Comme de nombreux employés travaillent actuellement à domicile, les cybercriminels ont modifié leur tactique en créant des e-mails de phishing, de façon à ce qu’ils ressemblent à de nombreux outils de collaboration sur le marché.
L’une de ces attaques vise les entreprises qui utilisent Microsoft Teams.
Microsoft Teams est un outil de collaboration très prisé par les entreprises, et les récents e-mails de phishing incitent les utilisateurs à divulguer leurs identifiants système via cette plateforme.
L’attaque est dévastatrice pour les entreprises, car Microsoft Teams stocke des informations sur les utilisateurs et la propriété intellectuelle qui pourraient causer des dommages à l’entreprise si elles tombent entre les mains des cybercriminels.
Comment les cybercriminels s’attaquent aux comptes Microsoft Teams ?
Si vous connaissez Microsoft Teams, vous savez que l’activité sur la plateforme déclenche l’envoi d’un message aux utilisateurs.
Lorsqu’un message est envoyé à un utilisateur particulier, celui-ci reçoit un e-mail pour l’avertir qu’il a reçu un message. L’utilisateur peut cliquer directement sur un lien dans l’e-mail ou répondre au message dans Microsoft Teams.
Pour ce dernier cas, lorsque l’utilisateur clique sur le lien, le site de Microsoft Teams s’ouvre et il peut se connecter à son compte afin de répondre au message.
Pour la nouvelle attaque utilisant Microsoft Teams, les cybercriminels envoient un e-mail à l’utilisateur ciblé avec un message qui dit « There’s new activity in Teams » et qui fait apparaître le message comme une notification automatisée de Microsoft Teams.
Il informe ensuite l’utilisateur que ses coéquipiers essaient de le joindre et l’invite à cliquer sur le lien « Reply in Teams ». En faisant cela, l’utilisateur ouvre une page contrôlée par l’attaquant qui l’incite à entrer ses informations d’identification.
Il est facile d’être victime d’une telle attaque, car la page de phishing est conçue pour ressembler à la page de connexion officielle de Microsoft Teams.
Les utilisateurs qui ne regardent pas l’URL dans leur navigateur web vont rapidement entrer leurs informations d’identification, et à ce stade, il sera trop tard.
Une fois que les informations d’identification sont envoyées à l’attaquant, celui-ci peut alors les utiliser pour se connecter à d’autres comptes, y compris au réseau d’entreprises.
Si l’utilisateur se rend rapidement compte de l’erreur, les informations d’identification peuvent être modifiées, mais pour les entreprises, cela peut nécessiter un appel au support informatique afin de s’assurer que les autres zones du réseau sont protégées contre les éventuelles menaces.
Jusqu’au moment où les informations d’identification et les comptes sont sécurisés, l’attaquant peut déjà compromettre le réseau informatique de l’organisation.
Comment mettre fin aux attaques de phishing utilisant Microsoft Teams ?
Les utilisateurs de cet outil en ligne doivent savoir qu’une nouvelle attaque de Microsoft Teams vise les comptes de messagerie des entreprises, mais même les utilisateurs éduqués pourraient être victimes d’une attaque bien conçue.
Il est préférable de ne pas se connecter à un site web après avoir cliqué sur un lien dans un e-mail. Saisissez plutôt le domaine dans le navigateur et entrez les informations d’identification à cet endroit.
Les utilisateurs peuvent également prendre note du domaine dans l’URL pour s’assurer que le site web est bien le domaine officiel de Microsoft.
Les entreprises ne devraient pas compter uniquement sur les utilisateurs pour reconnaître les attaques de phishing.
Même les utilisateurs qui connaissent bien les attaques de phishing et leurs drapeaux rouges peuvent être occupés un jour, cliquer sur un lien dans un e-mail et être trop distraits pour se rendre compte qu’ils sont redirigés vers un site malveillant.
Au lieu de se fier uniquement aux utilisateurs, les administrateurs peuvent utiliser la cybersécurité des e-mails pour bloquer les sites de phishing et bien d’autres qui envoient des pièces jointes malveillantes.
La cybersécurité de la messagerie électronique empêche les e-mails de phishing d’arriver dans la boîte de réception des utilisateurs finaux.
Les attaquants utilisent des adresses électroniques d’expéditeurs usurpées, et cette tactique ne fonctionne pas lorsque l’organisation met en œuvre des enregistrements SPF (Sender Policy Framework) sur son serveur DNS.
Un enregistrement SPF indique au serveur du destinataire de rejeter ou de mettre en quarantaine les messages qui proviennent d’un serveur d’e-mail qui n’est pas répertorié sur le serveur DNS.
Les messages qui ne passent pas le protocole SPF peuvent être mis en quarantaine, complètement abandonnés, ou ils vont dans la boîte à spam de l’utilisateur.
Les messages mis en quarantaine peuvent être examinés par les administrateurs pour s’assurer qu’il ne s’agit pas d’un faux positif, mais une avalanche d’e-mails de phishing pourrait signifier que l’organisation est attaquée par un cybercriminel.
