Qu’est-ce qu’une attaque de phishing ?
À propos des attaques de phishing
Une attaque de phishing consiste pour un cybercriminel à présenter une demande ou une offre séduisante, généralement par email en se faisant passer pour une source fiable. En réalité, l’attaquant cherche ainsi à duper la victime en l’incitant à lui fournir des informations personnelles, souvent des données d’identification de grande valeur. Une fois que le cybercriminel a acquis ces informations d’identification, il peut alors se livrer à la compromission de la messagerie d’entreprise (Business Email Compromise ou BEC) et à la prise de contrôle des comptes. C’est là que le cybercriminel peut causer le plus de dommages à votre entreprise, car une fois qu’il prend le contrôle du compte légitime d’un employé, il devient difficile de l’identifier et de l’arrêter.
Les attaques de phishing sont parmi les moyens les plus courants d’injecter des logiciels malveillants et des ransomwares dans un environnement informatique. En fait, 66 % des programmes malveillants sont diffusés via des pièces jointes malveillantes. Si les attaques de phishing sont si fréquentes, c’est parce qu’elles fonctionnent. 41 % des professionnels de l’informatique signalent quotidiennement des attaques de phishing sur leurs environnements. Tant que les employés et les utilisateurs finaux communiqueront par email, votre entreprise sera susceptible d’être victime d’une attaque de phishing.
Comment fonctionnent les attaques de phishing ?
Les cybercriminels mènent des attaques de phishing par le biais d’emails, de messages textes ou via les médias sociaux. Parfois, ces attaques font aussi appel à de l’ingénierie sociale. Les campagnes d’email de phishing sont la méthode la plus répandue. Ces messages au contenu accrocheur contiennent un lien qui dirige l’utilisateur vers un site web malveillant qui paraît à première vue authentique. L’utilisateur ainsi trompé est invité à communiquer ses données personnelles d’identification, telles que son numéro de carte de crédit ou son mot de passe. Ces informations sont ensuite utilisées pour compromettre un compte, tel qu’un compte bancaire ou un compte de messagerie. À partir de là, l’attaquant peut exploiter ces identifiants à des fins personnelles, par exemple pour effectuer des débits frauduleux avec une carte de crédit ou mener une attaque dite de spear phishing, consistant à introduire un ransomware dans un email professionnel pour accéder à l’environnement informatique de l’entreprise.
En général, les escroqueries par phishing ne requièrent pas un haut degré de connaissances techniques de la part du cybercriminel. Le « phishing-as-a-service » permet de lancer une campagne de phishing en quelques clics et en moins de temps qu’il ne faut pour introduire une carte de crédit.
Pour les cybercriminels, les attaques de phishing sont affaire de volume et d’opportunité. Ces derniers ciblent sans relâche les individus et les entreprises avec des spams et des attaques avancées d’ingénierie sociale jusqu’à ce qu’ils identifient une faiblesse de vos défenses de sécurité. Malheureusement vos utilisateurs sont souvent des proies faciles et le maillon faible de votre sécurité.
Qu’est-ce que le spear-phishing ?
Le National Counterespionnage and Security Center définit le spear phishing comme « un type de campagne de phishing qui prend pour cible une personne ou un groupe spécifique en lui présentant souvent des informations susceptibles de l’intéresser, telles que des actualités ou des documents financiers ». Les attaques de spear phishing avancées coûtent en moyenne 140 000 dollars par incident aux entreprises. Le spear phishing est une activité très importante pour les cybercriminels, car elle cible les trésors des entreprises, tels que les données financières, les informations sur les clients, la propriété intellectuelle, les communications privées et bien d’autres choses encore.
Le spear phishing se distingue des attaques de phishing grand public, en ce que, dans le premier cas, les victimes du phishing ne sont pas les cibles finales. Elles ne sont qu’un moyen d’accéder à l’ensemble des systèmes d’une organisation.
Quel est le but d’une attaque de phishing ?
