet d'inciter les utilisateurs à ouvrir un lien de site Web compromis, des e-mails malveillants, des pièces jointes ou des messages authentiques.

YouTube vidéo

Un lien peut être un serveur qui installe malware qui vole des informations sensibles, telles que les identifiants de connexion et d'autres données privées, de la victime. Habituellement, les attaquants présentent les communications malveillantes comme si elles provenaient d'une entité digne de confiance comme une compagnie de téléphone ou un autre fournisseur de services. 

How Dangerous are Phishing Attacks?

Une attaque de phishing représente un risque de sécurité important, qu'elle cible un individu ou une organisation. Une fois qu'ils constituent un réseau, ils peuvent installer des logiciels malveillants, infecter tous les ordinateurs, puis les utiliser pour lancer des attaques internes et externes. De plus, les attaquants peuvent accéder aux données privées sensibles de l'entreprise, qu'ils pourraient utiliser pour faire chanter l'organisation ou les vendre à des concurrents.

attaque-de-phishing-cloudflare
Source : cloudflare.com

Une fois qu'ils ont réussi, les fraudeurs utilisent souvent des informations d'identification volées, des détails de carte de crédit ou d'autres informations privées pour accéder à d'autres services sur le réseau de la victime, effectuer des achats non autorisés, etc.

En règle générale, une attaque de phishing peut entraîner des pertes de réputation et des pertes financières pour une entreprise ou un individu. De plus, les attaquants pourraient mettre le réseau hors service, entraînant des pannes et d'énormes pertes financières. Un autre danger est de perdre la crédibilité et la confiance des clients, qui peuvent alors se tourner vers un concurrent.

Examples of Recent Phishing Attacks

Voici quelques-unes des récentes attaques de phishing :

# 1. Paiements de fausses factures Google et Facebook

Entre 2013 et 2015, un escroc lituanien a obtenu plus de 100 millions de dollars de Google et Facebook grâce à une série de fausses factures se faisant passer pour un grand fabricant basé en Asie. En deux ans, le fraudeur a envoyé plusieurs fausses factures de plusieurs millions de dollars ressemblant à celles du fournisseur.

Il s'agissait notamment de faux contrats et de lettres prétendument signés par des représentants de Google et de Facebook. Au moment où ils ont découvert l'arnaque, les deux avaient payé plus de 100 millions de dollars. 

#2. Attaque d'hameçonnage du pipeline colonial

A ransomware l'attaque a presque paralysé l'ensemble des opérations du pipeline colonial aux États-Unis. L'attaque de 2021 a compromis les systèmes de facturation et le réseau commercial, forçant l'entreprise à arrêter la plupart de ses opérations. 

Après avoir obtenu le mot de passe d'un employé par hameçonnage, les attaquants ont installé un logiciel de ransomware malveillant sur le réseau de l'entreprise. Cela leur a permis de compromettre les systèmes et d'exiger une rançon, que l'entreprise a payée pour éviter d'autres dommages et interruptions des services.

Initialement, le pipeline a payé 4.4 millions de dollars pour la clé de déchiffrement. Cependant, la société a perdu davantage en raison de la fermeture d'une semaine qui a entraîné la non-livraison de pétrole d'une valeur de 2.86 milliards de dollars. 

# 3. Attaque de Spear Phishing de Sony Picture

Dans le cas de Sony Picture, les attaquants ont envoyé des e-mails de harponnage aux employés après avoir obtenu leurs informations, telles que les noms et les titres, de LinkedIn.

Ensuite, se faisant passer pour des collègues, les attaquants ont envoyé des e-mails malveillants contenant des logiciels malveillants aux employés sans méfiance. L'attaque a conduit à une violation qui a affecté plus de 100 To de données, ce qui a coûté à l'entreprise plus de 100 millions de dollars à régler.

Types of Phishing Attacks

Les mauvais acteurs utilisent une variété de techniques pour tromper les utilisateurs cibles. L'approche varie en fonction de l'objectif, et vous trouverez ci-dessous quelques types d'hameçonnage courants.

