Le site web de réservation d’hôtel en ligne Hotels.com, basé au Texas, a informé ses clients que certaines de leurs informations sensibles ont été exposées.
La violation de données du site Hotels.com a impliqué la divulgation de noms d’utilisateur et de mots de passe, d’adresses email et des quatre derniers chiffres des numéros de carte de crédit des utilisateurs du site.
Plusieurs clients du site Hotels.com ont été piratés
Les comptes d’utilisateurs ont été piratés entre le 22 et le 29 mai, mais jusqu’alors, on ne sait pas exactement combien de personnes ont été touchées.
Bien que les numéros de carte de crédit complets n’aient pas été obtenus, la violation des données du site Hotels.com exposera les utilisateurs à un risque élevé d’attaques de phishing.
Il est courant pour les utilisateurs qui ont subi une atteinte à la protection des données ou un incident de sécurité de recevoir des emails d’avertissement concernant l’attaque de phishing.
Cependant, les emails de phishing peuvent prendre de nombreuses formes.
D’une manière générale, ces emails prétendent à juste titre que les renseignements sensibles d’un utilisateur ont été compromis, mais ils ne proviennent pas de l’entreprise qui a subi l’atteinte.
Ce sont plutôt les cybercriminels qui ont mené l’attaque, ou les individus qui ont acheté des données volées aux attaquants, qui les envoient.
Dans un scénario typique de phishing, les victimes sont informées que leur nom d’utilisateur et leur mot de passe ont été compromis.
Un lien est inclus dans les emails pour permettre à l’utilisateur de réinitialiser son mot de passe ou d’activer des contrôles de sécurité supplémentaires sur son compte.
Ce lien dirigera l’utilisateur vers un site web de phishing où il obtiendra de plus amples renseignements — les chiffres manquants de son numéro de carte de crédit par exemple — ou d’autres renseignements personnels.
Le lien peut également diriger l’utilisateur vers un site web malveillant contenant un kit d’exploitation qui télécharge un malware sur son ordinateur.
Les clients d’Hotels.com ont été ciblés par une campagne de phishing en 2015 qui a amené de nombreux utilisateurs du site à divulguer des informations telles que leurs noms, numéros de téléphone, adresses email et les détails de leurs voyages.
Ces informations pourraient être utilisées dans d’autres escroqueries ou même pour des vols qualifiés, par exemple, lorsque les victimes sont connues pour être en vacances.
La violation des données du site Hotels.com est la dernière d’une série d’attaques contre des entreprises en ligne.
Bien qu’on ne sache pas encore clairement comment l’accès aux comptes des clients a été obtenu, une lettre envoyée par email aux victimes laisse entendre que les attaques pourraient être liées à des violations sur d’autres sites web.
Utilisez des mots de passes forts et uniques pour contrer les attaques de phishing
La lettre laisse entendre que l’accès aux comptes en ligne aurait pu résulter de la réutilisation de mot de passe.
Réutiliser les mots de passe sur plusieurs plateformes en ligne est une mauvaise idée.
Bien qu’il soit plus facile de se souvenir d’un seul mot de passe, une violation sur n’importe quel site web en ligne signifie que les attaquants seront en mesure d’accéder à des comptes sur plusieurs sites.
Pour éviter cela, des mots de passe forts et uniques devraient être utilisés pour chaque compte en ligne. Bien que ces mots de passe puissent être difficiles à mémoriser, un gestionnaire de mots de passe peut être utilisé pour les stocker.
De nombreux gestionnaires de mots de passe aident également les utilisateurs à générer des mots de passe forts et uniques.
Dans la mesure du possible, les utilisateurs devraient également tirer parti des contrôles d’authentification à deux facteurs sur les sites pour améliorer la sécurité de leurs comptes.
Étant donné que de nombreuses entreprises utilisent des sites web de réservation d’hôtels comme Hotels.com, elles devraient être particulièrement vigilantes en ce qui concerne les emails de phishing au cours des prochaines semaines, notamment ceux liés à hotels.com.
SpamTitan : la solution contres les attaques de phishing
Pour vous protéger contre les attaques de phishing, nous vous recommandons d’utiliser SpamTitan.
