Équipe de rédaction de Getronics
Dans cet article :
Avec environ 3,4 milliards de demandes malveillantes d'informations envoyées par courrier électronique chaque jour, l'hameçonnage est la forme de cyberattaque la plus répandue dans le monde. La plupart des entreprises pensent que les tentatives d'hameçonnage sont suffisamment faciles à repérer et que leurs employés ne seront jamais victimes d'une demande suspecte d'informations d'identification.
Mais une série d'attaques de phishing récentes contre des entreprises de premier plan telles que Cisco, Twilio et Uber a attiré l'attention sur une réalité surprenante :
- Les auteurs de phishing utilisent des méthodes plus sophistiquées que jamais, y compris des messages et des emails créés avec l'IA pour donner l'impression d'être encore plus réalistes.
- En tant que vecteur de logiciels malveillants et de ransomwares, le phishing représente un risque extrême pour toute entreprise.
- Même si les normes de sécurité les plus strictes sont en place, aucune entreprise n'est totalement à l'abri du risque d'erreur humaine, sur lequel repose le phishing.
- Les auteurs de phishing modernes exploitent les faiblesses humaines pour contourner les mesures de sécurité les plus avancées, comme l'authentification multifactorielle (MFA).
- Les mauvaises habitudes et le manque de sensibilisation des employés créent les conditions idéales pour une nouvelle attaque de phishing.
Votre entreprise fait-elle tout ce qu'il faut pour protéger ses données sensibles et éviter de devenir la prochaine victime d'une attaque par hameçonnage ? Avez-vous mis en place la formation et les technologies adéquates ? Effectuez-vous activement des évaluations des risques d'hameçonnage afin d'identifier les menaces potentielles ? Et même si vous le faites, êtes-vous en sécurité ? Dans cet article, nous examinons les dangers du phishing et la manière dont vous pouvez minimiser le risque d'erreur humaine afin de renforcer la sécurité de vos systèmes internes.
Des enjeux de plus en plus importants : L'hameçonnage de niveau supérieur
Nous avons parcouru un long chemin depuis que la pratique du phishing a gagné en notoriété à la fin des années 1990. À l'époque, les pirates informatiques contactaient généralement les individus par courrier électronique, se faisant passer pour une entreprise de confiance et demandant des informations sensibles, telles que des identifiants de connexion ou des données de carte de crédit. Si ces attaques ont eu des conséquences désastreuses pour les victimes, les pirates sophistiqués d'aujourd'hui s'attaquent à quelque chose de bien plus grand : les vastes ensembles de données sensibles sur leurs clients détenus par les entreprises.
La violation de Twilio en 2022 en est un exemple classique. Les cybercriminels ont envoyé des SMS aux employés de Twilio, se faisant passer pour le service informatique de l'entreprise et demandant des changements de mot de passe. Ils ont dirigé les employés vers une fausse version de la page de connexion de l'entreprise, où ils ont recueilli les informations d'identification des employés et ont finalement eu accès aux données de 125 clients de Twilio.
L'augmentation des attaques par demande d'authentification répétée
Un mode d'hameçonnage de plus en plus courant est l'attaque par demande d'authentification répétée (également connue sous le nom de bombardement de la MFA). Dans le cadre de cette tactique, les acteurs de la menace obtiennent illicitement les informations d'identification d'une victime (par exemple, en les achetant sur le darkweb). Ils utilisent ces informations d'identification pour déclencher de multiples demandes d'authentification multifacteurs. Se sentant confuse ou surchargée par un flot de notifications d'authentification, la victime peut simplement approuver la demande, pensant peut-être qu'elle l'a elle-même déclenchée par inadvertance.
Toutefois, comme de nombreuses personnes sont immédiatement méfiantes lorsqu'elles reçoivent une série de demandes d'authentification multifacteurs sollicitées, elles peuvent refuser de s'authentifier. Sachant cela, les attaquants conçoivent socialement un scénario dans lequel la demande d'authentification multifacteurs semble légitime. Par exemple, ils appellent ou envoient un courriel à la victime, en se faisant passer pour une partie de confiance, comme le service informatique d'une entreprise, l'informant qu'elle doit confirmer son identité dans le cadre d'une procédure de sécurité de routine. En jouant sur le sentiment de confiance de la victime, l'acteur de la menace parvient à l'authentifier et à accéder à des systèmes restreints.