L’avantage de l’utilisation de la sécurisation des e-mails avec une fonction de mise en quarantaine est qu’elle aide les administrateurs à identifier les attaques et à alerter les utilisateurs et à éviter les frustrations dues aux faux positifs.
Une autre fonction de cybersécurité des e-mails est le DMARC (Domain-based Message Authentication, Reporting & Conformance).
Le SPF fait partie des normes DMARC, mais votre cybersécurité des e-mails devrait inclure les règles DMARC. Ces règles indiqueront au serveur ce qu’il doit faire lorsqu’un e-mail suspect est reçu.
Les administrateurs utilisent le protocole DMARC pour mettre fin aux e-mails de phishing ainsi qu’à ceux contenant des pièces jointes malveillantes qui pourraient être utilisées pour compromettre le dispositif local de l’utilisateur.
Les règles DMARC et SPF sont la base d’une bonne sécurité des e-mails, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft, et elles bloqueront les e-mails de phishing, y compris l’attaque des équipes Microsoft.
Les utilisateurs devraient toujours être formés à la détection de ces attaques, mais le fait de bloquer les e-mails pour qu’ils n’atteignent pas la boîte de réception du destinataire est le meilleur moyen d’empêcher votre organisation de devenir la prochaine victime d’une violation de données.
Vous avez sans doute déjà mis en place une solution de filtrage du spam, mais est-elle efficace ? Les courriers électroniques de phishing sont-ils toujours délivrés ?
Une erreur courante des PME est de croire que leur environnement Office 365 est bien protégé par défaut, alors qu’en réalité la protection Exchange Online Protection (EOP) fournie avec Office 365 ne parvient pas à bloquer de nombreuses tentatives de phishing.
Une étude a montré que 25 % des e-mails de phishing n’étaient pas bloqués par l’EOP.
Si vous souhaitez améliorer vos défenses contre le phishing, vous devriez utiliser une solution antispam et antiphishing tierce en plus de l’EOP, mais qui offre une meilleure protection, comme SpamTitan.
Si vous bloquez davantage d’e-mails de phishing, la sécurité de votre réseau sera bien meilleure, mais vous ne devriez pas vous arrêter là.
Aucune solution antiphishing ne pourra bloquer toutes les attaques de phishing, 100% du temps.
Il suffit qu’un utilisateur clique sur un e-mail de phishing pour qu’une violation de données se produise. Vous devez ajouter une autre couche à vos défenses.
Lorsqu’un employé clique sur un lien dans un e-mail et est dirigé vers une fausse page de connexion d’Office 365 ou vers un site où un malware est téléchargé, toute tentative d’accès au site sera bloquée.
Un filtre DNS bloque les tentatives d’accès aux sites de phishing au stade de la consultation du DNS, avant le téléchargement de tout contenu web.
Si un employé tente d’accéder à un site de phishing, il sera dirigé vers une page de blocage avant qu’un quelconque préjudice ne se produise.
Les filtres DNS peuvent également bloquer le téléchargement de malwares à partir de sites qui ne sont pas encore connus pour être malveillants.
La mise en œuvre d’une solution efficace pour la cybersécurité des e-mails n’est pas toujours simple et elle nécessite de la planification et de l’expertise.
S’appuyer sur une seule couche de sécurité n’est plus judicieux face à la recrudescence des menaces en ligne.
De plus, les organisations doivent se concentrer sur les données qu’elles protègent et mettre en place des couches de sécurité autour de celles-ci. Vos clients vous en remercieront et vos résultats seront meilleurs.
Si vous souhaitez savoir comment TitanHQ peut vous permettre de mettre en œuvre une approche globale de la sécurité contre les menaces en ligne pour vos employés et vos clients, contactez-nous dès aujourd’hui.
Selon Gartner, 88 % des entreprises ont dû rendre le télétravail obligatoire pendant la pandémie du Covid-19.
306,4 milliards d’emails sont envoyés et reçus quotidiennement en 2020 (source : Radicati).
60 % des informations contenues dans les emails sont des données critiques pour les entreprises (source : IDC).
L’année 2020 restera dans l’histoire comme une année de défis. L’un de ces défis est la façon dont le travail à distance a changé le paysage technologique et commercial.
Pour que les communications entre les employés soient fluides et sans entrave, le courrier électronique a pris une place centrale.
L’archivage des emails dans le cloud offre un moyen de gérer les emails professionnels pour garantir leurs conformités, leurs sécurités et leurs confidentialités.
Le télétravail est-il devenu la nouvelle norme ?
Le travail à distance n’est pas nouveau. Avant la pandémie, en 2015, 3,4 % de la main-d’œuvre américaine travaillait déjà à domicile. Même après la pandémie, le travail à distance devrait faire partie de notre vie professionnelle.
Ce bouleversement des conditions de travail a eu un impact sur la productivité et la continuité des activités.
Pour passer du bureau au domicile, les entreprises dans le monde entier se sont tournées vers la technologie du cloud pour maintenir la communication et le flux de travail de leurs employés.
La technologie du cloud s’est développée pour répondre aux défis du travail à distance.
