Accueil Cyber Sécurité Phishing – Il ne s’agit pas de logiciels malveillants (ni même de...

Phishing – Il ne s’agit pas de logiciels malveillants (ni même de courriels)

Par
Fabrice Symphorien
-
88
0

Le phishing a été et continue d'être l'une des méthodes d'attaque les plus courantes (souvent appelées TTP) que les cyber-attaquants utilisent en raison de son efficacité.

Le phishing est un vecteur d'attaque simple qui permet aux cyberattaquants de contourner la plupart des contrôles de sécurité.

Des rapports comme le DBIR de Verizon ou le rapport Digital Defense de Microsoft continuent d'identifier le phishing comme un risque majeur.

Plusieurs tendances que nous observons

Au cours des dernières années, le phishing a continué d'évoluer. Bien que la plupart des appâts émotionnels utilisés pour inciter les gens à devenir des victimes restent les mêmes (abordés plus en détail ci-dessous), nous avons constaté des changements à la fois dans les modalités et les objectifs des cyber-attaquants.

1. Modalités : Traditionnellement, l'hameçonnage se faisait par le biais du courrier électronique. Cependant, nous avons constaté un changement dans l'utilisation des technologies de messagerie, notamment iMessage d'Apple, WhatsApp et la fonctionnalité SMS standard. Les attaques d'hameçonnage par texto sont devenues de plus en plus populaires car de nombreux téléphones n'ont aucune capacité de filtrage, ce qui signifie que les escroqueries et les attaques ont beaucoup plus de chances de passer. De plus, comme les messages textuels ont tendance à être beaucoup plus courts et à contenir peu de contexte, il est beaucoup plus difficile de confirmer ce qui est légitime par rapport à ce qui est une attaque. C'est pourquoi, lors de la formation de ton personnel, insiste sur le fait que les attaques par hameçonnage ne se produisent plus seulement par courriel, mais aussi par l'intermédiaire de n'importe quelle technologie de messagerie.

2. Objectif : Traditionnellement, l'objectif des cyberattaquants avec les attaques de phishing était d'installer des logiciels malveillants sur l'ordinateur de la victime. Cependant, les infections par des logiciels malveillants sont de plus en plus faciles à détecter pour les équipes de sécurité, si bien que cette approche a radicalement changé. Dans le monde d'aujourd'hui, nous voyons trois autres objectifs des attaques de phishing.

a. Obtenir des mots de passe : Le phishing est utilisé pour amener les victimes à cliquer sur un lien qui les conduit à un site web qui récolte leurs mots de passe. Une fois que les informations d'identification d'une personne ont été volées, les cyber-attaquants peuvent causer beaucoup de dégâts tout en passant inaperçus. Par exemple, les cyber-attaquants envoient des courriels prétendant provenir des banques des gens afin de réutiliser ces identifiants pour accéder aux comptes financiers personnels des gens et y voler de l'argent. Un autre leurre de phishing courant consiste à envoyer des courriels en prétendant qu'ils proviennent de Microsoft afin que les attaquants puissent voler les identifiants de connexion des personnes pour leurs comptes cloud Microsoft 365 liés à leur travail.

b. Faire en sorte que les gens prennent le téléphone : De plus en plus d'attaques de phishing n'ont ni lien ni pièce jointe, mais seulement un numéro de téléphone comme point d'attaque. L'objectif du cyber-attaquant est d'amener la victime à appeler un numéro de téléphone. Une fois que la victime est au téléphone, les cyber-attaquants utilisent des histoires et des émotions pour pousser les gens à faire des actions, comme donner leurs mots de passe, acheter des cartes-cadeaux ou transférer de l'argent de leurs comptes bancaires vers des comptes contrôlés par l'attaquant. Les attaquants ont appris que même si ces attaques demandent généralement beaucoup plus de travail car elles ne sont pas automatisées, elles sont souvent plus réussies et plus rentables car elles peuvent tromper les gens en les privant de leur compte courant, de leur compte d'épargne ou de leur compte de retraite, volant ainsi toutes les économies d'une vie.

c. Les escroqueries : De nombreux courriels d'hameçonnage n'ont pas de lien ou de pièce jointe, au lieu de cela, les messages sont souvent très courts et usurpent l'identité de quelqu'un que la victime connaît ou en qui elle a confiance, comme son patron, un collègue ou un fournisseur avec lequel elle travaille ou fait des achats. Les attaques de type BEC (Business Email Compromise) ou CEO Fraud en sont un exemple courant : les cyberattaquants envoient un courriel urgent à une personne spécifique de la comptabilité fournisseurs en se faisant passer pour un cadre supérieur et en faisant pression sur cette personne pour qu'elle approuve une facture ou un paiement. La personne chargée de la comptabilité croit qu'elle fait ce qu'il faut, sans se rendre compte qu'elle est en train d'approuver un paiement à des cybercriminels.

