in Health

Comment le phishing menace le paysage de la cybersécurité

1000 Views

Les opinions exprimées par les contributeurs Entrepreneurs sont les leurs.

Dans notre récent rapport Consumer Cybersecurity Trends, les chercheurs de RAV se sont penchés sur les menaces auxquelles les consommateurs ont été confrontés au cours de la dernière année. Il n’était pas surprenant qu’une fois de plus, le phishing ait pris la première place des activités cybercriminelles.

Il existe différents types et différentes manières pour les pirates de réaliser une attaque de phishing. Plongeons-nous dans les façons les plus répandues, et aussi les plus sournoises, dont le phishing menace actuellement le paysage de la cybersécurité pour les consommateurs d’aujourd’hui.

Connexes : Qu’est-ce que le phishing ? Voici comment se protéger contre les attaques.

Hameçonnage par e-mail

Cela peut sembler être une vieille nouvelle maintenant, mais les attaques de phishing par e-mail ne semblent pas cesser d’arriver – et il est surprenant de voir combien de personnes en sont encore victimes.

En février dernier, les employés de Reddit ont été victimes d’une campagne de phishing par e-mail qui a touché des centaines de contacts et d’employés de l’entreprise. Selon une déclaration de Reddit à l’époque, “l’attaquant a envoyé des invites plausibles pointant les employés vers un site Web qui a cloné le comportement de notre passerelle intranet dans le but de voler des informations d’identification et des jetons de second facteur”.

La question de savoir si cette attaque aurait pu être évitée fait l’objet d’un débat. À tout le moins, le fait qu’un employé soit suffisamment conscient pour comprendre ce qui se passait et donner l’alerte à son équipe de sécurité est vital. Plus tôt une attaque peut être atténuée, mieux c’est.

Outre le phishing par e-mail via des liens et des pièces jointes malveillants, la militarisation des documents de bureau envoyés par e-mail a également augmenté. Les documents Office qui cachent le code macro sont encore très courants, et 2022 a vu de nombreux fichiers envoyés en tant que documents de phishing pour inciter les utilisateurs à exécuter le code malveillant.

En relation : 4 choses que vos employés font en ce moment qui compromettent votre réseau

Hameçonnage

Contrairement à l’approche traditionnelle « vaporiser et prier », selon laquelle des e-mails de phishing de masse sont envoyés à autant de destinataires que possible dans l’espoir qu’ils obtiendront au moins quelques résultats, le « spear phishing » est une attaque de phishing ciblée visant un individu spécifique ou organisation.

Les cybercriminels rechercheront leur cible afin de personnaliser l’attaque et d’accroître leur crédibilité, dans le but de persuader la cible de divulguer des informations sensibles ou de la tromper pour qu’elle effectue des paiements.

Alors que les équipes financières et les cadres semblent être les cibles les plus probables des campagnes de harponnage, les services commerciaux pourraient également voir une augmentation, principalement parce qu’un membre de l’équipe commerciale est plus susceptible de recevoir des e-mails de l’extérieur d’une organisation. Ces employés pourraient être un point d’entrée viable pour les pirates essayant d’infiltrer une organisation.

Les médias sociaux sont également un facteur ici, car de nombreux employés qui utilisent les médias sociaux, que ce soit à des fins personnelles ou professionnelles, sous-estiment à quel point leur empreinte numérique peut être vaste. Au premier trimestre 2022, les utilisateurs de LinkedIn représentaient 52 % de toutes les cibles de harponnage dans le monde, et les utilisateurs ont été avertis d’être sur leurs gardes face à une augmentation des campagnes de harponnage.

Le plus gros point à retenir ici devrait être que les criminels recherchent le maillon le plus faible d’une entreprise, peu importe qui ils essaient de cibler. Un mauvais clic d’un employé sans méfiance suffit, alors il essaiera encore et encore de piéger sa prochaine victime.