SpamTitan bloque plus de 99,9 % des emails de phishing et autres spams, réduisant ainsi le risque que ces messages soient transmis aux utilisateurs finaux.
En plus de la formation de sensibilisation à la sécurité et des exercices de simulation de phishing, les entreprises peuvent se défendre avec succès contre les attaques de phishing grâce à SpamTitan.
Pour les cybercriminels, tous les moyens sont bons pour se faire de l’argent. Actuellement, les établissements scolaires constituent l’une de leurs principales cibles pour mener des attaques de ransomware ou de phishing.
Le Centre de partage et d’analyse de l’information multi-états (MS-ISAC), une division de la Sécurité intérieure des États-Unis, a lancé une alerte le 4 décembre 2017 à tous les districts scolaires de la maternelle à la 12e année (K12).
Voici comment se présente le résumé de l’alerte :
« Les attaquants utilisent des attaques de phishing pour capturer les identifiants de connexion des employés de l’école qui accèdent à leurs comptes de dépôt direct.
Ils utilisent ensuite les identifiants de connexion qu’ils ont capturés pour modifier les informations de dépôt direct et charger des cartes prépayées qu’ils peuvent utiliser à leur tour. »
Les cybercriminels lancent leurs attaques de la façon suivante :
Ils envoient des emails de phishing aux employés du district scolaire. Le message contient un document Microsoft Office qui capture l’adresse email du destinataire et envoie d’autres messages de phishing à ses contacts. Le malware est lancé via la fonction de prévisualisation de Microsoft Office et ne nécessite pas que l’utilisateur ouvre le document.
L’email usurpe l’identité du service de la paie et informe le personnel qu’il met à jour le portail de paiement en ligne. Un lien est intégré au message afin que les membres du personnel puissent mettre à jour leurs informations de dépôt direct et leurs justificatifs d’identité. Le message inclut également le logo de l’établissement scolaire pour qu’il ait l’air authentique.
Le lien redirige les utilisateurs vers un domaine tiers géré par les pirates informatiques qui saisissent ensuite les données d’identification de l’utilisateur, après quoi, l’email s’efface automatiquement.
Les cybercriminels utilisent ensuite les informations capturées pour se connecter aux comptes compromis et rediriger les paiements vers une série de cartes prépayées.
Patch de mise à jour contre les attaques de phishing visant les écoles
Cette nouvelle forme d’attaque présente un avantage et un inconvénient. L’avantage est qu’elle peut être atténuée si votre logiciel Microsoft Office est entièrement patché, car la menace tire parti d’une vulnérabilité dans la fonction d’aperçu de Microsoft Office.
Si vous gardez vos systèmes entièrement patchés, vous pouvez donc contrer plus efficacement la majorité des cyberattaques.
L’inconvénient est que les districts scolaires sont des cibles faciles.
Souvent, le personnel informatique est peu nombreux ; ou bien, il est trop occupé par les tickets, le dépannage et la maintenance ; ou encore parce qu’il n’a pas le temps ni la base de connaissances nécessaire pour garantir la cybersécurité.
Selon la revue académique « The Journal », il faut en moyenne 221 jours aux K12 pour identifier une brèche et 83 jours pour la contenir, alors qu’il faut respectivement 155 et 34 jours pour les professionnels dans le secteur financier.
Force est de constater que les districts scolaires disposent souvent de plus d’informations sur les personnes que la plupart des entreprises.
Les pirates informatiques ciblent les districts scolaires pour pénétrer dans leurs systèmes d’information afin de voler les renseignements personnels des élèves et du personnel, comme les numéros de sécurité sociale et les renseignements fiscaux.
Dans certains cas, il peut s’écouler des années avant que les victimes apprennent que leurs renseignements personnels ont été compromis.
Les données sur les adolescents sont particulièrement attrayantes pour les pirates informatiques. C’est pour cette raison qu’ils sont assez patients pour attendre que ces élèves commencent à établir leur crédit plus tard dans leur vie.
Un certain nombre d’écoles ont déjà été la cible d’attaques de ransomware. Ces établissements constituent d’excellentes cibles puisque la plupart d’entre eux sont complètement dépendantes de la technologie pour l’enseignement en classe.