L'attaque par demande d'authentification répétée en action
Les criminels à l'origine de l'attaque Cisco de 2022 avaient obtenu les identifiants du compte Google de la victime, qui contenaient les identifiants synchronisés de ses comptes professionnels. Les attaquants ont déclenché des demandes d'authentification multifacteurs et ont ensuite appelé la victime par téléphone, en se faisant passer pour une organisation de confiance. Au téléphone, ils ont convaincu l'employé d'accepter une demande d'authentification multifacteurs, accédant ainsi aux systèmes internes de Cisco, où ils ont déposé des charges utiles de logiciels malveillants et compromis plusieurs serveurs.
Lors d'un incident similaire en 2022, Uber a été victime d'une attaque de demande d'authentification répétée par le célèbre groupe de pirates Lapsus$. Les pirates ont obtenu les identifiants VPN d'un sous-traitant externe travaillant pour Uber (probablement achetés sur le darkweb) et les ont utilisés pour déclencher des demandes d'authentification multifacteurs. Lorsque l'entrepreneur a d'abord ignoré les demandes, les pirates l'ont contacté par WhatsApp, en se faisant passer pour le service d'assistance d'Uber et en lui demandant de s'authentifier. En peu de temps, les pirates ont eu accès à de nombreux systèmes internes, obtenant finalement des autorisations élevées pour des outils tels que G-Suite et Slack.
Combattre une attaque par hameçonnage grâce à la technologie et à la formation
Le phishing est un problème complexe qui nécessite un effort conjoint des services informatiques et des ressources humaines de votre entreprise, car il se situe au croisement de la technologie et du comportement humain. Les DSI/CISO et les responsables des ressources humaines doivent adopter une approche holistique dans laquelle les personnes, les processus et la technologie sont alignés. Voici les pierres angulaires de ce type d'approche :
Formation de sensibilisation à la sécurité
Les employés ont besoin d'une formation continue sur les dernières techniques d'hameçonnage et les meilleures pratiques pour reconnaître les activités suspectes et y répondre. Dans le cas des attaques par demande d'authentification répétée d'Uber et de Cisco, par exemple, les entreprises auraient pu éviter les brèches en enseignant à leurs employés et à leurs partenaires externes comment repérer une tentative d'hameçonnage liée à l'authentification multifacteurs.
Pratiques d'authentification multifacteurs résistantes aux attaques de phishing
Les méthodes d'authentification multifacteurs de nouvelle génération telles que l'authentification FIDO2/WebAuthn, les QR-codes et les jetons physiques contribuent à réduire la surface d'attaque de votre entreprise. Le fait d'exiger de l'utilisateur qu'il effectue une action pour authentifier son intention de se connecter réduit également le risque d'attaques par demandes d'authentification répétées, dans lesquelles l'utilisateur peut accepter une demande simplement pour éviter qu'un attaquant ne déclenche une avalanche de notifications push.
Pratiques strictes en matière de mots de passe
Appliquer des politiques strictes en matière de mots de passe qui interdisent les modifications incrémentielles (un seul caractère) et exigent des mots de passe forts et uniques.
Évaluation des risques d'hameçonnage
Travaillez avec un partenaire spécialisé en cybersécurité pour évaluer régulièrement le risque de phishing de votre entreprise et mener des attaques de phishing simulées. Cela vous permettra d'identifier les points faibles et de corriger les vulnérabilités.
Framework Zero Trust
Mettez en œuvre une approche de confiance zéro qui exige une vérification à chaque étape, minimisant ainsi la surface d'attaque.
Ne laissez pas les auteurs d'hameçonnage prendre le dessus. Assurez-vous que votre personnel est à jour et sauvez votre entreprise.
La protection de votre entreprise contre une attaque de phishing en dépend
La protection de votre entreprise contre une attaque par hameçonnage dépend de votre capacité à sensibiliser le public, à promouvoir les bons comportements et à mettre en œuvre des technologies sûres.
Les entreprises devront toujours faire face au risque que représente la petite minorité d'employés qui ne respectent pas les politiques de sécurité. Cela signifie que la protection de votre entreprise contre le phishing consiste à minimiser les risques plutôt qu'à les éliminer complètement. Néanmoins, avec une évaluation solide des risques de phishing et des mesures de prévention adéquates, vous mettez votre organisation sur la voie d'un avenir beaucoup plus sûr. Découvrez comment Getronics Security Services peut vous aider à protéger votre entreprise.
