Les vulnérabilités logicielles et les attaques via les navigateurs web demeurent un problème de taille pour les entreprises. Pourtant, la majorité des attaques cybercriminelles se concentrent actuellement sur le phishing et l’incitation des employés à effectuer une action. Il s’agit principalement de l’incitation à cliquer sur un lien pour télécharger des fichiers ou pour accéder à un site web contrôlé par un pirate informatique.
Une étude récente indique que l’ingénierie sociale et le phishing constituent les formes les plus efficaces d’attaques cybercriminelles, impliquant la divulgation de données personnelles aux pirates.
Les attaques de phishing sont plus sophistiquées qu’avant
Certaines attaques de phishing sont mal conçues, mais celles qu’on a récemment découvertes sont de plus en plus élaborées et peuvent atteindre les utilisateurs, bien qu’ils aient obtenu la meilleure formation en cybersécurité.
Une récente vague d’attaques de phishing s’est concentrée sur les actualités sur le Brexit. Elles utilisaient un e-mail promettant aux utilisateurs qu’ils pouvaient suivre les changements dans la conversion de devises en ouvrant un fichier joint. L’e-mail utilisait des fichiers PDF qui semblaient provenir du gouvernement du Royaume-Uni et des graphiques qui donnaient l’impression qu’il s’agissait d’un message venant d’une source sûre. Pourtant, lorsque l’utilisateur cliquait sur le lien et ouvrait le fichier, le document était configuré pour amener les utilisateurs à exécuter des macros, qui téléchargeaient ensuite des malwares sur leurs ordinateurs.
Les anciennes méthodes d’attaque sont toujours utilisées
Par exemple, le fait de menacer les utilisateurs afin de les inciter à cliquer sur des liens malveillants demeure toujours efficace pour les pirates informatiques. Ces derniers utilisent des graphiques Google ou Microsoft pour créer un message qui fait peur aux utilisateurs, en leur faisant croire que leur compte est en danger. Une fois que ces derniers cliquent sur le lien intégré, ils sont dirigés vers une page malveillante qui ressemble au site web officiel.
Les entreprises ont constaté qu’une formation en cybersécurité est impérative pour se défendre contre une attaque de phishing. De plus en plus de cadres supérieurs ont été ainsi formés à l’identification des attaques de phishing ou de spear phishing.
Le rapport susmentionné a toutefois mis en évidence que les attaquants préfèrent actuellement se concentrer sur les défauts humains plutôt que sur les vulnérabilités technologiques. Bien entendu, ils n’ont pas cessé de tester les failles dans les nouvelles technologies, mais il est beaucoup plus facile pour eux de jouer sur les erreurs des utilisateurs.
Par exemple, ils préfèrent mener des attaques de phishing par e-mail, plutôt que de perdre du temps à trouver un défaut dans les infrastructures informatiques comme les pare-feu et les logiciels.
Que peuvent faire les entreprises pour éviter d’être victimes de phishing ?
Moins il y a d’e-mails malveillants qui arrivent dans la boîte de réception de leurs employés, plus les risques de phishing sont réduits. Les entreprises devraient donc offrir un certain niveau de formation en cybersécurité pour que les utilisateurs disposent des connaissances nécessaires pour identifier les attaques.
Certes, la formation n’offre pas une protection à 100 % contre le phishing – d’ailleurs, aucune protection en matière de cybersécurité n’est efficace à 100 % —, mais l’adoption de bons outils et des procédures efficaces peut réduire considérablement le risque d’attaques de phishing.
Il est toujours recommandé de mettre à jour vos logiciels avec les derniers correctifs dès que possible. En faisant cela, et en utilisant un logiciel antivirus efficace, vous pourrez bloquer de nombreux codes qui s’exécutent en arrière-plan, qui enregistrent les informations d’identification et qui peuvent voler les données personnelles des utilisateurs.
Pourtant, sachez que même si vous mettez en place ces procédures, elles ne peuvent pas toujours arrêter les attaques du type « zero-day ».
Le moyen le plus efficace d’arrêter le phishing des e-mails est de filtrer les messages suspects sur le serveur de messagerie électronique. Les filtres de messagerie utilisant l’intelligence artificielle (IA) pour détecter les liens malveillants ou les pièces jointes mettront les messages en quarantaine jusqu’à ce qu’un administrateur puisse les examiner. Après cela, l’administrateur peut transmettre les messages à la boîte de réception du destinataire ou les supprimer entièrement du système. Ceci empêche le contenu malveillant d’atteindre le destinataire.
Le filtrage des e-mails met fin à de nombreuses attaques de phishing, lesquelles visent essentiellement les employés de haut niveau ayant accès à des systèmes sécurisés.
Par exemple, un attaquant peut utiliser l’ingénierie sociale et le phishing pour inciter un comptable à envoyer de l’argent sur le compte bancaire de l’attaquant. Un dispositif de sécurisation du courrier électronique peut néanmoins empêcher le message malveillant à atteindre sa boîte de réception.
DMARC et attaques de phishing
Les règles DMARC (Domain-based Message Authentication, Reporting and Conformance) garantissent que les e-mails usurpés sont mis en quarantaine. Cette solution de sécurisation de la messagerie utilise une combinaison d’entrées DNS et une signature de messagerie chiffrée. Elle permet d’identifier les expéditeurs légitimes qui peuvent envoyer des e-mails au nom d’une organisation.
DMARC stoppe les attaques de phishing courantes qui utilisent des serveurs SMTP ouverts pour envoyer des messages électroniques frauduleux et usurpés qui semblent provenir d’un expéditeur officiel.
Enfin, les entreprises peuvent ajouter un filtrage de contenu basé sur le DNS, empêchant les utilisateurs de naviguer sur les sites malveillants. Si les règles de sécurité de la DMARC permettent à un faux négatif d’accéder à la boîte de réception du destinataire, le filtrage du contenu Web empêche l’utilisateur d’accéder au site après avoir cliqué sur le lien.
Bref, les règles DMARC, la sécurisation des e-mails et le filtrage du contenu Web peuvent donc réduire considérablement le risque qu’une organisation soit victime d’une campagne de phishing.