Cependant, comme les employés se connectent actuellement à distance, les organisations doivent s’assurer que la sécurité, la confidentialité et la conformité des données soient assurées, même en dehors des frontières du bureau.
L’archivage des emails dans le cloud offre un moyen économique et efficace de gérer les données liées aux comptes de messagerie électronique pour tous vos employés qui travaillent à distance.
Archivage du courrier électronique : par défaut, à distance ?
Le courrier électronique a toujours été une technologie qui était, par défaut, utilisée pour la communication à distance.
Cependant, il peut aussi servir à stocker de façon centralisée des données sensibles concernant les employés et leur entreprise.
Les entreprises peuvent l’utiliser pour conserver des informations, en se référant à d’anciens emails pour trouver des informations vitales et pour s’assurer que les mesures légales et de conformités sont respectées.
L’un des avantages de l’archivage du courrier électronique dans le cloud est la centralisation de serveurs de courriers électroniques disparates. Dans des conditions de travail à distance, c’est encore plus important.
L’archivage des emails dans le cloud offre un moyen de consolider et de gérer les données contenues dans les emails professionnels.
Mais comment l’archivage du courrier électronique s’intègre-t-il dans un monde de travail à distance ?
Et comment les questions de conformité, de sécurité et de confidentialité des emails sont-elles traitées dans des environnements de travail disparates ?
Télétravail, archivage des emails et conformité
Le courrier électronique est soumis à des réglementations sur la protection des données et à d’autres questions juridiques. Plusieurs règlements comportent des exigences concernant la conservation, l’intégrité, la sécurité et l’audit des emails.
Il s’agit notamment de la loi Sarbanes-Oxley (SOX) pour la prévention de la fraude et la protection des données personnelles via la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA).
L’archivage des emails dans le cloud peut répondre aux exigences réglementaires en offrant un contrôle d’accès, la possibilité de réaliser facilement les audits et une gestion de la conservation robuste.
Archivage et sécurité des emails
Le courrier électronique est une riche source de données sensibles, financières et de propriété intellectuelle, ce qui le place dans la ligne de mire des cybercriminels.
Les menaces en ligne telle que le Business Email Compromise (BEC) se concentrent sur l’usurpation d’adresses électroniques ou le piratage comme méthode pour voler de grosses sommes d’argent aux entreprises.
Les attaques d’initiés sont également préoccupantes, qu’elles soient malveillantes ou accidentelles.
L’archivage des emails dans le cloud peut atténuer les risques de perte de données. Les fonctionnalités comprennent le contrôle d’accès et la restauration des messages supprimés ou modifiés.
Une solution basée dans le cloud offre un environnement sécurisé tout en facilitant l’accès des employés à distance à ces messages.
Archivage et confidentialité des emails
En plus de contenir des données d’entreprise sensibles, les emails contiennent également des données sur vos clients.
Ces informations sont souvent très sensibles et peuvent contenir des informations financières, notamment des informations sur les comptes bancaires. Celles-ci doivent rester privées pour des raisons de conformité et de confiance.
Toutes les données relatives aux transactions, aux comptes clients, aux demandes, etc. doivent être archivées en toute sécurité.
Le fait de ne pas exécuter ces actions entraîne non seulement des amendes pour non-conformité, mais aussi une perte de réputation pour les entreprises.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA), par exemple, stipule qu’une entreprise doit mettre en place un processus de récupération et de suppression des données personnelles, sur demande.
Cela inclut les emails et les données dans les archives.
Les solutions d’archivage des emails basées dans le cloud doivent pouvoir attribuer des rôles aux personnes appropriées pour leur permettre d’examiner, d’exporter et de supprimer en toute sécurité les données et certains messages en cas de besoin.
Contactez l’équipe de TitanHQ si vous voulez discuter de la façon dont l’archivage des emails peut assurer la continuité des activités de vos employés qui travaillent à distance.
Pour chaque tragédie mondiale, il y a toujours une augmentation des escroqueries et des attaques de phishing.
La pandémie du COVID-19 a obligé de nombreuses entreprises à déplacer leur personnel comptable vers une main-d’œuvre travaillant à domicile, ce qui les expose à un risque de cybersécurité beaucoup plus élevé.
Les utilisateurs disposant de leurs propres appareils, d’une connexion Internet ou d’une connexion Wi-Fi publique ne disposent pas des cyberdéfenses de leur entreprise.
Les pirates savent que les travailleurs à domicile sont beaucoup plus vulnérables aux attaques, et ils en ont profité pour cibler les financiers avec de fausses factures, des emails de phishing et de l’ingénierie sociale.
Les pirates informatiques ciblent le personnel comptable
À une époque où le monde est sensible à la pandémie du COVID-19, il est important pour les financiers de rester conscients de l’augmentation des attaques de phishing et des autres menaces utilisant l’ingénierie sociale.
Les pirates utilisent des factures et des emails d’apparence légitime pour tromper les financiers afin de les inciter à envoyer de l’argent sur leurs comptes.
