L’hameçonnage n’est plus seulement l’apanage des emails

10 Avril 2018

6 min de lecture

Un navigateur web représente un portail vers un monde d’informations… et de menaces. Alors que pouvez-vous faire pour protéger votre entreprise?

L’hameçonnage n’est plus seulement l’apanage des emails (Desktop)

Les navigateurs web sont sollicités de tous les côtés. Dans un sondage récent auprès de 400 DSI, 68 % d’entre eux ont déclaré que les techniques employées par les cybercriminels sont désormais si élaborées que leur personnel peine à faire la différence entre les sites sûrs et ceux qui ne le sont pas1. Dans ce contexte, il n’est pas étonnant que 70 % des professionnels de l’informatique subissent des attaques d’hameçonnage chaque semaine, et pas seulement par email2. Les pirates  ont perfectionné leurs stratagèmes et utilisent désormais les réseaux sociaux, les publicités et les fautes d’orthographe fréquentes sur les sites internet pour duper les employés et les inciter à révéler des renseignements personnels sensibles. À mesure que les arnaques par hameçonnage deviennent de plus en plus difficiles à discerner, les entreprises ont du mal à protéger leur personnel de ces attaques. 

En dépit de la sensibilisation accrue, des investissements en matière de sécurité logicielle et de la formation des employés, les cyberattaques sur les notebooks et les ordinateurs de bureau ont augmenté de 232 % au cours des six dernières années3. Les cybercriminels passent encore à travers les mailles du filet, car les probabilités jouent en leur faveur. Protéger des données requiert d’innombrables efforts, mais il suffit qu’un employé clique sur un lien malveillant pour nuire à toute votre entreprise.

Les cyberattaques sur les réseaux sociaux contribuent largement à ce problème. Les plateformes telles que Facebook et Twitter sont les terrains de chasse de prédilection des cybercriminels. Elles sont non seulement conçues pour promouvoir l’implication et la communication, mais elles sont aussi simples d’utilisation et économiques en termes d’exploitation. Il est extrêmement facile d’ouvrir des comptes frauduleux et d’envoyer des messages malveillants contenant des liens, visant à récupérer des données ou encore conduisant vers des pages de renvoi qui ouvrent des fenêtres pop-up peu fiables.

La plupart de ces activités en ligne se basent sur des techniques d’hameçonnage qui, par le passé, se cantonnaient seulement aux emails. Les réseaux sociaux facilitent l’établissement de liens entre les personnes, et il est malheureusement incroyablement facile d’inventer un personnage crédible qui suivra les utilisateurs sur les plateformes.

Vevo, le service de streaming, a récemment été victime d’un piratage de ses données de grande ampleur. À la suite d’une arnaque d’hameçonnage sur LinkedIn dirigée contre l’un de ses employés, 3,12 téraoctets de données internes ont été dérobées. Cela inclut des vidéos, des documents professionnels, du matériel promotionnel, du contenu pour les réseaux sociaux encore inédit et des informations concernant des artistes ayant signé un contrat avec les maisons de disques participantes4.

Les pirates du collectif OurMine ont revendiqué l’attaque après une altercation par email impliquant un membre du personnel de Vevo. Cet exemple est représentatif du danger qui résulte du harponnage, une attaque ciblée dont le but est de dérober certaines données à une cible précise. Dans 91 % des attaques, les pirates se déguisent en ami ou en source sûre (par ex. votre banque) afin de duper la cible et l’inciter à révéler des informations.

Les conséquences des attaques d’hameçonnage pour la plupart des entreprises qui en sont victimes, comme Vevo, sont à la fois préjudiciables et de longue durée. Elles peuvent non seulement se solder par une baisse de la productivité du personnel et la perte des données client, mais aussi par la perte des clients eux-mêmes. Une quelconque brèche de sécurité peut fortement miner la confiance de vos clients dans votre entreprise : à leurs yeux, vous n’êtes plus un détenteur de renseignements fiable. Bien que la plupart du temps le tort puisse être réparé, les dommages sont permanents.