Spear Phishing 

Hameçonnage est une attaque qui cible une organisation ou une personne spécifique au lieu d'utilisateurs aléatoires. En tant que tel, il nécessite une certaine connaissance de l'organisation ou de l'utilisateur cible. L'attaquant doit creuser plus profondément et obtenir des informations privilégiées telles que la structure de pouvoir d'un individu, sa vie personnelle, ses passe-temps ou tout ce qu'il peut utiliser pour personnaliser le message de phishing.

Spear Phishing

L'attaquant personnalise ensuite le message et l'envoie à la victime en se faisant passer pour un client, un fournisseur ou un patron nécessitant une modification des détails de la facture ou un transfert d'argent sur un compte spécifié. Dans la plupart des cas, il est difficile de reconnaître une attaque à la lance car les attaquants trompent une victime en utilisant des informations précises sur l'utilisateur ou l'organisation.

Hameçonnage

Hameçonnage à la baleine est une attaque similaire au spear phishing mais qui cible les dirigeants de l'entreprise. Ces e-mails de phishing, parfois suivis d'un appel téléphonique, conduisent souvent à inciter les dirigeants à autoriser les paiements sur les comptes contrôlés par les fraudeurs.

Alternativement, les hameçonneurs baleiniers peuvent inciter les dirigeants à révéler leurs identifiants de journalisation. Une fois réussis, les auteurs peuvent effectuer une fraude au PDG dans laquelle ils utilisent le compte compromis d'un dirigeant pour autoriser frauduleusement le paiement sur leurs comptes. 

vishing

vishing est une technique dans laquelle les auteurs utilisent des téléphones pour escroquer des utilisateurs sans méfiance. Les attaquants prétendent être des représentants d'organisations réputées telles que des banques, des compagnies de téléphone, etc.

vishing

Pendant l'appel, ils peuvent vous inciter à fournir des informations sensibles telles que le code PIN de la ligne de téléphone mobile. Ils pourraient également vous demander d'envoyer de l'argent sur un compte spécifique. 

Certains criminels peuvent utiliser une approche hybride. Dans ce cas, ils enverront d'abord un e-mail frauduleux et le suivront d'un appel téléphonique ou de vishing, ce qui le rendra plus authentique.

Phishing email

L'hameçonnage par e-mail se produit lorsqu'un fraudeur envoie des milliers de messages génériques à différents utilisateurs, espérant que certains deviendront la proie et effectueront des paiements à l'attaquant. Dans la plupart des cas, ils conçoivent des messages de phishing qui imitent les e-mails légitimes d'une entreprise de confiance.

Hameçonnage par e-mail

Ces messages auront les mêmes modèles, logos, signatures, formulations et autres caractéristiques qui les rendront légitimes. Outre les messages, ils créent un domaine qui ressemble étroitement à celui d'une entreprise légitime, ce qui rend difficile de soupçonner quoi que ce soit, sauf après un examen minutieux.

Les fraudeurs créeront également un sentiment d'urgence et des menaces, comme un compte sur le point d'expirer, à moins que l'utilisateur n'agisse, comme réinitialiser le mot de passe ou payer de l'argent. 

Hameçonnage trompeur

Le phishing trompeur implique des auteurs qui se font passer pour un expéditeur de courrier électronique connu et familier. Les fraudeurs contiennent souvent des liens et des contacts légitimes dans des e-mails malveillants. En tant que tels, les filtres de messagerie ne peuvent pas bloquer ou signaler les messages comme spam.

Étant donné que l'e-mail semble authentique, l'attaquant peut amener l'utilisateur à révéler des informations sensibles telles que des informations bancaires, des identifiants de connexion ou certaines données sensibles de l'entreprise.

Les criminels trompent les utilisateurs en leur demandant de changer de mot de passe, de vérifier un compte, d'effectuer des paiements, etc.

Attaques de phishing par clone

Dans le phishing clone, les fraudeurs créent une adresse e-mail similaire à celle légitime. Ils envoient ensuite un e-mail à un utilisateur, qui peut partager des informations sensibles avec les criminels s'il n'est pas prudent.