La plupart des comptes de messagerie électronique personnels ne sont pas équipés de dispositifs de détection et de prévention du phishing, contrairement aux serveurs d’emails des entreprises. Les pirates n’hésitent donc pas à rechercher les comptes de messageries personnels de vos employés pour tenter de leur soutirer des données.
L’utilisation de fausses factures n’est pas une nouveauté en matière de cybercriminalité. Les attaquants peuvent par exemple générer une facture d’apparence officielle pour tenter de tromper un membre du personnel financier pour leur envoyer de l’argent.
Les emails semblent provenir d’un expéditeur officiel, et les factures sont conçues de manière à ce qu’elles paraissent légitimes. Il faut que le destinataire soit vigilant afin de pouvoir déceler les signes avant-coureurs.
Selon le FBI, la compromission des emails professionnels (BEC) est une industrie qui représente plus de 2,5 milliards d’euros. Dans certains scénarios, un attaquant se fait passer pour un cadre, un comptable ou un avocat dans le but d’intimider l’utilisateur ciblé et et de l’inciter à agir rapidement sans remettre en cause la validité de la demande.
Toutes les attaques ne visent pas un gain financier immédiat. Certains attaquants veulent que les données soient ensuite vendues sur le dark web.
Le risque d’être pris est plus faible, mais la valeur d’une importante violation de données peut rapporter des millions aux pirates. Pour la plupart de ces attaques, un email de phishing est envoyé à l’utilisateur ciblé, l’incitant à cliquer sur un lien qui l’amène à une page web malveillante.
La page web ressemble à une page d’affaires officielle, et l’attaquant trompe l’utilisateur en l’amenant à s’authentifier. Au lieu de s’authentifier, l’utilisateur envoie des identifiants de connexion à l’attaquant, lequel peut alors accéder au réseau et agir en tant qu’utilisateur d’un compte officiel.
Avec des informations d’identification légitimes, il peut naviguer sur le réseau sans être détecté.Il faut parfois des mois aux administrateurs réseau pour détecter ce type de violation de données.
Voici quelques exemples d’emails de phishing qui menacent votre entreprise :
Vous recevez une demande de cliquer sur un lien « intéressant » qui vous semble louche. Ces emails sont normalement envoyés à des milliers de comptes. En cliquant sur le lien, vous risquez de télécharger sur votre PC un malware qui enregistre les informations que vous saisissez, notamment les noms d’utilisateur et les mots de passe des sites web et des applications de l’entreprise.
Vous recevez un email qui semble être une communication officielle de votre banque. Il peut contenir votre nom personnel ou celui de votre entreprise et vous demande de cliquer sur un lien pour effectuer une tâche urgente. Ce lien fait apparaître un faux site web qui ressemble beaucoup à celui de la banque concernée. Lorsque vous entrez votre nom d’utilisateur et votre mot de passe, ces informations sont enregistrées par les cybercriminels pour être utilisées plus tard, lors d’un transfert d’argent à partir de votre compte.
Vous recevez un email de votre patron, vous demandant d’effectuer un virement bancaire vers une entreprise réputée.
Devriez-vous donc vous méfier d’un email envoyé par votre patron ? La réponse est : oui. Réfléchissez toujours à deux fois avant de payer une facture ou de transférer des fonds.
Ce que les entreprises peuvent faire pour protéger les données pendant la COVID-19
Bien que les administrateurs aient moins de contrôle sur l’activité informatique des employés à domicile, il existe des moyens de réduire le risque d’une attaque du type BEC réussie.
La formation des utilisateurs est une option, et elle peut être effectuée à distance. Toutefois, même avec une formation, les employés peuvent commettre des erreurs, notamment en raison de la recrudescence du phishing et de l’ingénierie sociale pendant la pandémie.
Une solution comme SpamTitan bloquera les emails de phishing avant qu’ils n’atteignent votre réseau. Voici d’autres moyens de réduire les risques :
Authentification multifacteurs
Exigez une authentification à deux facteurs. Même si les utilisateurs tombent dans le piège d’une attaque de phishing, un pirate informatique ne pourra pas accéder au réseau sans le code PIN, généralement envoyé au Smartphone de l’utilisateur ciblé.
Méfiez-vous des liens dans les emails
Demandez aux utilisateurs d’éviter de cliquer sur les liens des emails. Tous les emails contenant un lien ne sont pas malveillants, mais les utilisateurs doivent se méfier tout particulièrement d’un email contenant un lien où les informations de connexion sont nécessaires pour aller plus loin. Tapez toujours le domaine dans la fenêtre du navigateur au lieu d’utiliser un lien pour vous authentifier.
Utilisez les espaces de stockage dans le cloud
Utilisez les espaces de stockage dans le cloud pour consulter les documents. Les malwares du type macro sont toujours bien utilisés par les pirates. Les documents Microsoft peuvent contenir des macros malveillantes, qui sont utilisées pour télécharger des malwares.
Ces logiciels peuvent donner à un attaquant le contrôle à distance d’un ordinateur ou la possibilité d’installer un enregistreur de frappe. Si vous téléchargez un document sur un lecteur dans le cloud (par exemple Google Drive) et que vous prévisualisez le fichier, les macros sont neutralisées et ne s’exécuteront pas sur votre appareil.