Les attaquants planifient des opérations de phishing en vue de voler de l’argent, des données, ou les deux. Parfois, ces attaques consistent à injecter des logiciels malveillants et des ransomwares dans un environnement après y avoir accédé au moyen d’une attaque BEC ou d’une prise de contrôle d’un compte. Le phishing est un des principaux vecteurs d’attaques de ransomware dans les entreprises. Les ransomwares sont particulièrement dangereux, car ils ont le potentiel de bloquer complètement les activités d’une entreprise à moins que celle-ci n’accepte de payer une rançon à l’auteur de l’attaque.
Une attaque de phishing peut-elle être détectée ?
Bien que les vecteurs d’attaque de phishing évoluent constamment, il est possible pour vos employés de repérer certains signes révélateurs d’une activité de phishing. Voici quelques signes courants indiquant que vous êtes la cible d’une attaque de phishing :
- Formulation ou contenu de l’email qui semblent inhabituels. Le nom de l’expéditeur, son entreprise ou son adresse vous paraissent familiers à première vue, mais à la lecture de l’email, les formules de politesse ou la formulation vous paraissent « décalées ». Le ton de l’email semble trop pressant, voire menaçant. N’oubliez pas que les situations d’urgence réelles ne surviennent pas par email ou par SMS.
- Demandes de données personnelles. Il peut s’agir notamment de liens contenant des instructions pour mettre à jour votre mot de passe ou de demandes d’informations bancaires. Les objets tels que « Nous devons vérifier vos informations » trahissent souvent un email frauduleux.
- Offres non sollicitées et récompenses gagnées. « Félicitations ! Vous avez été sélectionné… » Cette accroche devrait éveiller instantanément les soupçons.
- Sites Web avec des URL inhabituelles. L’une des premières étapes à suivre si vous avez des doutes au sujet d’un site Web est de regarder l’URL complète. Y a-t-il des mots mal orthographiés ou des noms de domaine qui ne sont pas tout à fait corrects ? De nombreuses victimes sont incitées à cliquer sur un lien dans un email ou un message texte qui semble légitime, mais qui redirige vers un faux site.
Pour vous assurer que les employés de votre organisation sont en mesure de repérer ce type d’indices, il est recommandé de procéder à des simulations de phishing et de mettre en place des programmes de sensibilisation aux attaques de phishing. Ces outils permettent de former vos utilisateurs finaux et de limiter le risque qu’ils n’ouvrent la porte de votre entreprise à des cyber-attaquants en cliquant sur ces liens malveillants.
Qu’est-ce qu’une attaque BEC (Business Email Compromise) ?
Les attaques de phishing de type Business Email Compromission (BEC) utilisent des emails usurpés pour inciter la victime à réaliser une action spécifique, comme payer une facture ou partager un mot de passe. Les emails comportent les noms et même les adresses électroniques de véritables employés de l’entreprise. Essentiellement, les cybercriminels usurpent l’identité d’une personne connue de la victime. En cas de succès, le criminel pourra obtenir illégalement de l’argent ou accéder à des informations sensibles sur votre entreprise, qui serviront à leur tout à mener d’autres activités malveillantes.
Qu’est-ce qu’une prise de contrôle de compte ?
Une prise de contrôle de compte est liée à une attaque BEC (Business Email Compromise) dans la mesure où les identifiants de compte email professionnel sont ciblés à des fins de tromperie. Dans ce type d’attaque par phishing, les cybercriminels contactent leurs victimes par email, par téléphone ou par message texte en se faisant passer pour un proche ou une personne digne de confiance. L’objectif est d’obtenir les identifiants d’email de la victime, pour pouvoir ensuite cibler un compte plus important. Il peut s’agir de l’email d’un autre employé, tel que votre PDG ou directeur financier, ou des « clés du Royaume » proverbiales, permettant notamment d’accéder aux applications et aux systèmes stratégiques. Une fois réalisée la prise de contrôle d’un compte, il est difficile pour les professionnels de la sécurité de retrouver les acteurs malveillants dans la mesure où ils se font passer pour des utilisateurs légitimes.
Dans le cas de prises de contrôle de compte, les cybercriminels peuvent utiliser des attaques plus sophistiquées et à plusieurs niveaux qui impliquent l’usurpation d’identité d’une personne ou d’une entreprise. Ainsi du phishing vocal, ou « vishing », au cours duquel des victimes sont piégées par de vraies personnes qui appellent depuis un centre d’appel en se faisant passer pour des représentants légitimes d’une entreprise.