Les écoles doivent même s’inquiéter des attaques d’élèves qui tentent de modifier les notes ; de voler des tests ou de mettre en œuvre des attaques DDoS afin de perturber les tests en ligne.
Puisque les districts scolaires sont considérés comme des cibles faciles à atteindre, ils sont parfois utilisés comme moyen de s’introduire dans d’autres institutions gouvernementales.
En octobre dernier, un groupe de pirates informatiques a pénétré dans quatre districts scolaires de Floride pour tenter de pénétrer dans d’autres systèmes gouvernementaux sensibles, notamment les systèmes de vote de l’État.
Compte tenu des failles dans la sécurité web des districts scolaires, il n’est pas surprenant que 445 incidents de sécurité aient eu lieu dans le secteur de l’éducation. C’est ce que le rapport d’enquête de Verizon sur les atteintes à la sécurité des données a rapporté l’an dernier.
Les résultats d’une récente enquête menée par le Consortium for School Networking (SoSN) et l’Education Week Research Center sont aussi surprenants.
Selon ledit rapport, seulement 15 % des responsables dans établissements scolaires ont déclaré avoir mis en place un plan de cybersécurité dans leur propre district.
Voici quelques-uns des résultats :
37 % ont affirmé que les escroqueries de phishing constituent une menace importante, tandis que 11 % les ont identifiées comme une menace très importante
27 % ont déclaré que les malwares et les virus constituent une menace importante, tandis que 6 % les ont identifiés comme une menace très importante
20 % considèrent les ransomwares comme une menace importante, tandis que 7 % les ont identifiés comme très importants
12 % des répondants considèrent les attaques DDoS comme une menace importante, tandis que 6 % les ont identifiées comme une menace très importante
10 % affirment que le vol d’identité constitue une menace importante, tandis que 6 % l’ont qualifié de menace très importante.
Les recommandations du MS-ISAC pour contrer le phishing visant les écoles
Utiliser une authentification à deux facteurs pour l’accès aux sites web de dépôt direct des employés
Les environnements Microsoft Office ne doivent pas être configurés pour une connexion mobile sans vérification du système ou de l’adresse IP
Tapez manuellement l’adresse du site web de votre compte de dépôt direct. Ne vous fiez pas aux hyperliens intégrés dans les emails non sollicités qui prétendent provenir de votre site web de dépôt direct
Les changements apportés au site web de dépôt direct pour les employés devraient comprendre une question de contestation
Ne fournissez pas de renseignements personnels ou financiers en réponse à une demande par email
Les districts scolaires ont reconnu la valeur de l’intégration de la technologie dans l’apprentissage. De la même manière, ils doivent aussi reconnaître les risques que peuvent représenter les vulnérabilités du monde numérique.
Le fait de ne pas sécuriser chaque appareil qui se connecte au réseau de l’école offre l’ultime espace ouvert aux pirates informatiques. Alors, ne les laissez pas franchir la porte d’entrée de votre établissement scolaire.
Vous êtes un professionnel de l’informatique dans une école ? Vous souhaitez vous assurer que les données et les périphériques sensibles des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un email à info@titanhq.com pour toute question.
Une attaque d’email de phishing sur une entité couverte par la loi américaine HIPAA (Health Insurance Portability and Accountability Act) a entraîné une pénalité de 400 000 $ pour non-respect de ce texte.
Ce n’est pas la première fois qu’une attaque de phishing est sanctionnée par l’Office des droits civils (OCR) pour non-conformité.
L’incapacité à prévenir les attaques de phishing n’est pas nécessairement synonyme de sanction, mais le fait de ne pas mettre en œuvre des protections suffisantes pour empêcher de telles attaques pourrait mettre les entités couvertes par l’HIPAA dans l’embarras.
Conformité HIPAA et attaque d’email de phishing
L’OCR du Département américain de la santé et des services sociaux est chargé de faire respecter les règles de la loi sur la transférabilité et la responsabilité en matière d’assurance maladie.
L’OCR effectue les audits des entités couvertes pour identifier les aspects des règles HIPAA qui s’avèrent problématiques pour les entités concernées.