N’installez que des logiciels approuvés
Les administrateurs peuvent restreindre l’installation de logiciels sur les ordinateurs de l’entreprise, mais pas sur les ordinateurs personnels. Informez les utilisateurs sur les types de logiciels qui doivent être installés et limitez l’accès aux applications extrêmement sensibles aux seules machines approuvées.
Limitez l’utilisation des emails
Les utilisateurs doivent savoir que les emails sont un moyen peu sûr de transférer des données sensibles, et les employés ne doivent utiliser leurs comptes de messagerie d’entreprise que pour communiquer des informations professionnelles.
Pour limiter l’accès aux comptes de messagerie de votre entreprise, vous pouvez utiliser des filtres. Cela vous permet de bloquer les emails suspects et de mettre en quarantaine tout message contenant des pièces jointes malveillantes.
Les utilisateurs ne doivent jamais copier des informations sensibles d’un email de votre entreprise vers des comptes personnels afin d’éviter toute violation de données.
Des précautions nécessaires mais insuffisantes : optez pour une protection avancée
La liste ci-dessus n’est pas exhaustive. En raison de la nature sophistiquée des menaces persistantes avancées par email, SpamTitan comprend une fonction de sandboxing et des couches antispoofing. Le sandbox de SpamTitan protège vos employés contre les brèches et les pertes de données des menaces de type « zero day » et des attaques sophistiquées par email en fournissant un environnement puissant pour effectuer une analyse approfondie et sophistiquée des programmes et fichiers inconnus ou suspects.
Le sandboxing de SpamTitan protège votre entreprise contre les malwares, le spear phishing, les menaces persistantes avancées (APT) et les URL malveillantes, tout en vous offrant un aperçu des nouvelles menaces et en vous aidant à atténuer les risques.
Facilitez les tâches de votre personnel du service informatique et sécurisez davantage votre entreprise. Voyez les résultats immédiats de notre solution de blocage des spams et des attaques du type BEC sans immobiliser les ressources informatiques grâce à SpamTitan Cloud.
Une campagne active de phishing vocal (vishing) est utilisée pour arnaquer les employés de nombreuses industries différentes qui travaillent actuellement à distance.
Lors de cette campagne, les pirates se font passer pour une entité de confiance et essayent de tirer parti de tactiques d’ingénierie sociale pour persuader leurs victimes de partager l’accès à leur réseau privé virtuel (VPN) d’entreprise.
Un avis commun sur cette arnaque a été publié par le Federal Bureau of Investigation (FBI) et l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du DHS. Ces derniers temps, ce type d’attaque a gagné en popularité en raison de l’augmentation considérable du travail à distance pendant la pandémie du COVID-19.
Le vishing : une attaque bien organisée
Pour commencer, les pirates achètent et enregistrent des noms de domaines qui seront ensuite utilisés pour héberger des pages de phishing, prétendant être la page de connexion VPN interne de l’entreprise ciblée. Ils essaient également d’obtenir des certificats SSL pour les domaines afin de les faire apparaître comme réels et authentiques.
De nombreux systèmes de dénomination sont utilisés pour les domaines, comme [entreprise] — soutien, soutien — [entreprise] et employé — [entreprise], afin de les rendre plus vraisemblables. Grâce à ces tactiques, les cybercriminels pourront enfin être capables de recueillir des données sur les employés de l’entreprise ciblée.
Les informations recueillies comprennent les noms, les adresses, les numéros de téléphone personnels, les titres de poste des employés ainsi que la période pendant laquelle ils travaillent dans l’entreprise. Ces informations sont ensuite utilisées pour gagner la confiance du membre du personnel visé.
Lors de la phase suivante, les employés sont contactés à partir d’un numéro de voix sur IP (VOIP). Au départ, le numéro VOIP n’est pas révélé.
Plus tard, les pirates informatiques commencent à usurper le numéro pour faire croire que l’appel provenait d’un bureau de l’entreprise ou d’un autre membre du personnel au sein de l’entreprise.
Les employés sont alors informés qu’ils recevront un lien sur lequel ils devront cliquer pour se connecter à un nouveau système VPN. Ils sont également informés qu’ils devront répondre à toute communication d’authentification à deux facteurs (2FA) et de mot de passe unique (OTP) avec leur téléphone.
Ensuite, les attaquants saisissent les informations de connexion au fur et à mesure qu’elles sont entrées sur leur faux site web et les utilisent pour se connecter à la page VPN légitime de l’entreprise.
Les pirates utilisent également le SIM-swap pour contourner l’étape 2FA/OTP, en se servant des informations recueillies sur l’employé pour persuader leur fournisseur de téléphonie mobile de porter leur numéro de téléphone sur leur carte SIM. Cela permet de s’assurer que tout code 2FA est envoyé directement au pirate.
Enfin, ils utilisent ces informations pour accéder au réseau de l’entreprise ciblée afin de voler des données sensibles pour pouvoir les utiliser dans d’autres attaques.