Lire aussi :  La Grande-Bretagne s'engage à investir 2,5 milliards de livres dans l'informatique quantique

Une façon de déterminer le type d'attaques de phishing auquel ton organisation est confrontée est de vérifier auprès de ton équipe de renseignement sur les cybermenaces, de ton équipe d'assistance par courriel ou de toute personne responsable du filtrage des courriels ou des défenses périmétriques. Si tu disposes d'une solution anti-phishing (telle que Proofpoint), ton équipe de sécurité peut enregistrer et catégoriser le type d'attaques de phishing que ton organisation observe.

Tu trouveras ci-dessous un exemple de rapport réel pour une entreprise réelle, ce rapport a été généré par Proofpoint. Dans ce tableau, nous voyons ce qui suit .

  • 69 % de tous les courriels d'hameçonnage tentent d'emmener la victime sur un site Web pour recueillir des informations. Il s'agit principalement de la récolte de mots de passe, mais il peut aussi s'agir de sites qui comprennent des “enquêtes”.
  • 14% sont des attaques basées sur des imposteurs, cela comprendrait des escroqueries telles que les attaques BEC, les cartes cadeaux, ou les escroqueries de facturation / facture.
  • 8 % sont des attaques de type Telephone Oriented Attack Delivery (TOAD). Il s'agit d'une nouvelle catégorie que Proofpoint a ajoutée en 2023 en raison de l'augmentation de ce type d'attaques de phishing. L'objectif est que la victime appelle un numéro de téléphone.
  • Seuls 9 % de tous les courriels de phishing tentent d'infecter la victime avec un logiciel (via un clic sur une URL ou l'ouverture d'une pièce jointe à un courriel).

Ce qu'il faut retenir ici ? Le phishing n'a plus pour but d'infecter ton ordinateur. L'objectif principal de l'hameçonnage est de voler les informations d'identification des gens (identifiants et mots de passe) afin qu'ils puissent ensuite se connecter en tant que victimes.

En outre, nous constatons que les attaques de phishing basées sur l'imposture (comme BEC) et sur le téléphone continuent d'augmenter. Qui a besoin de voler de l'argent ou des mots de passe quand on peut littéralement les demander. Si tu peux obtenir des rapports comme celui ci-dessus, tu pourras suivre l'évolution des méthodes d'hameçonnage des cyber-attaquants au fil du temps.

Indicateurs d'hameçonnage les plus courants

Que devrions-nous enseigner aux gens pour qu'ils puissent facilement détecter ces attaques en constante évolution ? Nous te déconseillons d'essayer d'enseigner à tes employés tous les types d'attaques de phishing et tous les leurres possibles. Non seulement cela risque de submerger ton personnel, mais les cyberattaquants changent constamment leurs leurres et leurs techniques. Au lieu de cela, concentre-toi sur les indicateurs et les indices d'une attaque les plus communément partagés. De cette façon, ton personnel sera formé et habilité, quelle que soit la méthode ou le leurre utilisé par les cyber-attaquants. En outre, souligne que les attaques de phishing ne concernent plus seulement le courrier électronique, mais utilisent différentes technologies de messagerie. C'est pourquoi les indicateurs ci-dessous sont si efficaces, ils sont communs à presque toutes les attaques de phishing, quel que soit l'objectif et que ce soit par courriel ou par messagerie.

