Comment les attaquants utilisent le phishing pour déjouer les dispositifs de sécurité informatique ?

Martin

11 juin 2021

Le phishing est une méthode qui consiste à tenter de recueillir des informations via des courriers électroniques et des sites web trompeurs. L’objectif est d’infecter des appareils avec des logiciels malveillants ou de convaincre les victimes de fournir des informations ou de l’argent. Le nombre d’attaques de phishing ne cesse d’augmenter et les tactiques utilisées par les attaquants évoluent afin d’être plus ciblées pour échapper aux meilleures défenses.

Dans le contexte de la pandémie, les escrocs utilisent de plus en plus la peur et l’inquiétude associées au Covid-19. Ces attaques peuvent être très personnalisées et sophistiquées, et sont conçues pour détourner l’attention d’un salarié qui autorisera de passer outre les mesures de sécurité informatique. Ceux-ci utilisent des indicateurs visuels de sécurité, tels que les codes reCAPTCHA, les marques officielles et les services de messagerie connus de tous. Un seul but : convaincre les victimes de saisir leurs informations personnelles.

Plus précisément, il suffit d’un mot de passe pour que les données d’une organisation entière soient en danger. Ce problème s’amplifie par les mauvaises pratiques des employés en matière de gestion des mots de passe. Cela permet aux attaquants de passer d’un compte à l’autre, dans l’objectif de récupérer des données sensibles. De cette façon, le travail à distance augmente la surface d’attaque potentielle des cybercriminels. Dès lors, les pirates tirent parti des erreurs commises par des employés qui ne sont pas formés aux mesures de sécurité de base.

Des attaques de phishing de plus en plus ciblées

Le phishing ciblé augmente en volume et en complexité, tout comme l’impact qu’il peut avoir sur les entreprises. Les pirates utilisent des tactiques plus ciblées et subtiles. Considérons par exemple, l’usurpation d’identité, l’arnaque au président, et la compromission des e-mails professionnels.

Le premier trimestre 2020 marque une augmentation de plus de 73 % des URL de phishing.

Source : Avira

Selon un article publié par la société d’édition de logiciels antivirus Avira, le premier trimestre 2020 marque une augmentation de plus de 73 % des URL de phishing par rapport à la même période en 2019. De ce fait, les TPE, PME, les collectivités et les associations ne sont pas épargnées. Les grands groupes internationaux doivent aussi faire face à des fuites de données. Dans leur grand ensemble, celles-ci sont déclenchées par un salarié ou un dirigeant, mais elles exposent les informations de plusieurs millions d’utilisateurs. Ainsi, ces attaques peuvent prennent des formes très diverses, et font désormais régulièrement la une des journaux.

 a testé et validé

Les dessous des incidents de phishing

Les chefs d’entreprises sont majoritairement convaincues qu’ils n’ont pas de problème de ce type : « pas question, pas du tout, pas chez nous ». Pourtant, peu d’entre elles imaginent la multitude d’attaques qui les concernent. Pourtant, il existe trois attaques très répandues : le phishing générique, le spear-phishing et les attaques de type « l’homme du milieu« .

Phishing générique

L’utilisation du phishing générique se caractérise par des messages (généralement des courriels) qui ciblent une large population à l’aide d’adresses électroniques souvent factices. Les messages varient en termes de style et de contenu, mais jouent sur les sentiments humains, notamment la peur, l’incertitude et le doute. De surcroît, dans l’environnement du télétravail, ces messages peuvent être très attrayants pour les employés qui se sentent déconnectés de leur organisation. Un simple clic sur un lien dans l’e-mail peut introduire un logiciel malveillant (ransomware, back-door, virus, scanneur de vulnérabilité…).

Spear-phishing

Le spear-phishing est un processus consiste à cibler une personne de haut niveau au sein de l’entreprise (la direction…), ou une personne ayant un pouvoir de décision important (DAF, DRH…). Ses auteurs font des recherches approfondies sur leur cible pour établir un profil très détaillé. La personne est ensuite ciblée par des messages conçus pour faciliter la réalisation d’un objectif particulier : virement, changement de coordonnées bancaires, vol d’informations…

Attaque de type de « l’homme du milieu »

Une attaque du type « l’homme du milieu » est difficile à déceler. Le pirate s’introduit dans le compte de messagerie électronique de l’un des collaborateurs. Profitant d’un moment opportun, l’attaquant détourne le trafic d’e-mails, en établissant des règles automatiques, afin de détourner tous les e-mails vers un dossier caché. Ce procédé est efficace, étant donné que le pirate utilise une adresse électronique légitime, adoptant le nom de domaine de l’organisation ainsi que l’identité d’un salarié.

Prévenir les attaques de phishing

Les méthodes traditionnelles qui consistent à utiliser pare-feux, antivirus, et systèmes de contrôle des boites mail ne suffisent plus. Les pirates évoluent en permanence, afin d’exploiter tous types de failles. De ce fait, une entreprise doit tester sa résistance aux attaques par courrier électronique. La réalisation régulière de tests de phishing présente de multiples avantages. Tout d’abord, elle permet de mieux comprendre les forces et les faiblesses des employés. Ainsi, cela passe par l’identification des personnes ou services spécifiques qui pourraient avoir besoin d’une formation supplémentaire. Enfin, les tests de phishing sont un élément clé de la formation lorsqu’ils sont menés correctement. Ils renforcent les comportements positifs.

En communiquant avec les employés et en effectuant des tests réguliers, il est possible d’améliorer la résistance des employés aux attaques de phishing.

Ces exercices de phishing ne sont pas tant un test des employés individuels qu’un reflet de la capacité d’une entreprise à définir et à communiquer des procédures appropriées pour identifier, traiter et signaler les cyberattaques. Les tests de phishing sont un élément clé d’une formation efficace. Ceux-ci favorisent un haut niveau de vigilance et une mémorisation renforcée des bonnes pratiques. En communiquant avec les employés et en effectuant régulièrement des tests, il est possible d’améliorer considérablement la résistance des employés aux attaques de phishing.

Nos formules exercices de phishing

La Société Générale a créé Oppens, la solution de sécurité informatique pour les entreprises : formation, entraînement au phishing, audit …

Entraînement continu pour un suivi régulier

Oppens a créé une solution unique d'entraînement des salariés pour une vigilance de haut niveau, qui fait rentrer la cybersécurité dans votre culture d'entreprise.

Simulation de phishing

L'erreur est humaine ... et coûte chère ? Choisissez les simulations de phishing Oppens pour mieux évaluer et sensibiliser vos collaborateurs.