Selon le FBI et la CISA, l’objectif ultime de cette arnaque est de tirer profit de l’accès au VPN d’entreprise.
Les recommandations du FBI et de la CISA pour se protéger du vishing
Le FBI et la CISA recommandent de limiter les connexions VPN aux périphériques gérés en utilisant des mécanismes tels que les vérifications matérielles ou les certificats téléchargés.
Cela permet de limiter les heures pendant lesquelles les VPN peuvent être utilisés pour accéder au réseau d’entreprise, utiliser des outils de surveillance de domaine ou gérer les applications Web, dans le but de protéger le réseau des accès non autorisés et de toute autre activité suspecte.
Par ailleurs, une procédure d’authentification formelle devrait être créée pour les communications d’employé à employé sur le réseau téléphonique public, où un second facteur est nécessaire pour authentifier l’appel téléphonique avant la divulgation de toute donnée sensible.
Pour finir, le FBI et la CISA soulignent que les données doivent permettre de surveiller l’accès et les activités des utilisateurs autorisés afin de repérer les activités suspectes.
Quant aux employés, ils doivent être informés de l’escroquerie et recevoir l’instruction de signaler tout appel suspect à leur service de sécurité informatique.
Étant donné que le télétravail est devenu une nécessité à cause de la pandémie du Covid-19, les entreprises doivent trouver des solutions qui permettent à leurs employés d’accéder à des applications critiques.
La solution la plus simple est de mettre en place un environnement basé dans le cloud où ces derniers peuvent accéder aux fichiers et aux applications sans passer par le réseau local.
Si ce type d’environnement peut être pratique, il expose également les entreprises à des risques supplémentaires en matière de cybersécurité.
Mais malgré ces risques, les organisations peuvent prendre des mesures de précaution pour protéger leurs données sensibles.
Sécurité cloud et télétravail
La pandémie du Coronavirus a obligé de nombreuses entreprises à permettre à leurs employés de travailler à domicile. C’était le seul choix possible pour maintenir la productivité et les revenus pendant la crise mondiale.
Ce changement des habitudes de travail a obligé le personnel informatique à trouver des moyens uniques de donner aux employés l’accès aux données sans précipiter les changements d’infrastructure, ce qui peut entraîner des erreurs.
Pour mettre en place une nouvelle infrastructure, la solution la plus simple est de l’héberger dans le cloud comme AWS, Azure ou GCP. Les fichiers peuvent y être stockés, les applications peuvent fonctionner et les utilisateurs peuvent y accéder avec un navigateur standard.
L’un des principaux éléments à considérer lorsque vous utilisez le cloud est que le service est ouvert au public. Il incombe donc au service informatique de configurer correctement l’authentification et l’autorisation.
Les fournisseurs de services cloud ont leurs propres moyens de défense en matière de cybersécurité, mais vous ne pouvez pas vous fier entièrement à ces protections. Une mauvaise configuration peut laisser vos données ouvertes au public et entraîner une faille de sécurité.
Dans le récent rapport d’enquête de Verizon sur les violations de données, 43 % des violations visaient les applications basées dans le cloud. Ces résultats démontrent que les applications qui sont basées dans le cloud sont une cible de choix pour les cybercriminels.
Le personnel informatique doit configurer les ressources du cloud pour s’assurer que les vulnérabilités sont détectées et réduites avant de pouvoir être exploitées. La protection des données sensibles nécessite de bonnes configurations, mais il est encore plus important de disposer des bons outils de surveillance et de détection.
La cybersécurité doit être proactive plutôt que réactive afin d’éviter les violations majeures des données, et les outils de surveillance et de détection détecteront de manière proactive les menaces potentielles.
Office 365 est une cible potentielle
Microsoft a fait de grands progrès en matière de cybersécurité, mais les gros titres continuent de faire état d’innombrables exploits où des pirates informatiques ont réussi à contourner les systèmes de défense d’Office 365.
Si votre entreprise a adopté Office 365 comme solution de messagerie hébergée, votre compte de messagerie est donc hébergé dans un centre de données Microsoft et est très probablement filtré par la protection en ligne de Microsoft Exchange Online Protection (EOP).
Bien que le filtre antispam d’Office 365 offre un niveau de sécurité raisonnable, certaines entreprises le trouvent basique et insuffisant lorsqu’il s’agit de cybermenaces très sophistiquées, notamment les attaques de spear phishing.
Malheureusement, les fonctionnalités de sécurité d’Office 365 ne correspondent pas à celles de nombreuses passerelles de sécurité de la messagerie électronique dédiée sur site et dans le cloud, qui incluent l’apprentissage-machine et l’intelligence artificielle.
La seule solution de sécurité pour la messagerie électronique comprend la capacité d’anticiper les nouvelles attaques à l’aide d’une technologie prédictive.
Vous utilisez Office 365 et le phishing et les malwares vous préoccupent ? Obtenez une démonstration personnalisée gratuite de SpamTitan et découvrez comment cette couche de sécurité peut vous aider à sécuriser votre environnement Office 365 dès aujourd’hui.