  • Urgence : Tout courriel ou message qui crée un énorme sentiment d'urgence, essayant de pousser la victime à commettre une erreur. Par exemple, un message du gouvernement indiquant que tes impôts sont en retard et que si tu ne paies pas tout de suite, tu finiras en prison. Plus le sentiment d'urgence est grand, plus il est probable qu'il s'agisse d'une attaque.
  • Pression : Tout courriel ou message qui fait pression sur un employé pour qu'il ignore ou contourne les politiques et procédures de l'entreprise. Les attaques de type BEC / CEO Fraud en sont un exemple courant.
  • Curiosité : Tout courriel ou message qui suscite une énorme curiosité ou qui est trop beau pour être vrai, comme un colis UPS non livré ou le fait que tu reçoives un remboursement d'Amazon.
  • Ton : Un courriel ou un message qui semble provenir d'un collègue, mais la formulation ne lui ressemble pas, ou le ton général ou la signature ne sont pas les bons.
  • Générique : Un email provenant d'une organisation de confiance mais qui utilise une salutation générique telle que “Cher client”. Si FedEx ou Apple a un colis pour toi, ils doivent connaître ton nom.
  • Adresse électronique personnelle : Tout courriel qui semble provenir d'une organisation, d'un vendeur ou d'un collègue légitime, mais qui utilise une adresse électronique personnelle comme @gmail.com.
Lire aussi :  Le gouvernement iranien utilise un logiciel malveillant Android pour la surveillance des téléphones portables

Indicateurs de phishing que nous ne recommandons plus

Il s'agit d'indicateurs typiques qui ont été recommandés par le passé mais que nous ne recommandons plus.

  • Fautes d'orthographe : Évite d'utiliser les fautes d'orthographe ou la mauvaise grammaire comme indicateur, dans le monde d'aujourd'hui, tu as plus de chances de recevoir un email légitime avec une mauvaise orthographe qu'une attaque de phishing élaborée. Les fautes d'orthographe deviendront très probablement encore moins courantes à mesure que les cyberattaquants utiliseront des solutions d'IA (Intelligence Artificielle) pour concevoir et examiner leurs courriels de phishing et corriger tout problème d'orthographe ou de grammaire.
  • Le survol: Une méthode couramment enseignée consiste à survoler le lien pour déterminer s'il est légitime. Nous ne recommandons plus cette méthode, sauf pour les publics très techniques. Les problèmes de cette méthode sont qu'il faut apprendre aux gens à décoder une URL, ce qui est une compétence technique déroutante et qui prend du temps.

De plus, de nombreux liens actuels sont difficiles à décoder car ils sont réécrits par des solutions de sécurité contre le phishing telles que Proofpoint. De plus, il peut être difficile de survoler les liens avec des appareils mobiles, l'une des façons les plus courantes dont les gens lisent les courriels. Enfin, si tu formes chaque employé de ton organisation à survoler et à analyser chaque lien de chaque e-mail, c'est un comportement extrêmement coûteux pour ton organisation.

Pour aider ton personnel à mieux comprendre et à se défendre contre ce type d'attaques, voici plusieurs bulletins d'information OUCH que tu peux partager avec ton personnel. OUCH est un bulletin mensuel gratuit de sensibilisation à la sécurité. publié chaque mois par le SANS, dont chaque édition est traduite dans plus de 20 langues.

  • Déclencheurs émotionnels – Comment les cyber-attaquants te piégent
  • Escroqueries aux œuvres de bienfaisance et aux catastrophes
  • Les attaques d'hameçonnage sont de plus en plus rusées
  • Vishing – Attaques et escroqueries par appel téléphonique
  • Attaques d'ingénierie sociale

Pour en savoir plus sur l'exploitation des renseignements sur les cybermenaces, sur la façon de gérer plus efficacement les risques humains et d'obtenir le SSAP, pense à suivre le cours de trois jours SANS MGT433 Managing Human Risk (Gestion des risques humains).

Lance Spitzner est directeur de SANS Sensibilisation à la sécurité Image : iStock

Tu pourrais aussi lire :

Formation de sensibilisation à la cybersécurité pour la direction et les employés:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

  • Individuel £5 par mois ou £50 par an. S'inscrire
  • Comptes multi-utilisateurs, d'entreprise et de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible

” L'innovation en matière de cybersécurité : La NDR rencontre la XDR
Article précédentComment ton conseil d’administration mesure-t-il la cyber-résilience ?
Article suivantUn pirate informatique de Twitter condamné : Un regard sur l’escroquerie au crypto-monnaie de Twitter en 2020 – Dernières nouvelles sur le piratage informatique.
Fabrice Symphorien

ARTICLES CONNEXESPLUS DE L'AUTEUR