Si vous faites attention, vous ne tomberez pas dans le panneau. Mais vous n'avez besoin que d'un moment où vous ne faites pas attention et cliquez quand même sur un e-mail de phishing. C'est pourquoi il est important pour la prévention du phishing que vous sachiez à quoi vous et vos collègues devez faire attention. Assurez-vous que tout le monde sait distinguer un e-mail de phishing d'un vrai, mais aussi comment reconnaître un site Web de phishing.
Qu'est-ce que le phishing ?
Avant de vous dire comment éviter d'être victime de phishing, il est important de comprendre ce qu'est le phishing. Le phishing est une technique utilisée par les cybercriminels pour récupérer des informations de connexion.
Le phishing fonctionne avec des sites Web qui ressemblent au site Web de l'organisation dont ils se font passer pour. Les cybercriminels imitent ces sites aussi fidèlement que possible. L'URL du site Web ressemble également à la véritable URL. Les techniques utilisées pour vous attirer sur cette page sont de mieux en mieux.
Pourquoi le phishing et le BEC sont-ils un problème ?
Le phishing et le BEC sont un gros problème pour plusieurs raisons. Elle a souvent des conséquences financières importantes pour les particuliers et les entreprises. Mais cela peut aussi avoir des conséquences personnelles majeures .
Conséquences personnelles
En 2014, plusieurs actrices de cinéma américaines bien connues se sont fait pirater leur Apple iCloud. Cette affaire était également appelée « The Fappening ». Au moyen d'un e-mail de phishing, diverses actrices ont saisi leurs données iCloud sur un site Web de phishing. Y compris celui de Jennifer Lawrence. Le criminel s'est connecté à son compte de cette façon et a volé des photos et des vidéos nues d'eux et les a diffusées en ligne. Ceux-ci sont entre les mains du monde entier et sont toujours en ligne.
Il arrive aussi que des gens soient tellement gênés de rendre publiques leurs photos et vidéos de nus qu'ils se suicident ou soient expulsés par leur famille s'ils viennent d'un pays islamique, par exemple. Cela peut avoir des conséquences énormes pour une personne.
Conséquences financières
Lorsque votre compte bancaire personnel est volé par phishing, dans la plupart des cas, la banque rembourse ces frais. Mais cela prend souvent du temps.
Il existe des cas connus où le compte bancaire d'une entreprise a été pillé. En conséquence, l'entreprise n'était plus en mesure de payer les factures ou de payer les employés et a finalement dû déposer le bilan car son compte bancaire était vide. Si la banque paie les dommages causés par le phishing après un certain temps, les dommages ont déjà été causés.
BEC a les plus gros problèmes financiers parce que l'argent a vraiment disparu. Les banques ne remboursent pas non plus. Il est également difficile de s'assurer contre cela, car qui doit s'assurer ? L'entreprise qui se fait pirater ou l'entreprise qui verse l'argent au pirate ?
Il existe un exemple BEC de 2018 dans lequel le Rijksmuseum Twenthe a acheté un tableau à un marchand d'art londonien pour 2,9 millions d'euros. Mais le marchand d'art avait été piraté et le musée avait payé l'argent aux hameçonneurs en conséquence. Par exemple, près de 3 millions d'euros sont allés sur un faux compte à Hong Kong. Le juge a estimé que le Twents Museum aurait dû vérifier si le numéro de compte appartenait au marchand d'art.
Prévention du phishing : que peut faire votre organisation contre le phishing ?
Dans les organisations, nous distinguons trois aspects de la prévention du phishing : l'éducation, les processus et la technologie.
1. Éducation
Lorsque vous regardez les personnes au sein de votre organisation, le point le plus important est l'éducation . Assurez-vous que les employés sont conscients que de telles attaques se produisent. Concentrez la sensibilisation non seulement sur le phishing, mais également sur la compromission des e-mails professionnels (BEC).
Si les employés reçoivent des factures d'un fournisseur et que cela ne leur semble pas correct, ils doivent savoir qu'il existe quelque chose comme BEC afin qu'ils prennent des mesures. Si vous êtes une partie qui envoie des factures et que vous recevez un message indiquant qu'une personne avec une adresse IP différente s'est connectée à votre boîte aux lettres, assurez-vous de changer votre mot de passe. Les salariés au profil intéressant, comme les personnes d'un service financier ou les secrétaires de direction, sont plus souvent victimes.
Une bonne éducation doit donc avoir lieu auprès de tous ceux qui peuvent être confrontés au phishing ou au BEC. Étant donné que le phishing cible également les particuliers, toute personne aux Pays-Bas disposant d'une adresse e-mail est une victime potentielle du phishing.
Important dans l'éducation au phishing
Assurez-vous que les gens savent non seulement à quoi faire attention, mais aussi comment fonctionne le phishing. Supposons que l'attaquant modifie un peu sa stratégie et n'envoie pas un e-mail de phishing mais un lien via WhatsApp, alors les gens doivent être prudents. Ils doivent donc non seulement penser que le phishing se produit par e-mail, mais aussi comprendre comment un cybercriminel travaille avec le phishing.
Les criminels profitent de l'actualité
Les cybercriminels utilisent souvent les événements actuels qui font l'actualité. Il y a quelque temps, les paiements sans contact faisaient régulièrement l'actualité, tout comme la nouvelle législation européenne sur la directive sur les services de paiement (PSD2). À ces moments-là, vous constatez une augmentation des e-mails de phishing avec des sujets connexes "Préparez votre carte bancaire pour le paiement sans contact maintenant et connectez-vous à votre banque".