Cependant, à ce jour, aucune sanction financière n’a été émise suite à des infractions à la loi HIPAA découvertes lors de ces audits. Mais ce n’est certainement pas le cas lorsqu’il s’agit d’enquêtes sur des violations de données.
OCR enquête sur toutes les formes de violations de données touchant plus de 500 personnes. Ces enquêtes aboutissent souvent à la découverte de violations des règles de l’HIPAA.
Toute entité couverte par cette loi et qui subit une attaque de phishing entraînant l’exposition d’informations de santé protégées de patients ou de membres d’assurance maladie pourrait être considérée comme ayant violé l’HIPAA.
Une seule attaque de phishing qui n’a pas été contrecarrée pourrait donc entraîner une amende considérable pour non-conformité.
Quelles sont les règles de l’HIPAA qui couvrent le phishing ?
Bien que cette loi ne mentionne pas spécifiquement le phishing, cette menace pourrait porter atteinte à la confidentialité, l’intégrité et la disponibilité des informations électroniques protégées sur la santé (ou Electronic protected health information – ePHI).
Le phishing est donc couvert par les exigences administratives de la règle de sécurité HIPAA.
Les entités couvertes par la règle de sécurité HIPAA sont tenues de dispenser une formation continue appropriée aux membres de leur personnel.
Selon le §164.308.(a).(5).(i), une formation de sensibilisation à la sécurité est nécessaire. Bien que ces exigences soient adressables, elles ne peuvent être ignorées.
Les exigences administratives incluent l’envoi de rappels de sécurité, la protection contre les malwares, la gestion de mots de passe et la surveillance des connexions.
Les employés doivent également apprendre à identifier les emails de phishing potentiels et connaître la réponse correcte lorsqu’ils en reçoivent un.
La règle de sécurité HIPAA exige également la mise en place de protections techniques contre les menaces pesant sur les ePHI.
Des mesures de sécurité raisonnables et appropriées, telles que le chiffrement, devraient être utilisées pour protéger les informations.
Comme les EPHI sont souvent divulguées via des comptes de messagerie, une mesure de sécurité raisonnable et appropriée consisterait donc à utiliser une solution de filtrage du spam avec un composant anti-phishing.
PhishMe rapporte que 91 % des cyberattaques commencent par un email de phishing. Une solution de filtrage anti-spam peut donc être considérée comme un contrôle de sécurité essentiel.
Le risque de phishing doit être mis en évidence lors de l’analyse de votre système de sécurité. C’est un élément obligatoire de la règle de sécurité HIPAA.
Une telle analyse doit identifier les risques et les vulnérabilités susceptibles d’entraîner la divulgation ou le vol des ePHI. Ces failles doivent ensuite être traitées dans le cadre du processus de gestion de la sécurité de l’entité couverte.
Sanctions HIPAA pour attaques d’email de phishing
OCR a récemment conclu un accord avec Metro Community Provider Network (MCPN), un centre de santé agréé par le gouvernement fédéral (FQHC), basé à Denver, au Colorado.
Cela fait suite à une attaque de phishing survenue en décembre 2011.
L’attaque a permis aux pirates d’accéder aux comptes de messagerie de l’organisation après que les employés aient répondu à un email de phishing et fourni ses informations d’identification.
Les ePHI de 3 200 personnes figuraient dans les comptes de messagerie piratés.
L’amende ne visait pas précisément à empêcher toutes les attaques de phishing, mais à faire suffisamment d’efforts pour gérer les risques de sécurité.
MCPN n’avait pas effectué l’analyse des risques avant l’attaque et n’avait pas mis en œuvre de mesures de sécurité suffisantes pour réduire les failles et les vulnérabilités à un niveau raisonnable et approprié.
Le centre de santé MCPN a dû verser 400 000 $ à l’OCR suite à cet incident.
En 2015, une autre entité couverte par l’HIPAA a fini par se mettre d’accord avec l’OCR pour résoudre les violations des règles HIPAA suite à une attaque de phishing.
Le centre médical de l’Université de Washington a versé 750 000 dollars à l’OCR en raison de la divulgation de 90 000 ePHI individuelles. Pour ce cas précis, l’attaque de phishing permettait à des attaquants d’installer des malwares.