Combattre les risques de cybersécurité pendant la pandémie du COVID-19
Même si l’utilisation du cloud peut impliquer des risques pour les entreprises, certaines technologies sont disponibles pour aider à les minimiser.
La première solution consiste à utiliser des outils de surveillance qui identifient les mauvaises configurations, le trafic suspect et l’utilisation des ressources.
AWS dispose par exemple de CloudWatch pour aider à surveiller les applications et les ressources informatiques. Azure est également doté de plusieurs outils de surveillance qui fournissent des rapports permettant de traiter les problèmes éventuels.
Quant aux utilisateurs, ils devraient utiliser un VPN pour accéder à toutes les ressources internes. Si un VPN n’est pas disponible, toute connexion aux ressources basées dans le cloud doit toujours être chiffrée.
Le chiffrement protège contre les écoutes malveillantes lorsqu’un utilisateur utilise un réseau WiFi public ou domestique.
Sécurité du cloud et authentification multifacteurs
L’authentification multifacteurs (AMF) devrait être mise en œuvre pour se protéger contre le phishing et l’ingénierie sociale.
Les attaquants savent que les utilisateurs à domicile ne disposent généralement pas des ressources de l’entreprise pour se protéger contre la cybersécurité. Les campagnes de phishing peuvent ainsi être efficaces, même avec de bonnes défenses de cybersécurité, et il suffit qu’une seule erreur humaine se produise pour qu’une attaque réussisse.
Les pirates informatiques savent qu’une bonne campagne de phishing pourrait permettre d’accéder aux ressources de l’entreprise. L’AMF met fin à la plupart des attaques de phishing en imposant un niveau d’autorisation supplémentaire avant que l’accès à une ressource ne soit accordé.
Avec le confinement causé par la pandémie du Covid-19, les attaques de phishing ont augmenté. Les entreprises doivent donc mettre en place des protections adéquates pour leur compte de messagerie électronique.
Les applications tierces disposent de leurs propres filtres pour détecter et bloquer les attaques de phishing.
Par contre, les entreprises qui hébergent leurs propres serveurs de messagerie devraient disposer d’une surveillance et de filtres qui empêchent l’envoi de messages malveillants dans les boîtes de réception de leurs employés. Les messages malveillants peuvent comprendre du texte simple avec une URL ou des pièces jointes suspectes.
Les filtres de la messagerie électronique peuvent mettre en quarantaine les messages pour examen par un administrateur en cas de faux positifs, mais ce type de cybersécurité n’est pas suffisant pour réduire le risque de phishing lorsque les utilisateurs travaillent à domicile. Ces derniers doivent être formés à identifier les messages malveillants si un e-mail arrive dans leur boîte de réception.
En plus des filtres, les serveurs de messagerie électronique qui mettent en œuvre le protocole DMARC (Domain-based Message Authentication, Reporting & Conformance) augmentent l’efficacité de la cybersécurité.
Le DMARC utilise une combinaison de liste blanche DNS et de signatures chiffrées pour déterminer la légitimité des messages.
Le personnel informatique utilise les enregistrements DNS pour identifier les adresses IP qui peuvent ensuite être utilisées pour envoyer des messages, tandis que les signatures vérifient l’authenticité de chaque message pour s’assurer qu’il n’est pas malveillant.
Le DMARC semble complexe, mais avec la bonne configuration, c’est un outil de cybersécurité précieux qui vous protège contre le phishing et tous les contenus malveillants dans les messages électroniques.
Le phishing est l’un des moyens les plus courants dont disposent les attaquants pour voler des données.
Il est donc important que les entreprises mettent en place une bonne application et des règles qui arrêtent ces messages avant qu’ils n’atteignent la boîte de réception d’un utilisateur. Si le protocole SPF offre un certain degré de protection contre l’usurpation d’adresse électronique, le DMARC est bien plus fiable.
La solution de sécurité de la messagerie électronique de SpamTitan intègre l’authentification DMARC pour offrir une protection encore plus grande contre les attaques d’usurpation d’adresse électronique.
Sécuriser la messagerie électronique et les contenus web utilisés pour les cyberattaques
Travailler avec une infrastructure basée dans le cloud ne signifie pas que votre entreprise doit être laxiste en matière de cybersécurité. Les ressources, la surveillance et la détection appropriées peuvent être utilisées pour mettre fin aux attaques de cybersécurité les plus courantes, notamment le phishing.
Le personnel informatique peut mettre en œuvre plusieurs techniques de cybersécurité sans affecter la productivité des utilisateurs, et leur entreprise peut fonctionner en toute sécurité tout en protégeant les données sensibles.
Si vous vous souciez de la protection des travailleurs distants contre le phishing, les attaques du type « zero day », les malwares et les sites web dangereux, contactez dès maintenant nos experts. Ils vous expliqueront pourquoi il est vital de vous protéger contre les attaques lancées via les e-mails et via d’autres types de contenus web.
Au Royaume-Uni, une étude publiée par Darktrace a indiqué que le volume de trafic d’e-mails malveillants en six semaines, ciblant les travailleurs à distance, est passé de 12 % à 60 %.