L'actualité est également utilisée au niveau de l'entreprise. Par exemple, lorsque des entreprises annoncent qu'elles ouvrent une nouvelle succursale dans un nouveau pays. Les cybercriminels peuvent utiliser ces informations dans leurs e-mails de phishing. Les hameçonneurs peuvent envoyer un e-mail leur demandant de se connecter au système qui sera utilisé dans la nouvelle installation.
Faire effectuer un test de phishing
Avec un test de phishing, vous laissez un pirate légitime, également connu sous le nom de pirate éthique, se faire passer pour un hameçonneur et diffuser des messages au sein de l'organisation. Ensuite, en tant qu'organisation, vous verrez qui clique dessus. Il est important que vous le fassiez pour tester si les employés cliquent dessus et non pour les mettre au pilori. Il devrait viser à créer une prise de conscience .
2. Le processus
Divers processus doivent être mis en place au sein des organisations pour prévenir et limiter le phishing.
Empêcher le phishing
Assurez-vous que le destinataire est clair lorsqu'il reçoit un e-mail de l'extérieur de l'organisation. Par exemple en ajoutant [externe] dans le titre. C'est une mesure simple, mais efficace.
Contact de phishing
Lorsqu'une personne suspecte un phishing, il est important qu'elle sache à qui le signaler. Il doit toujours pouvoir se tourner vers cette personne dans l'une des situations suivantes :
- Lors de la réception d'un e-mail de phishing, mais sans clic ;
- Lorsque vous recevez un e-mail de phishing, cliquez dessus, accédez à un site Web de phishing mais n'entrez aucune information ici ;
- Lorsque vous recevez un e-mail de phishing, cliquez dessus et laissez leurs coordonnées sur un site Web de phishing.
Dans ce dernier cas, les employés doivent savoir quoi faire et qui contacter. Ce contact doit également savoir quelles mesures prendre lorsqu'il reçoit un message indiquant qu'un possible phishing s'est produit. L'une des étapes les plus importantes consiste pour l'employé à changer son nom d'utilisateur et son mot de passe.
Ne punissez pas les employés
Lorsque les employés saisissent leurs coordonnées sur un site Web de phishing, les gens les cachent souvent. Il y a un sentiment de honte. C'est pourquoi il est très important d'avoir un processus clair. Lorsque les employés reçoivent la bonne formation sur le phishing, il est important que vous leur disiez que cela peut arriver à n'importe qui et que personne ne sera puni. Organisez également vos processus de manière à ce que les employés ne soient pas punis. Plus les gens restent longtemps silencieux sur le fait que le phishing a eu lieu, plus les dommages seront importants pour votre organisation. Vous voulez éviter cela à tout moment.
3. Technologie
En tant qu'organisation, assurez-vous que vous disposez en interne de la technologie qui reconnaît les e-mails de phishing et garantit qu'ils n'atteignent pas les employés. Ce sont des solutions pour votre serveur de messagerie. Ensuite, lorsqu'un hameçonnage est suspecté, vous pouvez mettre un message dans l'objet du type : [Attention ! Hameçonnage possible]. De cette façon, vous informez les employés qu'ils doivent vérifier cet e-mail en plus pour le phishing. Et comme mentionné ci-dessus, mentionnez quand quelqu'un reçoit un e-mail d'une personne externe en ajoutant [externe] dans le sujet de l'e-mail.
Détection et réponse gérées
Vous pouvez également démarrer avec Managed Detection and Response (MDR). Un service fourni par Nomios pour protéger les entreprises contre les attaques numériques telles que le phishing.
Dans de nombreux cas (malheureusement pas dans tous les cas), le MDR peut être utilisé pour détecter lorsqu'un employé se rend sur un site de phishing. Lorsque le compte de cet employé est connecté un peu plus tard avec une adresse IP du Nigeria, une action active peut être entreprise en bloquant le compte de cet employé.
Que pouvez-vous faire si votre organisation est victime d'hameçonnage ?
Lorsqu'une organisation est victime d'hameçonnage ou de compromission de messagerie professionnelle, il est important de savoir exactement ce qui s'est passé. Surtout si BEC a eu lieu avec une fausse facture et que le client prétend avoir payé. Ensuite, il est très important de savoir comment cela a pu se produire. Quels comptes ont été compromis ? Quels mots de passe doivent être changés ? Qu'a fait l'agresseur ? Davantage de fausses factures ont-elles été envoyées ? Découvrir exactement ce qui se passe est également appelé réponse aux incidents .
Ce que les organisations plus grandes et plus matures peuvent envisager, c'est la veille sur les menaces . Cela a à voir avec ce que font les cybercriminels. Il ne s'agit pas seulement de phishing ou de BEC, mais il est utilisé plus largement. Parfois, il existe des informations sur les menaces concernant les informations de connexion qui ont été découvertes à l'aide de phishing. Lorsque vous voyez que vos employés figurent sur une telle liste, vous pouvez prendre des mesures préventives. Avant de commencer avec Threat Intelligence, vous, en tant qu'organisation, devez d'abord avoir suivi toutes les étapes ci-dessus.
Parlons cybersécurité
Vous souhaitez en savoir plus sur la prévention du phishing ou vous souhaitez parler des services et solutions de cybersécurité que nous proposons ? Veuillez nous contacter en envoyant un message ou en nous appelant.
Vous souhaitez en savoir plus sur ce sujet ?
Nos experts et nos équipes commerciales sont à votre service. Laissez vos coordonnées et nous vous contacterons rapidement.