Ayez peur des lettres de vos patrons : comment l'ingénierie sociale est utilisée pour pirater des données

Les attaques d’ingénierie sociale consistent à manipuler les employés pour qu’ils fournissent des données confidentielles ou effectuent des tâches risquées pour l’entreprise. Les cyberattaques de ce type ont déjà causé d'importantes pertes financières aux grandes entreprises du monde entier, et l'ampleur de la catastrophe ne fait que croître.

En 2023, les pertes totales dues aux cyberattaques ont atteint 10,3 milliards de dollars, dont plus de 2,7 milliards de dollars ont été causés par des escroqueries par courrier électronique professionnel et d'autres formes d'attaques contre les communications des employés.

Dans la plupart des cas, les cybercriminels ciblent les employés non techniques de l’entreprise qui n’ont pas de connaissances approfondies en matière de cybersécurité. Il peut s'agir de comptables, de RH, de directeurs adjoints ou de directeurs commerciaux. Le criminel modélise une situation plausible dans laquelle la victime, sans le savoir, fournit tout le nécessaire.

De nombreux employés ignorent qu’ils sont manipulés et ne signalent souvent pas les activités ou demandes suspectes en temps opportun. Ou bien ils réalisent leur erreur trop tard et ont peur d’en parler, espérant qu’il n’y aura aucune conséquence. En conséquence, ces attaques passent inaperçues jusqu’à ce qu’elles causent des dommages importants à l’entreprise.

Les escroqueries par phishing typiques impliquent des e-mails encourageant les employés à saisir leur nom d'utilisateur et leur mot de passe sur un faux site Web ou à ouvrir un fichier malveillant. Les attaques de phishing peuvent être massives (brutes) ou ciblées, les attaquants ciblant des entreprises ou des employés spécifiques.

Le spear phishing utilise les vrais noms des employés et peut être personnalisé en fonction des processus et des circonstances actuels de l'entreprise. Par exemple, un attaquant peut connaître les transactions en cours et les noms des personnes impliquées et utiliser ces informations pour les intégrer de manière transparente dans les processus métier.

Les programmes antivirus et autres mesures de sécurité ne sont utiles que pour les envois de masse non ciblés. Une fois qu'une attaque est ciblée, les attaquants effectuent un travail de préparation important avant d'envoyer des e-mails et des fichiers malveillants pour garantir que le contenu malveillant ne soit pas détecté. Vous trouverez ci-dessous un exemple de technique d'attaque d'ingénierie sociale standard : • Aucune. L'e-mail n'a pas été envoyé correctement. Il semblerait que les attaquants aient accidentellement envoyé la lettre au mauvais destinataire. Il contient des informations importantes telles que les primes, les salaires ou les listes de licenciements. Dans ces cas-là, les attaquants comptent sur la curiosité. • Pas de lettres formelles régulières. Il simule de véritables e-mails internes à l'entreprise, par exemple des informations sur les promotions des partenaires avec des remises pour le Nouvel An ou des calendriers de vacances. • Non Ceci est un message de l'administrateur. Lettre officielle de la direction de l'entreprise : « Doit être lue et suivie. » Il peut s'agir d'une lettre concernant une nouvelle règle, un règlement ou une situation particulière conçue pour attirer l'attention de l'employé. • Pas de courrier du service informatique. Au nom du service informatique, l'attaquant annonce l'introduction d'un nouveau système ou une modification du serveur de messagerie et demande aux employés de saisir leurs identifiants sur le nouveau site Internet. • Aucun message lié aux processus métier. Il s’agit d’une méthode de détection difficile car le contenu de la lettre suggère la responsabilité directe de la victime potentielle. Par exemple, cela pourrait inclure l'envoi d'une copie de la notification du système de suivi des tâches concernant une nouvelle tâche d'employé. Le faux site vous demandera de saisir vos informations de connexion et votre mot de passe pour afficher la « nouvelle mission ».

Il existe de nombreux exemples de telles attaques, dont les victimes incluent de grandes entreprises technologiques, des agences gouvernementales et des institutions financières. Ainsi, entre 2013 et 2015, Facebook (propriété de la société Meta, reconnue comme organisation extrémiste en Russie et interdite) et Google ont subi au total 100 millions de dollars de dommages. L'escroc s'est présenté comme étant Quanta Computer, un grand fabricant de matériel informatique taïwanais appartenant aux deux sociétés. Nous avons vraiment collaboré. Il a utilisé de fausses factures et de faux contrats pour convaincre les employés de payer sur son compte.

Le messager est pratique pour les fraudeurs car il encourage les employés à répondre immédiatement. Il n'a pas le temps de réfléchir à la situation ni de montrer son message à qui que ce soit. Une pression supplémentaire est créée par ce que le prétendu leader écrit.

Même en cas de phishing par courrier électronique, les employés peuvent détecter les signes d'un courrier électronique usurpé, tels que des erreurs dans l'adresse de l'expéditeur. Cependant, comme vous ne connaîtrez peut-être jamais le compte Messenger personnel de votre patron, il n'existe aucun moyen rapide de vérifier son authenticité. Les données sur les faux profils (nom, prénom, patronyme de l'administrateur) peuvent être facilement trouvées sur Internet. Par exemple, sur le site Internet de l’entreprise, sur les réseaux sociaux ou dans les médias.