Attaques de phishing par clone
La source: norton.com

Par exemple, un attaquant peut envoyer un message qui semble provenir de votre patron et vous demander de partager les identifiants de connexion pour un certain compte. Ils peuvent également se faire passer pour un vendeur et demander des détails de paiement.

Phishing à la ligne

Le phishing Angler est une attaque qui cible les utilisateurs via des sites Web clonés, de faux messages privés ou des réseaux sociaux. Dans ce phishing, l'auteur recherche ses victimes cibles via les réseaux sociaux. Ils identifient ensuite les personnes qui se plaignent beaucoup d'une banque, d'un fournisseur de services ou d'une autre organisation connue de bonne réputation.

Le fraudeur se fait alors passer pour un responsable du service client de l'organisation et propose d'aider le plaignant. À ce stade, l'attaquant incite la victime à partager des identifiants de connexion ou d'autres données sensibles. 

How to Identify Phishing Attempts

L'une des méthodes efficaces d'identification du spear et d'autres tentatives de phishing est la LANCE, comme expliqué ci-dessous.

  • Scachez l'e-mail ou l'expéditeur du message
  • Pparcourez le sujet et assurez-vous qu'il est pertinent par rapport à ce que vous faites et qu'il ne sonne pas bizarre ou inhabituel par rapport à ce que vous recevez habituellement
  • EExaminez les pièces jointes et les liens dans le message. Survolez les liens pour voir s'ils sont pertinents et correspondent au sujet ou à l'action demandée
  • Aévaluez le message pour voir s'il est pertinent et ne contient pas un ton inhabituel, une urgence, des incohérences, des erreurs de grammaire ou d'orthographe
  • Rdemander la confirmation du véritable propriétaire du compte de messagerie. Pensez à vérifier auprès dudit expéditeur s'il vous a envoyé ce message.

En plus de ce qui précède, voici des conseils supplémentaires.

  • L'e-mail contient des noms de domaine, des URL, des liens et des adresses e-mail incohérents
  • Une salutation, une salutation et un langage génériques ou inhabituels
  • Les e-mails demandant des données personnelles ou privées telles que les détails de la carte de crédit, les informations de paiement, les identifiants de connexion, etc.
  • Un e-mail avec une demande d'action urgente, telle que l'obligation de changer de mot de passe, de payer de l'argent et d'autres actions

Voyons maintenant comment nous pouvons empêcher les attaques de phishing.

Preventing Phishing Attacks

Les organisations et les utilisateurs peuvent prendre diverses mesures pour prévenir les attaques de phishing. Jetons-y un œil.

# 1. Application d'une politique stricte de gestion des mots de passe

Les administrateurs pourraient établir et appliquer de solides gestion des mots Stratégies. Dans de tels cas, ils doivent exiger des mots de passe forts que les utilisateurs doivent changer régulièrement. De plus, les utilisateurs ne doivent pas utiliser un seul mot de passe pour plusieurs applications et doivent être empêchés de réutiliser des mots de passe plus anciens.

# 2. Utiliser l'authentification multifacteur

Authentification multifactorielle garantit qu'un utilisateur passe plusieurs niveaux de vérification avant d'accéder à un service, tel qu'une transaction financière. Même si un attaquant obtient les informations d'identification, telles qu'un nom d'utilisateur et un mot de passe, il aura toujours besoin d'une autre forme d'authentification, telle que la fourniture d'un code envoyé à l'appareil enregistré de l'utilisateur authentique, tel qu'un téléphone mobile.

D'autres méthodes multifactorielles incluent la biométrie, les badges, les OTP, les épingles, etc. Puisqu'il est impossible pour l'attaquant de passer la deuxième authentification, même lorsqu'il a le mot de passe, il est impossible d'accéder et de compromettre les systèmes.