Qu’est-ce qu’un ransomware et en quoi est-il lié au phishing ?
Le phishing est le vecteur de diffusion le plus courant des ransomwares. Prenons une image : si le ransomware est le voleur, le phishing est la voiture qui mène le voleur à votre domicile. Un ransomware est un programme malveillant qui chiffre les données ou verrouille les systèmes, les retenant captifs jusqu’à ce que la victime paie une rançon pour les récupérer.
Mon organisation est-elle susceptible de subir une attaque de phishing ?
Si vous avez des employés et des utilisateurs finaux, cela peut très bien vous arriver. C’est la raison pour laquelle le phishing est un enjeu crucial dans les conseils d’administration. Certes, de solides outils d’hygiène et de cybersécurité peuvent aider à contrecarrer les tentatives de phishing et à réduire considérablement les risques, mais sachez qu’il existera toujours un risque qu’une attaque de phishing réussisse.
Comment empêcher les employés de cliquer sur des liens malveillants ?
Tout d’abord, sachez que 30 % des emails de phishing envoyés par des cybercriminels sont ouverts par leurs cibles. Dans la lutte contre le phishing, vos utilisateurs sont le maillon faible. Il suffit en moyenne de 16 minutes pour qu’un utilisateur clique sur un email de phishing. Investir dans la formation anti-phishing est l’un des meilleurs moyens d’empêcher vos employés de mordre à l’hameçon. Grâce à une formation continue, vos utilisateurs finaux sauront repérer les emails de phishing.
En fournissant une sensibilisation à la sécurité et des sessions incluant des simulations de phishing, les utilisateurs finaux peuvent devenir des défenseurs de première ligne contre ces attaques incessantes. Avec le bon programme, la simulation de phishing peut de réduire de 31 % la vulnérabilité des employés en seulement quatre sessions de formation. Une simulation de phishing efficace comporte trois étapes critiques :
1. Test : envoi aux utilisateurs d’emails de phishing basés sur des attaques réelles.
2. Formation : Retours sur la façon dont les utilisateurs ont réagi à la simulation pour s’assurer qu’ils sauront repérer la situation réelle la prochaine fois.
3. Mesures : suivi des progrès et améliorations en répétant les deux premières étapes et en suivant davantage de formation guidée au besoin.
Comment Sophos MDR (Managed Detection and Response) permet-il de détecter et d’arrêter les attaques de phishing ?
À mesure que les attaques de phishing se multiplient et gagnent en sophistication, de nombreuses organisations ont compris qu’il n’était plus possible de lutter seules contre cette menace. Face au volume des attaques et à la nécessité de réagir dans l’urgence, il est tout bonnement impossible pour une organisation de faire face à la situation en interne. Les coûts et les ressources associés à la constitution de votre propre équipe pour gérer la prévention du phishing, la mise en place de session de simulations de phishing, ainsi que la détection et la réponse continues sont tout simplement trop élevés.
C’est pourquoi SophosMDR est l’approche la plus efficace pour identifier et arrêter rapidement et efficacement les attaques de phishing 24 heures sur 24. Cette approche s’appuie sur la protection Endpoint managée, la sécurité des messageries d’entreprise et la mise en place de sessions régulières de sensibilisation et de simulations d’attaque de phishing. En vous associant à un fournisseur de services de sécurité managés tiers, vous bénéficiez d’une équipe de professionnels de la sécurité chevronnés et d’un centre d’opérations de sécurité de classe mondiale pour protéger votre entreprise contre le phishing.
Sophos MDR est un service de cybersécurité as-a-service Les meilleurs fournisseurs de services MDR offrent :
- un centre d’opérations de sécurité (SOC) dédié et de classe mondiale
- Service managé 24/7 de détection et de réponse aux menaces
- Chasse aux menaces dirigée par des experts
- Services complets de réponse aux incidents
Contactez Sophos dès aujourd’hui pour en savoir plus sur la façon dont Sophos sMDR peut vous aider à renforcer les défenses de votre organisation contre les attaques de phishing.
Sujet connexe : Qu’est-ce que le spear-phishing ?