Au quatrième trimestre de l’année 2017, les attaques d’hameçonnage sur les réseaux sociaux ont atteint 500 %, avec des stratagèmes consistant à faire passer des comptes frauduleux pour le service client de grandes marques5. Cette tendance a été baptisée appâtage, car les pirates envoient l’appât et attendent que les utilisateurs viennent à eux. Ces attaques convaincantes, qui reposent sur l’utilisation de la même stratégie de marque et d’un nom de compte qui semble authentique, bernent des millions de personnes qui font confiance aux réseaux sociaux. Ensuite, dès qu’un utilisateur mord à l’appât, le compte frauduleux lui envoie un lien vers un site d’hameçonnage en leur demandant de se connecter, ce qui permet au pirate d’accomplir sa mission et de récupérer ses données personnelles.

L’une des façons les plus simples d’empêcher que vos employés ne se fassent duper par des tentatives d’hameçonnage sur les réseaux sociaux est de promouvoir un changement de comportement au travail. Votre personnel évitera ainsi de commettre de simples erreurs qui pourraient avoir des conséquences dévastatrices pour votre entreprise :

  1. Limiter les interactions aux utilisateurs fiables
  2. Ne pas cliquer sur les liens fournis par des sources non vérifiées
  3. Ne jamais télécharger de pièces jointes sur les réseaux sociaux
  4. Établir une authentification à deux facteurs sur tous les comptes de réseaux sociaux et appareils, car cette mesure entrave le piratage
  5. Fournir une formation supplémentaire aux employées ayant des privilèges d’accès élevés ou dont le poste revêt un caractère social.

La technologie que vous utilisez pour rester cyber-résilient sur internet est un autre aspect fondamental de votre plan de sécurité que vous devez absolument prendre en compte. Par exemple, la gamme HP Elite se compose d’ordinateurs dont les paramètres de sécurité ont été intégrés dès la première phase de la conception.

L’un de ces paramètres, disponible sur certaines plateformes HP Elite, est HP Sure Click, lequel révolutionne la navigation sécurisée. Au lieu de se contenter de signaler aux utilisateurs les sites dangereux qu’il faut éviter, il empêche les virus et les rançongiciels de contaminer les autres onglets et le système en général. Par exemple, chaque fois qu’un site est consulté, HP Sure Click crée une session de navigation isolée, qui élimine la capacité d’un site à contaminer les autres onglets ou le système.

Changer leur stratégie en matière de sécurité et se procurer des ordinateurs de pointe, comme les HP EliteBook 800, semble souvent trop fastidieux pour les entreprises. C’est là qu’une solution comme HP Device as a Service (DaaS) entre en jeu. Il s’agit d’un service qui simplifie la façon dont les organisations commerciales fournissent à leur personnel le bon matériel et les bons accessoires, gèrent les divers appareils multi-OS et qui couvre toutes les étapes du cycle de vie des produits.  HP DaaS propose des forfaits simples et flexibles, à un prix fixe par appareil, qui permettent à votre entreprise de fonctionner efficacement, sans accrocs. 

En fin de compte, une équipe bien formée et des ordinateurs qui optimisent la sécurité vous permettront de combattre le cybercrime sur les réseaux sociaux, l’une des plus grandes menaces qui existe sur la toile. Les choses ne feront qu’aller de mal en pis, vous avez donc tout intérêt à renforcer votre protection dès maintenant.

Pour en savoir plus sur la façon dont vous pouvez protéger les ordinateurs de votre entreprise, lisez notre dernier Livre blanc HP Sure Click, et découvrez les avantages des solutions de sécurité HP.

 

Sources :

 

1 https://www.bromium.com/company/press-releases/majority-cios-believe-they-are-losing-battle-against-cybercrime.html

2 https://www.engineering.com/DesignerEdge/DesignerEdgeArticles/ArticleID/8355/HP-Nearly-70-of-IT-Professionals-Experience-Weekly-Phishing-Attacks.aspx

3 http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/ 

4 https://www.zerofox.com/blog/vevo-hacked-via-linkedin-phishing-campaign/

https://www.infosecurity-magazine.com/news/social-media-phishing-attacks-soar/

© Copyright 2018 HP Development Company, L.P. Les informations contenues dans ce document peuvent être modifiées sans préavis.