Cette année, Mark Read, PDG de WPP, le plus grand groupe publicitaire mondial, a été victime de pirates informatiques. Les attaquants ont créé un compte WhatsApp et l’ont utilisé pour appeler les hauts responsables de Microsoft Teams. Les criminels ont pris des photos du domaine public et des enregistrements audio des performances du réalisateur sur YouTube. Lors de la réunion, « Mark Reed » a tenté d'exiger de l'argent et des données confidentielles. L'équipe vigilante de WPP soupçonnait que l'interlocuteur n'était pas le véritable PDG et la tentative de l'attaquant a échoué.

Alors que les précédentes attaques reposaient sur de faux emails ou messages, les salariés peuvent désormais recevoir un appel vidéo du « PDG » leur demandant d’accomplir une tâche urgente ou d’effectuer une transaction financière. Avec une confirmation visuelle de l'autorité et de l'identité, les employés sont plus susceptibles de se conformer aux demandes sans poser de questions.

En 2019, le PDG d’une société énergétique britannique (dont le nom n’a pas été divulgué aux médias) aurait reçu un appel du PDG de sa division allemande. D'une voix à l'accent allemand, il a exigé un virement urgent de 220 mille euros sur le compte du fournisseur hongrois. Les attaquants ont utilisé la technologie deepfake pour imiter la voix d’un dirigeant. L'employé a été muté sans soupçonner une fraude. Il s'est avéré plus tard que l'argent avait été transféré sur le compte du fraudeur.

Les attaques d’ingénierie sociale ne se limitent pas aux e-mails et à la messagerie instantanée. Même les appels téléphoniques à l’ancienne sont toujours efficaces. Les faux numéros de téléphone ou l’usurpation d’identité de l’appelant sont particulièrement dangereux. Cela permet à l'attaquant d'afficher n'importe quel numéro de téléphone portable de la victime, y compris le numéro de téléphone officiel de l'entreprise ou d'un partenaire connu. À mesure que des chiffres familiers apparaissent à l’écran, la capacité d’attention des employés diminue.

Une attaque réussie ne nécessite pas l’utilisation d’une technologie vocale deepfake. Dans les grandes entreprises, les employés ne se connaissent pas toujours personnellement et peuvent ne pas connaître la voix de chacun, surtout lorsqu'il s'agit de collègues d'autres secteurs ou pays.

Alors que les attaques continuent de se multiplier, les entreprises doivent prendre des mesures proactives pour protéger leurs données, leurs finances et leur réputation. Voici des stratégies et recommandations clés pour vous aider à répondre aux menaces et à minimiser les risques :

Une personne faible est le maillon le plus faible de la chaîne de sécurité. La formation des employés doit donc être une priorité. Il est utile d’effectuer des formations de temps en temps pour reconnaître les signes de phishing et de faux appels. Vous pouvez également créer des attaques simulées. Vous pouvez également réaliser des tests de phishing internes pour évaluer le niveau de vigilance de vos experts.

Des politiques et procédures clairement définies aident à standardiser l’approche de la sécurité dans toute l’organisation. Des outils tels que l'authentification multifacteur rendent difficile l'accès des attaquants aux systèmes internes, même s'ils obtiennent les informations d'identification d'un employé. Et le principe du moindre privilège garantit que les employés n'ont accès qu'aux systèmes et aux données dont ils ont besoin pour faire leur travail.

Établir des procédures pour examiner les transactions financières ou les modifications de compte par des canaux indépendants. Par exemple, les demandes de transfert de sommes importantes doivent être confirmées par téléphone ou en personne.

Les solutions technologiques peuvent aider à détecter et prévenir diverses attaques d’ingénierie sociale. Mettez à jour et configurez vos systèmes de filtrage des e-mails pour détecter les e-mails de phishing et les pièces jointes malveillantes. Mettez en œuvre des solutions d’intelligence artificielle et d’apprentissage automatique capables de détecter un comportement inhabituel d’un utilisateur ou d’un système.

Nous utilisons des systèmes de contrôle d’accès, de vidéosurveillance et de contrôle des visiteurs pour empêcher toute entrée non autorisée. Cela réduit la probabilité qu'un attaquant se connecte au système interne de l'intérieur ou propage un code malveillant sur un périphérique USB « oublié ».

Le monde de la cybersécurité est en constante évolution. Pour rester au courant des nouvelles approches en matière de cyberattaques, suivez les rapports des groupes de réflexion, des entreprises de cybersécurité et des agences gouvernementales. Mettez régulièrement à jour votre système d'exploitation, vos applications et vos fonctionnalités de sécurité pour corriger les vulnérabilités connues.

L’ingénierie sociale est devenue l’une des menaces les plus sérieuses pour les entreprises modernes. À l’ère de la transformation numérique, où les entreprises mettent activement en œuvre des technologies de sécurité avancées, les cybercriminels se concentrent sur le facteur humain. Pour les chefs d’entreprise, c’est un appel à l’action. Les investissements dans les solutions technologiques doivent s’accompagner du développement d’une culture de sécurité au sein de l’organisation. La formation des employés, la mise en œuvre de politiques et de procédures strictes et une gestion proactive des risques sont des éléments clés de la protection dans le monde d'aujourd'hui. Encouragez les employés à signaler les e-mails, appels ou comportements suspects.

La protection des données et de la réputation de votre entreprise est une priorité stratégique dans un environnement de plus en plus concurrentiel et mondialisé. La prise de conscience des risques d'attaques utilisant des méthodes d'ingénierie sociale et des mesures globales pour les neutraliser vous aideront non seulement à maintenir votre position sur le marché, mais également à renforcer la confiance de vos clients et partenaires.

Les opinions de l'éditeur peuvent ne pas refléter celles de l'auteur.

Источник: Forbes Россия