Les pirates utilisent une grande variété d’e-mails malveillants pour cibler les travailleurs à distance. Ils ont également recours à toutes sortes d’appâts pour inciter les travailleurs à distance à cliquer sur des liens et à partager leurs coordonnées ou à ouvrir des pièces jointes malveillantes qui déclenchent l’installation de malwares.
La fraude financière s’est également développée, les gangs derrière les attaques du type BEC (Business Email Compromise) utilisent par exemple la pandémie COVID-19 pour voler des fonds sur les comptes des entreprises.
Au début de la pandémie, alors que les informations sur le virus étaient rares, des e-mails étaient envoyés pour offrir des conseils importants sur la prévention de l’infection ainsi que de fausses nouvelles sur les cas.
À mesure que la pandémie progressait et que ses effets commençaient à se faire sentir, les pirates informatiques ont commencé à envoyer de fausses demandes de dons à des organisations caritatives pour aider les personnes touchées par le COVID-19. Alors que les gouvernements mettaient en place des systèmes de soutien aux entreprises et créaient des fonds pour aider les salariés et les travailleurs indépendants, différentes sortes de campagnes ont été menées.
Celles-ci permettaient de créer des liens avec des sites web qui prétendaient offrir des subventions : de permettre aux travailleurs de choisir d’entrer en chômage technique ou de demander un soutien financier.
Les attaques se sont concentrées sur les outils utilisés par les travailleurs à distance pour se connecter à leur bureau et communiquer avec leurs collègues.
Parmi ces outils, on compte par exemple Zoom, Skype, GoToMeeting et d’autres systèmes de messagerie d’entreprise qui sont usurpés pour infecter les appareils informatiques des utilisateurs avec des malwares. Les plateformes de partage de fichiers ont également été piratées pour inciter les travailleurs à partager leurs informations d’identification.
Les données de Darktrace montrent qu’il y a eu une énorme augmentation des attaques de spoofing pendant le confinement, passant d’environ 25 % des attaques (avant le confinement) à 60 %.
Ce ne sont pas seulement les groupes cybercriminels qui mènent des attaques via le web. Des groupes de piratage parrainés par un État nation ont par exemple profité de la pandémie pour s’emparer de données sensibles, notamment les données les plus récentes de la recherche sur le COVID-19, sur les remèdes, sur les vaccins et les traitements potentiels afin d’améliorer les efforts de lutte dans leur propre pays.
Ce qui n’est pas toujours transparent dans les nouveaux rapports, c’est la façon dont l’augmentation des cyberattaques visant des travailleurs à distance s’est traduite par de véritables violations de données.
Ces attaques fonctionnent-elles ou les entreprises parviennent-elles à contrecarrer les attaques et à tenir les cybercriminels à distance ?
Il y a un décalage dans le temps entre la découverte des intrusions, la confirmation des violations de données et le signalement des attaques. Pourtant, il semble que beaucoup d’entre elles réussissent.
En avril, l’IAITAM (International Association of IT Asset Managers) a publié un avertissement, selon lequel le nombre d’incidents était bien plus élevé que prévu, bien qu’une augmentation des violations de données fût prévisible en raison de la pandémie.
Il est également évident que les développeurs de ransomwares ont redoublé d’efforts pour s’attaquer aux entreprises. Même les groupes en première ligne dans la lutte contre le COVID-19 n’ont pas été épargnés.
Les acteurs de la menace se sont concentrés sur les possibilités offertes par la pandémie. Il appartient aux entreprises de s’assurer que leurs mesures de sécurité sont suffisantes pour faire face aux attaques. La lutte contre les cyberattaques visant les travailleurs à distance nécessite la mise en place de mesures de sécurité supplémentaires. Par exemple, le filtrage DNS est une mesure qui est souvent négligée. Pourtant, elle peut améliorer considérablement la protection de votre organisation contre les menaces en ligne.
Un filtre DNS assure la sécurité contre le contenu web des cyberattaques et constitue une mesure importante à mettre en œuvre pour renforcer les défenses contre le phishing et les malwares. Même avec de solides défenses de sécurité des e-mails en place, certains messages atterriront toujours dans les boîtes de réception de vos employés. Un filtre DNS offre un niveau de protection supplémentaire en les empêchant de visiter des sites web malveillants et d’autres liens malveillants intégrés dans ces messages.
Lorsqu’un employé visite un lien malveillant, une requête DNS est émise et une recherche DNS est effectuée pour trouver l’adresse IP de l’URL. Le filtrage DNS garantit que l’adresse IP soit bloquée si l’URL est malveillante. Un filtre DNS comme WebTitan permet également aux équipes informatiques de bloquer les installations de malwares ; d’examiner l’activité de vos employés sur Internet et de gérer soigneusement les types de sites web auxquels les travailleurs à distance peuvent accéder sur les dispositifs de l’entreprise.
Si vous n’avez pas encore mis en place une solution de filtrage DNS et que vous souhaitez obtenir davantage de conseils sur la manière dont elle peut protéger les travailleurs à distance contre les cyberattaques, appelez l’équipe de TitanHQ dès maintenant.
