Il existe des technologies permettant de limiter et de repérer le nombre d’e-mails d’hameçonnage (phishing) qui parviennent à votre entreprise. Il n’en reste pas moins que l’être humain constitue, en fin de compte, la dernière ligne de défense contre les attaques d’ingénierie sociale de ce type.
À un moment donné, vous allez être « battu » en tant qu’employeur ou fournisseur de services gérés (MSP). Au lieu de tout verrouiller et de ralentir les communications commerciales, le personnel, de la direction à la base, doit être équipé pour identifier les e-mails de phishing, afin que le pire se produise dans un environnement de formation et non dans la réalité.
Pour commencer, les employés doivent être informés des éléments qui composent une attaque de phishing par ingénierie sociale et de la façon dont ils peuvent savoir où leurs informations sont publiées sur Internet.
Éléments d’un hameçon d’ingénierie sociale
Examination de votre empreinte numérique
Les meilleurs cybercriminels prendront le temps de faire leurs recherches sur leur prochaine victime. En parcourant les flux de médias sociaux associés au nom de la personne et en recherchant sur Google toute information disponible sur la victime potentielle, ils peuvent rassembler des informations sur les habitudes de l’individu.
Pour les hacks d’hameçonnage plus importants, je peux imaginer que les choses commencent à ressembler à ceci :
Il s’agit par exemple des lieux qu’ils fréquentent, comme une salle de sport ou leur restaurant préféré, et même de la collecte d’informations personnelles comme la date de naissance ou l’adresse du domicile.
Imaginez que vous publiez de façon répétitive sur les médias sociaux à propos du fait que vous aimez un café local. Il se peut même que vous soyez en train de lire un article sur ce café local.
L’attaquant peut créer un e-mail d’hameçonnage convaincant qui semble être un code de réduction provenant du café local ou d’un fournisseur avec lequel il est en partenariat.
Avec ce type d’informations circulant sur le web, les victimes sont plus susceptibles de tomber dans les escroqueries qui exploitent ce type d’informations personnelles.
Créer une pression sociale pour cliquer
« Le comportement humain est difficile à changer. L’être humain est toujours vulnérable à certaines choses et les événements actuels changent la façon dont les gens sont vulnérables et comment ils réagissent. »
– Connor Swalm, PDG et Fondateur de Phin Security
Dans de nombreux cas, les attaquants utilisent la pression sociale pour que l’utilisateur moyen clique sans y réfléchir à deux fois.
Parmi les exemples, citons les e-mails d’hameçonnage, notamment les demandes adressées par un cadre à un nouvel employé au cours de ses premières semaines de travail.
Dans d’autres cas, il s’agira plutôt d’un effet de levier émotionnel sur un ami ou un collègue qui a besoin d’une attention immédiate pour se sortir d’une mauvaise situation.
Ces deux exemples s’appuient sur la pression sociale et les émotions humaines brutes pour que la victime privilégie le clic plutôt que sa formation en matière de sécurité.
Conseils pratiques pour identifier un hameçon
Si vous voyez quelque chose, dites-le.
Signaler un e-mail de phishing potentiel devrait être la règle d’or ici, même si l’employé a ouvert l’e-mail ou téléchargé une pièce jointe. Les employés doivent bénéficier d’un processus et d’un environnement favorables lorsqu’ils signalent des e-mails de phishing potentiels qu’ils ont identifiés ou ouverts.
Ne rendez pas l’environnement négatif ou qui ressemble à un bizutage d’un employé lorsqu’il signale un e-mail de phishing.
Lors d’un récent MSP Live Chat, qui comprenait un défi de phishing pour d’autres professionnels de l’informatique, Connor Swalm, PDG de Phin Security, est allé encore plus loin en déclarant :
« Ne sensibilisez pas vos employés à un test de phishing à une date ou une heure précise. Si vous le faites, ils n’ouvriront aucun de leurs e-mails ces jours-là, ce qui réduira l’efficacité de l’entreprise et la communication. »
– Connor Swalm, PDG et Fondateur de Phin Security
Connor a parlé des risques de la « formation punitive au hameçonnage » lors de notre MSP Live Chat, regardez la vidéo :
Hammer comprend les types d’attaques de phishing les plus courants
Plus les employés sont familiarisés avec tous les types d’attaques par hameçonnage, mieux ils seront préparés lorsqu’il s’agira de signaler les véritables attaques.
La « Federal Trade Commission » a établi cette liste qui présente les types d’attaques de phishing les plus courants. Y compris la façon dont certains schémas d’hameçonnage par ingénierie sociale peuvent inclure des e-mails, des SMS et même des appels téléphoniques pour recueillir les informations nécessaires à l’exécution d’un piratage.
Cela dit, ne créez pas une longue liste technique de menaces. Il s’agit plutôt de traduire les menaces les plus courantes, de façon à ce qu’elles puissent être assimilées par les dirigeants de toute l’organisation. Des exemples concrets, tels que ceux présentés sur notre MSP Live Chat, permettent d’ajouter de la couleur tout en aidant le personnel à comprendre les réalités du problème.
Encouragez la prudence et appuyez-vous sur la politique de l’entreprise lorsque cela est possible
La politique de l’entreprise en matière de transferts de fonds, les communications du PDG et la création de nouvelles connexions constituent un excellent guide pour permettre aux employés d’identifier un e-mail de phishing.
Selon la politique de l’entreprise, votre entreprise n’accepte pas les transferts de fonds ponctuels pour des services supplémentaires. Dans ce cas, il peut s’agir d’un moyen simple pour un membre du personnel de repérer un hameçon.
En outre, nous recommandons de définir dans une politique ce que les employés doivent attendre en termes de communication de la part du PDG pour les demandes urgentes. Ainsi, lorsque de nouveaux employés arrivent et voient dans leur boîte de réception une demande urgente de 600 dollars de cartes-cadeaux Amazon, ils savent que le PDG ne demanderait pas ce genre de choses par e-mail.
Ray Orsini, PDG de OITVOIP, un habitué du MSP Live Chat, a décortiqué cet exemple autour des cartes-cadeaux pour les employés, regardez la vidéo ci-dessous :
La culture de la sécurité l’emporte sur la formation à la sécurité
« La culture est la force la plus puissante de l’humanité » — Kanye West
Toutes les entreprises devraient prévoir des formations régulières sur la sécurité dans le calendrier des employés, mais lorsque la sécurité fait partie de votre culture organisationnelle, vous la rendez incontournable et constamment présente dans l’esprit des employés.
Veillez à ce que les règles soient simples et faciles à comprendre afin que votre équipe sache ce que l’on attend d’elle et qu’elle ne se contente pas de participer à la défense de l’organisation contre les acteurs malveillants, mais qu’elle en fasse partie intégrante.