Et faisant passer les attaques de spear phishing au niveau supérieur, le “whale phishing” cible les membres les plus hauts placés de l’entreprise, comme le PDG ou le directeur financier. Les techniques de phishing à la baleine peuvent impliquer d’usurper l’identité de ces figures de proue, afin d’amener un employé à autoriser des transferts d’argent de grande valeur à l’attaquant ou à divulguer des informations vitales sur l’entreprise.

En relation : Votre entreprise est-elle prête à faire face à une cyberattaque ? (Infographie)

Smishing

En général, les utilisateurs font à tort plus confiance aux SMS qu’aux e-mails. En réalité, comme la plupart des smartphones peuvent recevoir des SMS de n’importe quel numéro dans le monde, les utilisateurs de smartphones ne bénéficient d’aucune confidentialité par SMS.

L’hameçonnage effectué par SMS, également connu sous le nom de “smishing”, incitera une victime à révéler des informations personnelles via un lien via des SMS convaincants. Malheureusement, trop peu d’utilisateurs sont conscients des dangers de cliquer sur des liens dans des SMS.

Ces liens peuvent conduire à des sites de phishing d’informations d’identification ou injecter des logiciels malveillants conçus pour compromettre le téléphone lui-même. Le logiciel malveillant peut ensuite être utilisé pour espionner les données du smartphone de la victime ou envoyer silencieusement des données sensibles à un serveur contrôlé par l’attaquant.

Confidentialité compromise

Mais de quoi avons-nous peur ? À quoi peut mener une attaque de phishing ? Une fois qu’un acteur malveillant a accès aux données, il peut se mettre au travail pour l’utiliser à ses propres fins néfastes – qu’il s’agisse de détenir la rançon des données, de les utiliser pour le vol financier ou de créer de nouvelles perturbations pour une entreprise (par exemple, doxing ou cyberespionnage) .

Par exemple, Atlassian a récemment subi une faille de cybersécurité sous la forme d’une attaque de phishing qui a compromis les clients et les informations privilégiées de l’entreprise, y compris les plans d’étage de l’entreprise. On pense que l’attaque a été réalisée en utilisant les informations d’identification d’un employé. Nous voyons à partir de cela que le phishing peut conduire à des regards indiscrets indésirables et injustifiés dans le sanctuaire intérieur d’une entreprise, et il expose les consommateurs et les entreprises à un risque d’interférence supplémentaire. La pléthore de techniques de phishing est probablement la raison pour laquelle il se classe comme la méthode d’attaque préférée de tant de cybercriminels.

Pour se protéger contre les attaques de phishing, que ce soit en tant que consommateur, employé ou propriétaire d’entreprise, suivre quelques directives de base sera inestimable :

  • Méfiez-vous des courriers non sollicités et des e-mails inattendus, en particulier ceux qui appellent à l’urgence.

  • Revérifier les transactions ou la divulgation de données par un moyen de communication secondaire (par exemple, appels téléphoniques ou face à face).

  • Méfiez-vous des signes révélateurs de tentatives de phishing, tels que la faute d’orthographe des mots, l’utilisation incorrecte des URL et les messages totalement hors de propos.

  • De plus, faites attention aux technologies émergentes sur le marché – il reste à voir si les chatbots intelligents d’IA nouvellement disponibles pourraient être utilisés pour créer des e-mails de phishing.

Surtout, assurez-vous que tout le personnel a une formation en cybersécurité. Tous les employés doivent être conscients des tactiques de base utilisées dans les e-mails de spear phishing, telles que les escroqueries fiscales, la fraude au PDG et d’autres tactiques d’ingénierie sociale par e-mail. L’éducation et la sensibilisation sont des compétences de défense essentielles, car la majorité de ces techniques de phishing ne réussiront réellement qu’en raison d’une erreur humaine.

CET ARTICLE A ETE COPIE SUR librefinancierement.pro

Written by Emilie Grenaud

Leave a Reply

Your email address will not be published. Required fields are marked *

GIPHY App Key not set. Please check settings

    «Ma conviction, c’est que les vrais écologistes sont pro-nucléaires», affirme la députée Maud Bregeon

    Fuel: this Total station stops the distribution of diesel after several breakdowns