Perry Carpenter est Évangéliste en chef de KnowBe4 Inc., fournisseur de la plate-forme d’Hameçonnage simulé de Formation de sensibilisation à la sécurité populaire &.
getty
Le phishing est en hausse et ne montre aucun signe de ralentissement. Google a enregistré un record de 2,1 millions de sites de phishing en 2020, soit près de 25% de plus qu’en 2019. De plus, Google bloque de manière proactive plus de 18 millions d’e-mails de phishing chaque jour depuis le début de la pandémie de Covid-19. Stupéfiant.
La plupart des attaques de phishing ressemblent à du spam ordinaire. Les e-mails, les sms, les tweets et les publications sur les réseaux sociaux sortent souvent en volume simplement parce qu’il est moins coûteux de le faire, ciblant toute personne qui clique sur le message, ce qui déclenche ensuite la véritable attaque. Mais ce serait une erreur de penser que toutes les attaques de phishing sont si génériques. Bienvenue dans le monde du spear-phishing et de la chasse à la baleine (une classe supérieure de phishing). Ces techniques de phishing sont en constante évolution et sont tout sauf dispersées dans leur approche. Les rapports indiquent que les syndicats de cybercriminalité investissent activement du temps, de l’argent et des efforts pour s’attaquer à des cibles de grande valeur.
Ce qui distingue l’hameçonnage à la lance et la chasse à la baleine de leurs frères et sœurs plus génériques et moins cotés, c’est la nature ciblée des attaques. Alors que le spear-phishing implique de s’attaquer à des types spécifiques de cibles, souvent par affiliation organisationnelle, la chasse à la baleine implique de s’attaquer à des cibles spécifiques (généralement importantes et vraisemblablement riches) par position, identité ou nom. Examinons plus en détail les mécanismes de l’hameçonnage à la lance et des attaques de chasse à la baleine.
Spear-Phishing: Le passage de l’hameçonnage aveugle Aux attaques ciblées
Spear-phishing ont tendance à exploiter des informations accessibles au public et à cibler les organisations. Publications sur les réseaux sociaux, communiqués de presse, articles de presse, etc. sont utilisés par les cybercriminels pour créer des messages électroniques qui semblent fiables et authentiques. De tels messages peuvent même sembler provenir d’une personne au sein de l’organisation qui a le pouvoir de demander des renseignements confidentiels. Une fois que les attaquants ont établi la confiance, les « spear-phishers » demandent généralement des noms d’utilisateur et des mots de passe ou demandent aux victimes de cliquer sur un lien qui installe secrètement des téléchargements sur leur PC.
En décembre 2020, IBM a annoncé la découverte d’une campagne de spear-phishing ciblant une chaîne du froid liée au vaccin Covid-19 en envoyant des e-mails de phishing à certains employés occupant des postes de vente, d’approvisionnement, de technologie de l’information et de finance.
Le FBI a également lancé un avertissement aux entreprises américaines contre une attaque croissante de phishing vocal qui vise à capturer les identifiants de connexion des employés. Les attaquants se faisant passer pour d’autres personnes appelaient des employés travaillant à domicile dans le but d’obtenir leurs informations d’identification de compte. Une fois qu’ils ont accès à ces informations d’identification, les attaquants ont accès à l’environnement de l’entreprise et tracent leur prochaine ligne de conduite. En fin de compte, le spear-phisher pourrait obtenir des mots de passe administratifs, des informations de compte bancaire, un accès à la propriété intellectuelle ou à d’autres données précieuses ou réussir à amener quelqu’un au sein d’une organisation spécifique à exécuter un programme malveillant.
Chasse à la baleine: Les attaques générales d’hameçonnage ont jeté un large filet dans l’espoir d’attraper quiconque tombe amoureux de l’appât, tandis que la chasse à la baleine cible une personne sélectionnée, généralement un dirigeant de niveau C d’une grande entreprise. L’une des premières observations d’une attaque de chasse à la baleine est apparue en 2008 lorsque le New York Times a rapporté une cyberattaque ciblant des milliers de hauts dirigeants de sociétés de services financiers.