Jocelyn Samuels, directeur d’OCR à l’époque, a déclaré: « Une analyse de risque efficace doit être exhaustive et menée dans l’ensemble de l’organisation pour traiter suffisamment les risques et les vulnérabilités des données des patients.
Trop souvent, nous voyons des entités couvertes avec une analyse de risque limitée, qui se concentre sur un système spécifique tel que les dossiers médicaux électroniques, où qui n’assure pas une supervision et une responsabilité appropriées pour toute l’entreprise. »
On ne s’attend pas à ce que les entités visées empêchent toutes les attaques de phishing, mais elles doivent s’assurer que le risque de phishing soit identifié et que des mesures soient mises en place pour empêcher ces attaques d’entraîner l’exposition au vol des ePHI.
Dans le cas contraire, une amende relative à violation de la loi HIPAA pourrait être infligée aux entreprises concernées.
Les cybercriminels tirent parti de l’intérêt porté aux programmes de vaccination contre le COVID-19 et mènent une série d’escroqueries de phishing dans le but d’obtenir des données sensibles telles que des identifiants de connexion ou de distribuer des malwares. Plusieurs agences gouvernementales des États-Unis ont récemment mis en garde les entreprises et les utilisateurs finaux contre ces escroqueries, notamment le bureau de l’inspecteur général du ministère de la Santé et des services sociaux et les centres de services Medicare et Medicaid, ainsi que des organismes chargés de l’application de la loi comme le FBI.
De nouvelles attaques de phishing liées à la CoViD
Les escroqueries liées aux vaccins contre le COVID-19 peuvent prendre de nombreuses formes. Des campagnes ont déjà été détectées qui offrent un accès rapide à ces vaccins. Ces escroqueries exigent un paiement sous forme d’acompte ou de frais pour que vous puissiez vous retrouver en haut de la liste d’attente. D’autres escroqueries offrent une place sur la liste d’attente si vous faites une demande et que vous fournissiez vos informations personnelles.
Les escroqueries de phishing liées aux vaccins contre le COVID-19 se font par e-mails. Cependant, il est probable que les pirates fassent de la publicité sur des sites web, des médias sociaux, ou qu’ils mènent des escroqueries par téléphone ou par l’intermédiaire de messages SMS et de plateformes de messagerie instantanée.
Si bon nombre de ces escroqueries visent les consommateurs, les entreprises risquent d’être touchées lorsque leurs employés accèdent à leurs comptes de messagerie personnels au travail, ou si des e-mails malveillants sont envoyés à des adresses électroniques professionnelles.
Les e-mails frauduleux comportent souvent des liens vers des sites web où des informations sont recueillies. Ces liens peuvent être cachés dans les pièces jointes des messages pour les soustraire aux solutions de sécurité des e-mails. Les documents professionnels sont également couramment utilisés pour diffuser des malwares via des macros malveillantes.
Les e-mails usurpent généralement l’identité d’une organisation ou de personnes de confiance. Ils sont liés au vaccin contre le COVID-19 et sont susceptibles d’usurper l’identité des prestataires de soins de santé, des compagnies d’assurance maladie, des centres de vaccination et des autorités de santé publique fédérales, étatiques ou locales. Pendant la pandémie, il y a eu de nombreux cas où les pirates se faisaient passer pour les Centres américains de contrôle et de prévention des maladies (CDC) et l’Organisation mondiale de la santé (OMS) pour lancer des escroqueries de phishing liées au COVID-19.
Le ministère américain de la justice a récemment annoncé que deux domaines qui se sont fait passer pour des développeurs de vaccins ont été saisis. Ces domaines étaient des copies virtuelles des sites web légitimes de deux sociétés de biotechnologie impliquées dans le développement de vaccins. Le contenu malveillant a été supprimé, mais il est probable que de nombreux autres domaines verront le jour et seront utilisés dans les escroqueries de phishing au cours des prochaines semaines.
