Aux États-Unis, les attaques de phishing contre les écoles et les établissements d’enseignement supérieur se sont multipliées ces derniers mois, soulignant ainsi la nécessité d’améliorer les programmes de formation du personnel et des moyens de défense contre la cybersécurité.
Le phishing consiste à envoyer des emails dans le but d’amener les destinataires à révéler des renseignements de nature délicate, comme des ouvertures de session à des comptes de messagerie électronique, des comptes bancaires ou d’autres systèmes informatiques. Généralement, un lien est inclus dans l’email qui dirigera l’utilisateur vers un site Web où l’information doit être entrée. Les sites, ainsi que les emails, contiennent des informations qui donnent l’impression que la demande est authentique.
Le phishing n’est pas nouveau. Il existe depuis les années 1980, mais la manière avec laquelle les informations sensibles sont stockées électroniquement et l’augmentation du nombre de transactions effectuées en ligne ont rendu les attaques beaucoup plus rentables pour les cybercriminels. En effet, les attaques ont augmenté et la qualité des emails de phishing s’est améliorée de façon incommensurable. De plus, les emails de phishing sont de plus en plus difficiles à identifier, en particulier par les membres du personnel non formés.
Aucune organisation n’est à l’abri des attaques. Si auparavant, les cybercriminels concentraient leurs efforts sur les institutions financières et les organismes de santé, aujourd’hui, le secteur de l’éducation est largement ciblé. Les attaques de phishing contre les écoles sont beaucoup plus fréquentes, et elles sont trop souvent couronnées de succès.
L’ampleur du problème est telle que l’IRS (Internal Revenue Service, le fisc américain) a récemment lancé un avertissement à la suite d’une augmentation massive des attaques de phishing contre les écoles. Des campagnes étaient menées par des attaquants à la recherche de données du formulaire W-2 sur les employés des établissements scolaires. Ces renseignements ont ensuite été utilisés pour produire des déclarations de revenus frauduleuses au nom de leurs employés.
Les récentes attaques de phishing contre des écoles, collèges et universités
Le Westminster College est l’un des récents établissements d’enseignement à avoir signalé qu’un employé s’est fait prendre au piège avec le phishing par formulaire W-2, bien qu’il y ait eu des dizaines d’écoles, de collèges et d’universités qui ont été attaqués cette année.
Les emails de phishing n’ont pas seulement pour but d’obtenir des renseignements fiscaux. Récemment, une attaque contre des écoles publiques de Denver a donné à un cybercriminel les informations dont il avait besoin pour effectuer un virement bancaire frauduleux. Plus de 40 000 $ destinés à payer les salaires du personnel ont été transférés sur son compte.
Cette semaine, nous avons appris via les forums sur le darknet qu’un pirate informatique avait eu accès aux comptes de messagerie d’une école, aux cahiers de notes des enseignants et aux renseignements personnels de milliers d’élèves. Cette personne cherchait des conseils sur ce qu’il fallait faire avec les données et les accès qu’il a obtenus afin de gagner de l’argent.
L’École de médecine de l’Université de Washington a été la cible d’une attaque de phishing, laquelle a permis aux agresseurs d’avoir accès aux renseignements médicaux des patients. Plus de 80 000 patients se sont fait voler leurs renseignements médicaux à la suite de cette attaque.
La semaine dernière, des informations ont également fait état d’une tentative d’attaque de phishing contre des écoles du Minnesota, avec 335 districts scolaires publics et environ 170 écoles potentiellement attaquées. Cette fois, l’attaque de phishing a été identifiée avant que l’information n’ait été divulguée. Elle concernait un courriel qui semblait avoir été envoyé par le Commissaire à l’Éducation. En réalité, les attaquants essayaient d’avoir accès à des informations financières.
Comment améliorer les défenses contre les attaques de phishing ?
Heureusement, il existe un certain nombre de contrôles technologiques qui peuvent être mis en œuvre, et à moindre coût, pour réduire le risque de succès des attaques par phishing dans les écoles.
Une solution avancée de filtrage du spam dotée d’un puissant composant antiphishing est maintenant essentielle. Un filtre antispam recherche les signatures de spam et de phishing courantes. Il s’assure également que les messages suspects soient mis en quarantaine et qu’ils ne soient pas envoyés aux utilisateurs finaux.
Bien entendu, même avec un filtre antispam, des emails de phishing peuvent parfois être envoyés. Pour empêcher les employés de visiter des sites Web de phishing et de révéler leurs informations, une solution de filtrage Web peut être utilisée.
Les filtres Web peuvent être configurés pour empêcher les utilisateurs finaux de visiter des sites Web connus et qui peuvent être utilisés pour le phishing. De plus, ces filtres permettent d’empêcher les utilisateurs d’accéder à des sites Web connus pour contenir des malwares, pour héberger des contenus illégaux ou indésirables tels que la pornographie.
Ces solutions devraient s’accompagner d’une formation pour tous les membres du personnel sur les risques liés au phishing et sur les identificateurs communs qui peuvent aider le personnel à repérer un email de phishing.
Par ailleurs, les écoles devraient mettre en œuvre des politiques pour signaler les menaces au niveau des services informatiques de l’organisation. Un signalement rapide peut limiter les préjudices causés par les attaques de phishing et empêcher les autres membres du personnel d’y répondre.
En outre, les services informatiques devraient mettre en place des politiques pour s’assurer que les attaques déjouées soient signalées aux forces de l’ordre.
Enfin, le signalement doit être envoyé aux autres districts scolaires à la suite d’une attaque pour leur permettre de prendre des mesures afin de se protéger contre des attaques similaires.
Toute école ou institution d’enseignement supérieur qui ne met pas en place les moyens de défense appropriés courra un risque élevé qu’une attaque de phishing soit un succès.
Non seulement les attaques de phishing exposent les employés à un risque de fraude, mais elles peuvent s’avérer trop coûteuses à atténuer pour les écoles. Avec des budgets déjà serrés, la plupart d’entre elles n’ont tout simplement pas les moyens de le faire.
Si vous souhaitez obtenir de plus amples informations sur la gamme de protections en matière de cybersécurité pouvant être mises en place pour prévenir les attaques de phishing dans les écoles et autres établissements scolaires, appelez dès aujourd’hui TitanHQ.