Chaque cible a reçu un message électronique se faisant passer pour une assignation à comparaître des États-Unis. Tribunal de district de San Diego qui comprenait le nom, la société, l’adresse et le numéro de téléphone de l’exécutif et des instructions pour comparaître devant un grand jury lors d’un prochain procès civil. Le message a conduit les destinataires à télécharger une copie complète de l’assignation, qui a ensuite lancé un téléchargement drive-by comprenant un enregistreur de frappe et un cheval de Troie de porte dérobée.
Dans un autre exemple, en 2019, la ville de Saskatoon a transféré 1 million de dollars à des fraudeurs se faisant passer pour le directeur financier d’une entreprise de construction réputée. Les attaquants ont créé des noms de domaine et des adresses électroniques similaires et ont convaincu la ville que leurs informations bancaires avaient changé.
Des rapports suggérant l’utilisation de l’intelligence artificielle (IA) et de la technologie d’apprentissage automatique (ML) ont également commencé à faire surface. Les attaquants vont même jusqu’à utiliser l’IA pour imiter des cadres de haut rang et exécuter des attaques de chasse à la baleine de haut niveau.
Prévenir l’Hameçonnage sous lance et les attaques de Chasse à la baleine
Bien que l’hameçonnage sous lance et les attaques de chasse à la baleine ne puissent pas être arrêtés, suivre ces cinq bonnes pratiques peut certainement aider les gens à ne pas tomber amoureux d’eux:
1. Ne cliquez jamais sur des liens ou ne téléchargez jamais de pièces jointes suspectes. La plupart des attaques de phishing se terminent par un appel à l’action — généralement en cliquant sur un lien ou en ouvrant une pièce jointe. Dès que vous repérez un lien sur lequel vous êtes censé cliquer, vous devriez vous méfier. Si vous pensez que le lien est légitime, accédez au navigateur et tapez l’URL au lieu de le coller. La plupart des attaquants utilisent des raccourcisseurs d’URL et des noms de domaine similaires pour tromper les victimes.
2. Ne tombez pas en proie à une urgence fabriquée. L’urgence d’une demande ou d’une demande est un élément essentiel d’un hameçonnage ou d’une attaque de chasse à la baleine. La plupart des attaquants fabriquent une urgence qui fait craindre à la victime une menace imminente ou une date limite. Il n’est jamais conseillé de répondre à de tels moyens, demandes ou demandes.
3. Vérifiez les demandes avant d’agir. Le PDG ou le directeur financier vous demanderait-il de transférer des milliers de dollars sur un compte offshore? Si vous pensez que quelque chose ne va pas, vous devez immédiatement vérifier son authenticité. Même lorsque vous pensez que la demande est authentique, il est toujours judicieux de décrocher le téléphone et de vérifier. Si vous recevez un appel téléphonique aléatoire demandant des informations d’accès, vérifiez toujours leur identité avant de partager des informations sensibles.
4. Limitez vos informations personnelles en ligne. Les lance-roquettes utilisent souvent des informations personnelles provenant de comptes de médias sociaux tels que Facebook, Twitter ou LinkedIn. Gardez vos comptes privés et évitez de publier tous les détails de votre vie personnelle et professionnelle sur de telles plateformes.
5. Améliorez votre sensibilisation à la cybersécurité. Il est important que vous et vos employés suiviez une éducation et une formation régulières qui aident à développer la mémoire musculaire pour identifier et repousser les cyberattaques. Des études ont montré que la formation simulée au phishing peut réduire le pourcentage moyen de phishing de plus de 60%.
Les escroqueries ciblées peuvent s’avérer extrêmement dommageables. Cependant, la pratique d’une bonne hygiène informatique, combinée à une formation de sensibilisation régulière et à de solides défenses technologiques, peut certainement aider les entreprises à se protéger et à tenir les hameçonneurs à distance.
Forbes Business Council est la principale organisation de croissance et de réseautage pour les propriétaires et les dirigeants d’entreprises. Suis-je admissible?
Suivez-moi sur Twitter ou LinkedIn. Consultez mon site Web.
Perry Carpenter est évangéliste en chef pour KnowBe4 Inc., fournisseur de la plate-forme d’Hameçonnage simulé de Formation de sensibilisation à la sécurité populaire &. Lisez le profil complet de Perry Carpenter ici.
Lire la Suitelire moins