Des avertissements ont également été lancés concernant le risque d’attaques de ransomwares qui profitent de l’intérêt pour les vaccins contre le COVID-19 et permettent aux attaquants de prendre pied dans les réseaux dont ils ont besoin pour mener leurs attaques.
Se protéger contre le phishing lié au vaccin contre la CoViD-19
Il existe quatre mesures importantes que les entreprises peuvent prendre pour réduire le risque d’être victimes de ces escroqueries.
Le courrier électronique étant largement utilisé, il est essentiel de mettre en place une solution efficace de filtrage du spam. Les filtres antispam utilisent des listes noires d’e-mails et d’adresses IP malveillants dans le but de bloquer les messages malveillants.
Cependant, de nouvelles adresses IP sont constamment utilisées dans ce type d’escroquerie, il est donc important de choisir une solution qui intègre l’apprentissage machine. L’apprentissage machine permet d’identifier les menaces de phishing à partir d’adresses IP qui n’ont pas été utilisées auparavant à des fins malveillantes, et d’identifier et de bloquer les menaces de phishing du type « zero day ».
Le « sandboxing » est également important pour identifier et bloquer les menaces de malwares du type « zero day » dont la signature n’a pas encore été intégrée dans les listes de définition des virus des moteurs antivirus.
Si les filtres antispam peuvent identifier et bloquer les e-mails contenant des liens malveillants, une solution de filtrage web est également recommandée. Les filtres web sont utilisés pour contrôler les sites web auxquels vos employés peuvent accéder et empêcher les visites de sites web malveillants par la navigation générale sur le web, les redirections et les clics sur les liens malveillants dans les e-mails. Les filtres web sont constamment mis à jour par le biais de flux de renseignements sur les menaces afin de fournir une protection contre les URL malveillantes récemment découvertes.
Quoi qu’il en soit, les entreprises ne doivent pas négliger la formation des utilisateurs finaux et doivent proposer régulièrement des formations à leurs employés pour les aider à identifier les menaces de phishing et les e-mails malveillants. Par ailleurs, des séances de simulation de phishing sont nécessaires pour évaluer l’efficacité des formations de sensibilisation à la sécurité.
L’authentification multifactorielle devrait être appliquée comme dernière ligne de défense. En cas de compromission des informations d’identification, l’authentification multifactorielle permettra de s’assurer que les données volées ne pourront pas être utilisées pour accéder à distance aux comptes de messagerie des utilisateurs finaux.
Grâce à la mise en œuvre de ces mesures, votre entreprise sera bien protégée contre les malwares, les escroqueries de phishing liées au vaccin contre le COVID-19 et les autres menaces de phishing.
Pour plus d’informations sur le filtrage du spam, le filtrage du web et la protection de votre entreprise contre les malwares et les attaques de phishing, appelez l’équipe de TitanHQ dès aujourd’hui.
Au cours des derniers mois, les attaques de phishing contre les cabinets d’avocats se sont multipliées.
Les cybercriminels attaquent les cabinets d’avocats pour avoir accès aux données hautement confidentielles détenues par les avocats.
Les pirates informatiques attaquent souvent les établissements de soins de santé pour obtenir des données sensibles sur les patients pour le vol d’identité et la fraude fiscale.
Les cabinets d’avocats sont des données précieuses pour les attaques de phishing
Les attaques de phishing contre les cabinets d’avocats, d’autre part, leur servent à voler des données à des fins de délit d’initié. Des données sont également volées pour permettre aux cybercriminels de faire chanter les cabinets d’avocats.
Les cabinets d’avocats sont menacés par la publication de données très sensibles sur leurs clients, qui pourraient nuire à leur réputation, si des paiements importants ne sont pas effectués.
Étant donné que les cabinets d’avocats détiennent des documents secrets, y compris des informations potentiellement préjudiciables sur leurs clients, il n’y a pas que les cabinets d’avocats sont victimes d’un tel chantage.
Les clients sont également contactés et menacés. Les profits que l’on peut tirer du délit d’initié sont énormes. Les données détenues par les cabinets d’avocats sont d’une valeur inestimable.
Il n’est donc pas surprenant que les attaques de phishing contre ces établissements se multiplient. Les cybercriminels les considèrent comme des cibles parfaites.
