Aller sur la page d'accueil Aller sur la page de recherche Aller sur la page contact Aller sur la page de connexion à son compte
Aller sur le compte Facebook Aller sur le compte Linkedin Aller sur le compte twitter Aller sur le compte Vimeo
S'abonner à la lettre du risque

Newsletter

Produits

{{{name}}}

Services

{{{name}}}

Fabricants

{{{name}}}

Experts

{{{name}}}

Fiches pratiques

- {{{name}}}

Actualités

- {{{name}}}

Normes

- {{{name}}}

Solutions

- {{{name}}}

Accueil > Actualités et normes > Les tentatives de phishing ne sont pas près de s’arrêter...

Croix pour fermer

Risques informatiques

Les tentatives de phishing ne sont pas près de s’arrêter...

Publié le

Levez le doigt si vous avez déjà reçu l'un de ces messages :

« Messieurs,
Une personne portant le même nom de famille que vous est décédée la semaine dernière au fin fond du Pérou. Vous êtes le seul parent que nous avons pu trouver et nous aimerions donc connaître votre date de naissance, vos coordonnées bancaires, le nom de jeune fille de votre mère, votre numéro de CNI et votre code PIN, afin de pouvoir vous envoyer les 20 000 000 € dont vous avez hérité.
Merci beaucoup
»

Il y a quelques années de cela, j'ai échangé quelques emails avec un pirate peu sophistiqué qui a tenté d'obtenir certaines de mes coordonnées bancaires, alors que j'étais en train de m’ennuyer chez moi pendant mon congé maternité. Au bout d’un long échange d’emails inspirés des Timewaster Letters, qui s’est terminé par l'envoi d'une photo de mon empreinte digitale (il m'avait demandé mon numéro de carte d'identité), il m'a laissée tomber et est sans doute passé à une autre cible sans méfiance.

Cette aventure m'a fait réfléchir à la raison pour laquelle quelqu’un passerait du temps à mener manuellement une campagne de phishing qui a probablement un taux de conversion de 0 %.

Peut-être en fait regardons-nous ces campagnes sous le mauvais angle. En nous berçant d'un faux sentiment de sécurité selon lequel les systèmes de phishing seront toujours grossiers et manifestes, nous risquerons davantage de commettre des erreurs lorsque nous seront confrontés à des tentatives sophistiquées qui auront plus de chances de nous duper plus facilement.

En fait, le phishing n'est qu'une des dimensions de l'art extrêmement dangereux du détournement de messagerie professionnelle (BEC, Business Email Compromise). Ces détournements coûtent à l'économie mondiale plus de 26 milliards de dollars selon le FBI. Grâce à une combinaison de tentatives de phishing, de logiciels malveillants sophistiqués et d'usurpation de domaines, des criminels peuvent facilement soutirer d'énormes sommes d'argent aux entreprises, en restant invisibles jusqu'à ce qu'il soit trop tard.

Les méthodes d'ingénierie sociale sont de plus en plus efficaces, et les criminels déguisés sont de plus en plus audacieux dans leurs tentatives de voler l’argent des entreprises. La sécurité intégrée à la messagerie est inutile lorsque les criminels sont suffisamment sophistiqués pour contourner les méthodes d'apprentissage machine.

Un client avisé de Check Point, que nous appellerons Acme Logistics, réalise un chiffre d'affaires de plusieurs dizaines de millions de dollars par an et utilise à la fois la sécurité intégrée d'Office 365 et un prestataire de services de sécurité pour la messagerie dans le Cloud.

Acme Logistics entretient une relation de longue date avec le fournisseur « Acme Vehicles », et doit lui verser un paiement de 700 000 dollars pour l’achat de nouveaux équipements. Le directeur financier d'Acme Logistics a reçu un email quelques jours avant le paiement, de la part d'un responsable de compte d’Acme Vehicles, citant le numéro de commande et de facture en question, demandant que les fonds soient versés sur un nouveau compte bancaire. Cet email a contourné la sécurité dans le Cloud (ce qui, soit dit en passant, rend inutile la couche de sécurité de Microsoft de mettre sur liste blanche les adresses email jugées sûres).

Pendant ce temps, le responsable informatique d'Acme Logistics a, par chance, décidé d’évaluer la solution CloudGuard SaaS. L’un des moteurs de prévention des menaces a signalé cette menace d'apparence inoffensive comme étant une attaque de type « zero day ». Une inspection plus approfondie a révélé qu'au lieu de correspondre avec un gestionnaire de compte d’acmevehicles.com, le directeur financier correspondait avec un individu fictif d’acmevehicels.com (notez l'orthographe différente de « vehicles »).

Un membre de la direction, sans méfiance, comptant toutefois sur la sécurité intégrée à sa messagerie, est passé à deux doigts de transférer 700 000 dollars sur le mauvais compte bancaire.

Cet exemple n'est qu'un des nombreux cas de phishing que nos équipes rencontrent régulièrement chez nos clients. Cette attaque a certainement commencé par la prise de contrôle d’un compte, qui a permis aux pirates d’espionner les correspondances avant d'enregistrer le faux domaine et de lancer ensuite l'attaque de phishing. Lorsqu'il est orchestré à cette échelle, avec autant de préméditation et de précision, ce type d'attaque de phishing contre un membre de la direction d’une entreprise s'appelle une attaque de « chasse à la baleine ». En cas de réussite, c’est une prise énorme pour les pirates.

Ces cas particuliers, d'un client qui a déjà mis en place des mesures de sécurité, nous rappelle avec humilité que toutes les tentatives de phishing ne visent pas uniquement les utilisateurs peu avertis. En fait, ces tentatives grossières renforcent les campagnes plus vastes d'ingénierie sociale qui ont pour objectif de nous faire baisser notre garde dans un monde de plus en plus connecté. C'est également un signal fort qui montre comment la prise de contrôle des comptes est un élément clé qui sert aux pirates à déclencher des campagnes efficaces de phishing.

Tandis que nous recherchons les méthodes les plus efficaces pour protéger nos systèmes de messagerie contre les tentatives de phishing et la prise de contrôle de comptes, il est important de garder à l'esprit qu'une approche multicouche pour la sécurité de la messagerie est essentielle. Mais si une des couches rend la couche suivante totalement inefficace... alors il est probablement temps de réviser votre méthodologie et votre architecture de sécurité.

Vous vous demandez pourquoi en 2020 il est encore question de sécurité de la messagerie ? Consultez notre récent article de blog sur la sécurité de la messagerie. Dans un prochain article, nous examinerons les différents types de sécurité disponibles pour la messagerie, et évaluerons les avantages et les inconvénients de chacun.

Réagissez en laissant votre commentaire !


Partagez sur les réseaux sociaux

Inforisque sur Facebook Inforisque sur Linkedin Inforisque sur Twitter Inforisque sur Vimeo

Les dernières actualités

Image Général

30
Mars
2020

Général

COVID-19 : Point sur le dispositif d’activité partielle

Lire la suite
Image Risques pour l'Homme au travail

30
Mars
2020

Risques pour l'Homme au travail

L’utilisation des solvants organiques est impactée par la nouvelle rubrique ICPE

Lire la suite
Image Institutionnels

30
Mars
2020

Institutionnels

Covid-19 et sécurité au travail : le ministère publie des fiches par secteur d'activité

Lire la suite

Les derniers produits