# 3. Sensibilisation des employés

Mener des campagnes de sensibilisation auprès des employés et de la direction est un moyen de réduire les risques d'attaques de phishing. Son objectif devrait être de promouvoir des activités en ligne sûres et de donner au personnel, y compris à la direction, les moyens d'identifier et d'agir sur les e-mails malveillants.

Les utilisateurs doivent connaître les risques de cliquer sur des liens ou d'ouvrir des documents qui semblent suspects, ainsi que de révéler des informations sensibles à des étrangers. En outre, ils doivent être découragés de publier des informations personnelles et professionnelles sensibles sur les réseaux sociaux.

# 4. Installer le logiciel et les outils de sécurité des e-mails

Installer fiable et efficace logiciel de sécurité de messagerie pour détecter et arrêter les escroqueries par hameçonnage et autres menaces. Les solutions typiques incluent les logiciels antivirus, les pare-feu, les filtres anti-spam, etc. De plus, l'organisation peut installer des filtres Web pour détecter les sites Web malveillants et empêcher les employés d'y accéder. 

Les utilisateurs doivent éviter de cliquer sur des liens ou des pièces jointes provenant d'expéditeurs inconnus. Il est important de prendre des précautions lorsque vous traitez de tels e-mails, y compris ceux qui semblent provenir de sources fiables.

Si cela semble suspect, vérifiez les liens en les survolant ou en les copiant dans une nouvelle fenêtre de navigateur pour voir s'ils correspondent au contenu de l'e-mail.

# 6. S'assurer que les e-mails proviennent d'un domaine fiable

Les utilisateurs doivent éviter d'ouvrir ou d'agir sur des e-mails provenant de domaines suspects. Par exemple, si quelqu'un vous envoie un e-mail prétendant provenir de Microsoft, il utilise une adresse e-mail avec un domaine différent. En cas de doute, copiez le nom de domaine et recherchez-le sur Internet.

Si son contenu ne correspond pas au message, vous devez le traiter avec méfiance. Bien que la plupart des e-mails de phishing soient marqués comme SPAM, certains peuvent passer le filtre anti-spam et sembler authentiques. 

# 7. Évitez de donner des informations sur un site non sécurisé

Si un lien vous dirige vers un site inconnu, vous ne devez fournir aucune information sensible ou privée. Vous ne devez jamais divulguer les données de votre entreprise ou personnelles à des étrangers ; sinon, les fraudeurs peuvent voler ces informations et effectuer des activités non autorisées.

Mot de la fin

Les attaques de phishing sont en augmentation et ne semblent pas ralentir car les fraudeurs continuent d'adopter de nouvelles astuces. Alors que l'organisation peut améliorer sa posture de sécurité, le comportement des utilisateurs à risque est l'un des principaux contributeurs aux attaques de phishing.

En tant que tel, l'utilisation d'outils de sécurité fiables et d'un comportement d'utilisateur en ligne sûr est l'un des moyens les plus efficaces d'arrêter les attaques et d'assurer la sécurité et la sûreté de vos données commerciales sensibles.

Ensuite, vous pouvez consulter le meilleur Analyseurs d'URL pour vérifier si un lien est sûr.

Merci à nos commanditaires
Plus de bonnes lectures sur la confidentialité
Alimentez votre entreprise
Certains des outils et services pour aider votre entreprise à se développer.
  • invicti
    Invicti utilise Proof-Based Scanning™ pour vérifier automatiquement les vulnérabilités identifiées et générer des résultats exploitables en quelques heures seulement.
    Essayez Invicti
  • Données lumineuses
    Web scraping, proxy résidentiel, proxy manager, web unlocker, moteur de recherche et tout ce dont vous avez besoin pour collecter des données Web.
    Essayez Brightdata
  • Semrush
    Semrush est une solution de marketing numérique tout-en-un avec plus de 50 outils de référencement, de médias sociaux et de marketing de contenu.
    Essayez Semrush
  • Intruder
    Intruder est un scanner de vulnérabilités en ligne qui détecte les failles de cybersécurité de votre infrastructure, afin d'éviter des violations de données coûteuses.
    Essayez Intruder