L’année dernière, plus de 50 cabinets d’avocats ont été pris pour cible par des pirates informatiques russes au moyen d’une campagne de spear phishing.
L’objectif de cette attaque était de recueillir des informations susceptibles d’être utilisées pour des délits d’initiés.
Le groupe, appelé Oleras, s’est attaqué à certains des cabinets d’avocats les plus connus opérant aux États-Unis, notamment Cravath Swaine & Moor LLP et Gotshal and Manges LLP.
Cependant, bien que ces attaques aient été dommageables, elles ont sans doute causé moins de dommages que celles menées à l’encontre de Panama Papers Breach — la plus grande violation de données par un cabinet d’avocats de l’année.
Cette attaque a provoqué le surprenant vol de 2,6 téraoctets de données volées par les assaillants — des documents révélant des activités bancaires extrêmement délicates de criminels, hommes politiques, athlètes et hommes d’affaires.
Des données de plus de 214 000 entreprises avaient révélé à la suite de cette attaque menée contre un cabinet d’avocats.
Les cabinets d’avocats doivent s’assurer que des pare-feu sont en place ainsi qu’une foule d’autres mesures de protection contre la cybersécurité pour empêcher le piratage de leurs systèmes.
Pourtant, les atteintes à la protection des données commencent trop souvent par des attaques de phishing.
A titre d’exemple, un simple email contenant un lien vers un site Web a été envoyé aux boîtes de réception des avocats et notaires.
Les liens ont été cliqués et les utilisateurs ont été dupés, révélant ainsi leurs identifiants de connexion aux réseaux et aux comptes de messagerie.
Les justificatifs d’identité ont été ensuite saisis et utilisés par les pirates pour accéder à des données sensibles.
Comment faire face à ses attaques de phishing ?
Le filtrage des sites Web des cabinets d’avocats est désormais une protection aussi essentielle que l’utilisation de logiciels antivirus.
Les logiciels antivirus peuvent détecter les tentatives d’installation de malwares — bien qu’ils soient de moins en moins efficaces à cet égard –, mais ils ne contribuent pas à la prévention des attaques de phishing.
Un filtre Web protège les cabinets d’avocats en empêchant les utilisateurs de visiter des liens malveillants dans les emails.
Une solution de filtrage de sites Web empêche également les utilisateurs finaux de télécharger des malwares ou d’accéder à des sites Web connus pour présenter un risque élevé d’infection par un ransomwares ou un malware.
Par ailleurs, un filtre Web empêche les employés des cabinets d’avocats de visiter accidentellement des sites Web de phishing lorsqu’ils naviguent sur Internet.
En plus d’une solution robuste de filtrage des spams qui empêcher l’envoi de ransomwares, les cabinets d’avocats peuvent rendre leurs réseaux et leurs comptes de messagerie beaucoup plus sécurisés.
La menace du phishing est toujours présente. En fait, le phishing reste la principale cause de violation des données. Il suffit qu’un employé ouvre un e-mail de phishing pour que les pirates prennent pied et mènent des attaques plus importantes contre votre organisation.
Mais à quel point le phishing est-il courant ? Dans ce dossier spécial, nous fournissons quelques statistiques clés sur le phishing pour 2021 afin de sensibiliser vos employés à l’importance de la menace et de souligner la nécessité de repenser la protection actuelle de votre entreprise contre le phishing.
Statistiques sur le phishing en 2021
Le phishing est le moyen le plus facile pour les cybercriminels d’accéder à des données sensibles et de distribuer des malwares. Peu de compétences ou d’efforts sont nécessaires pour mener à bien une campagne de phishing et voler des identifiants ou infecter les utilisateurs avec des malwares.
Les derniers chiffres montrent qu’en 2021, 22 % des violations de données signalées ont commencé par un e-mail de phishing. Certaines des plus grandes violations de données de l’histoire ont également débuté par une attaque de phishing, notamment la violation de 78,8 millions de données d’enregistrement chez l’entreprise d’assurance maladie Anthem Inc. Par ailleurs, l’entreprise Home Depot a été la victime de vol des adresses électroniques de 53 millions de personnes en 2014.
