Beaucoup d'entre nous ont passé l'année dernière à essayer d'éviter les cyberattaques sur le thème du COVID tout en travaillant à domicile. Alors que les employés commencent à retourner dans leurs bureaux, les hameçonneurs déploient de nouvelles tactiques qui les ciblent spécifiquement.
Ces nouveaux les escroqueries par phishing sont faciles à craquer car les e-mails semblent provenir d'un collègue, du service des ressources humaines ou du PDG. Ils prennent la forme de mises à jour sur la santé et la sécurité au travail, d'informations sur le vaccin COVID-19 ou d'autres sujets liés au virus auxquels les employés s'attendent lors de leur retour au bureau.
Le phishing est toujours l'un des types de cyber-attaques les plus courants, car il s'agit d'un moyen assez simple pour les cybercriminels de voler des données ou d'infecter des fichiers et des réseaux avec un ransomware ou un autre code malveillant. Notre dépendance excessive aux e-mails permet aux hameçonneurs d'utiliser facilement l'ingénierie sociale pour tromper les utilisateurs. Leur objectif est généralement de convaincre la cible de mener à bien une action, comme ouvrir une pièce jointe à un e-mail ou cliquer sur un lien vers un site Web malveillant. Ensuite, ils utilisent un ransomware pour révéler des données d'entreprise confidentielles telles que les identifiants de connexion ou les numéros de compte d'entreprise. Bien que le courrier électronique soit le mode de livraison le plus courant pour les escroqueries par hameçonnage, il est loin d'être le seul moyen par lequel les cybercriminels attaquent leurs victimes. D'autres approches comprennent:
- Appels téléphoniques
- Réseaux sociaux
- Mobile/Messagerie
- Pop-ups
- Applications infectées
- Publicité malveillante (c'est-à-dire, publicités qui semblent légitimes mais ne le sont pas)
Vecteurs de phishing communs
Tout comme il existe de nombreuses façons pour les hameçonneurs d'atteindre leurs cibles, plusieurs techniques sont également utilisées pour attirer les victimes. Par exemple:
Vaporiser et prier
La cible reçoit un e-mail «provenant» d'une source légitime telle qu'une entreprise ou une agence gouvernementale bien connue. L'escroc utilise l'intimidation ou l'urgence pour convaincre la cible de prendre des mesures pour résoudre un problème, réclamer un prix ou similaire. Si la cible termine l'action, elle peut être invitée à entrer les informations d'identification du compte, que les fraudeurs collectent ensuite, ou un code malveillant est intégré au système de la victime.
Lance
Le spear phishing adopte une approche plus personnalisée pour voler des informations. Ces attaques utilisent le vrai nom de la cible, le titre du poste, le logo de l'entreprise, etc., de sorte qu'elles semblent dignes de confiance. Ce type d'hameçonnage se produit le plus souvent sur les sites de médias sociaux, où il est facile pour le fraudeur de trouver les détails nécessaires pour rendre le message authentique.
Pêche à la baleine
La chasse à la baleine est une escroquerie par hameçonnage ciblant les PDG ou d'autres cadres de haut niveau. Une attaque réussie de chasse à la baleine donne essentiellement à l'arnaqueur les clés du château. Les informations d'identification du PDG peuvent être utilisées pour générer des e-mails autorisant les transferts de fonds vers le compte de l'escroc ou pour accéder aux données sensibles des employés qui peuvent être vendues sur le dark web.
vishing
La plupart des gens assimilent le phishing aux e-mails, mais parfois les escrocs adoptent une approche plus ancienne et appellent leurs cibles par téléphone. Certains vishers utilisent un logiciel VoIP pour usurper l'identité de l'appelant afin que le numéro semble légitime, et d'autres utilisent l'intimidation pour obtenir les informations qu'ils veulent de la cible.
Le smishing
Le smishing est la version texte du phishing dans laquelle le fraudeur envoie un lien malveillant ou une pièce jointe à la cible via un message texte. Le smishing est une menace croissante pour les entreprises, car de plus en plus d'employés utilisent leurs appareils personnels pour accéder aux fichiers et aux applications de l'entreprise.
Malheureusement, la sécurité mobile est négligée dans de nombreuses stratégies de protection. Cette surveillance élargit encore la surface d'attaque de l'organisation et crée de nouvelles faiblesses dans son périmètre de sécurité.
Drapeaux rouges qui peuvent vous aider à reconnaître les escroqueries par hameçonnage
Auparavant, les e-mails de phishing étaient assez faciles à détecter, grâce à des mises en page de messagerie mal structurées ou à une copie mal rédigée. De nos jours, les cybercriminels produisent des escroqueries par hameçonnage plus sophistiquées qui sont faciles à craquer si la cible ne connaît pas le drapeaux rouges. Voici 10 des «avertissements» les plus courants selon lesquels un e-mail ou un texte peut ne pas être ce qu'il semble:
- Certificat SSL non valide
- Type de connexion non sécurisée
- Message d'accueil ou signature générique
- Liens hypertextes et sites Web falsifiés
- Mauvaise orthographe et grammaire
- Mauvais formatage
- Pièces jointes suspectes
- Images basse résolution
- Les pages blanches
- Différences dans les adresses e-mail "provenant" d'expéditeurs de confiance, telles que de légères différences d'orthographe, des lettres manquantes ou une ponctuation modifiée (par exemple, un trait de soulignement au lieu d'un point)
Comment Protégez-vous contre les attaques de phishing
Une stratégie multicouche est essentielle pour protéger vos systèmes et applications réseau. En matière de conception, la prise en compte de la composante humaine est l'une des étapes les plus importantes. Avec une formation appropriée, vos employés peuvent passer d'une faiblesse à la première ligne de défense de votre organisation.
En fin de compte, le phishing repose sur la prise de décision humaine pour accéder à une entreprise. Doter les employés des connaissances et des meilleures pratiques empêchera les attaques de réussir et minimisera le besoin de contrôle des dommages. La planification régulière d'une formation de sensibilisation à la cybersécurité enseignera aux employés des trucs et astuces pour éviter d'être victime d'un escroquerie phishing, comprenant:
- Surveillez les drapeaux rouges.
- Survolez avant de cliquer.
- Installez des modules complémentaires anti-hameçonnage.
- Ne saisissez pas d'informations personnelles sur un site non sécurisé.
- Changez souvent votre mot de passe ou, mieux encore, obtenez un gestionnaire de mots de passe.
- Restez au courant des mises à jour.
- Ignorez les pop-ups.
- Ne donnez pas d'informations à moins d'être sûr à 100% à qui vous les donnez.
Comment les armes informatiques peuvent aider
IT Weapons est un fournisseur de services gérés canadien primé possédant une connaissance approfondie des meilleures pratiques en matière de cybersécurité et des techniques d'atténuation des menaces. L'objectif n ° 1 de tous les partenariats IT Weapons est de s'assurer que les clients se sentent en sécurité. Avec plus de 20 ans d'expérience en sécurité de l'information, nous avons les connaissances et la capacité de détecter, d'identifier et d'isoler les activités suspectes avant qu'elles ne causent des dommages. Les services clés en main et de sécurité avancés d'IT Weapons incluent la détection avancée des menaces, la sécurité des e-mails et du réseau de nouvelle génération, la surveillance de la sécurité 24h / 7 et XNUMXj / XNUMX et des solutions de gestion d'identité. Pour en savoir plus sur la façon dont les armes informatiques peuvent aider à protéger votre organisation contre les cybermenaces connues et inconnues, suivez le Évaluation de l'état de préparation des ransomwares maintenant.