Le phishing peut être effectué par téléphone, par SMS, via les réseaux sociaux ou par le biais des plateformes de messagerie instantanée. Cependant, c’est le courrier électronique qui est le moyen le plus utilisé.
Environ 96 % de toutes les attaques de phishing se font par e-mail. Les attaques réussies entraînent la perte de données, le vol d’informations d’identification ou l’installation de malwares et de ransomwares. Le coût de la résolution des incidents et des violations de données qui en résultent est considérable. Le rapport 2021 Cost of a Data Breach (Coût d’une violation de données en 2021) du Ponemon Institute/IBM Security a révélé que le coût moyen d’une violation de données est d’environ 150 dollars par enregistrement compromis, pour un coût total de 3,86 millions de dollars par violation. Une seule attaque de spear phishing coûte environ 1,6 million de dollars.
Les employés peuvent croire qu’ils sont capables de repérer les e-mails de phishing, mais les données des entreprises de formation à la sécurité montrent que dans de nombreux cas, cette confiance est mal placée. Une étude réalisée en 2021 a révélé que 30 % des utilisateurs finaux ont ouvert des e-mails de phishing ; 12 % des utilisateurs ont cliqué sur un lien malveillant ou ouvert la pièce jointe de l’e-mail et un utilisateur sur huit a ensuite partagé des données sensibles sur des sites de phishing. Rappelons que 78 % des utilisateurs ont déclaré savoir qu’ils ne devaient pas ouvrir les pièces jointes d’un e-mail provenant d’un expéditeur inconnu ou cliquer sur les liens contenus dans les e-mails non sollicités.
Les statistiques de 2021 sur le phishing montrent que le phishing et le spear phishing sont encore courants et que les attaques de phishing réussissent souvent.
Une autre étude a révélé que 85 % des entreprises ont été victimes d’une attaque de phishing au moins une fois. Des sites web de phishing sont constamment créés et utilisés dans ces escroqueries. Une fois qu’une URL est confirmée comme étant malveillante et ajoutée à une liste noire, elle a souvent été déjà abandonnée par les pirates. En 2021, environ 1,5 million de nouvelles URL de phishing ont été identifiées chaque mois.
L’année 2021 semble avoir été marquée par une augmentation massive des attaques de ransomwares. Alors que les pirates exploitent souvent les réseaux compromis, les vulnérabilités des pare-feu, des VPN, des RDP et des équipements de réseau, ils envoient également des ransomwares via les e-mails. Depuis 2016, le nombre d’e-mails de phishing contenant des ransomwares a augmenté de plus de 97 %.
Comment détecter et bloquer les menaces de phishing ?
La lutte contre le phishing et la prévention des attaques réussies nécessitent une approche de défense en profondeur. Une solution avancée de filtrage du spam est indispensable pour empêcher les e-mails de phishing d’atteindre les boîtes de réception de vos employés.
Les entreprises qui utilisent Office 365 s’appuient souvent sur les protections fournies en standard avec leurs licences, mais des études ont montré que le niveau de protection de base fourni par la protection Exchange Online (EOP) de Microsoft est insuffisant et moyen au mieux, et que les e-mails de phishing ne sont souvent pas détectés.
Il est recommandé d’utiliser une solution tierce pour compléter Office 365 – une solution qui intègre l’apprentissage machine pour identifier les menaces de phishing jamais vues auparavant. La solution devrait utiliser des protocoles d’authentification du courrier électronique tels que DMARC, DKIM et SPF pour identifier et bloquer les attaques d’usurpation d’identité par courrier électronique et l’analyse des messages sortants pour identifier les boîtes aux lettres compromises.
La formation des utilisateurs finaux est également importante. Dans le cas où un e-mail de phishing arrive dans une boîte de réception, les employés doivent être formés pour l’identifier. Les filtres web sont également importants pour bloquer les e-mails de phishing et pour empêcher vos employés de visiter les URL de phishing. Enfin, vous devez savoir que l’authentification multifactorielle des comptes de messagerie électronique est essentielle. En cas de vol des identifiants, ce système vous permet de garantir que les identifiants ne puissent être utilisés pour accéder aux comptes de messagerie de vos employés.
