Rappel des bonnes pratiques contre le phishing au temps du COVID-19

Quelques conseils élémentaires, s'ils sont diffusés et appliqués par les employés, peuvent largement réduire le risque et aider à préserver votre organisation et le personnel de ce genre d'attaques.

Les cybercriminels tendent à profiter des crises pour amplifier les résultats de leurs activités. L’épidémie actuelle ne fait pas exception. Partout dans le monde, les organisations constatent et confirment une augmentation des tentatives de phishing formulées en exploitant la peur, l’incertitude et le désir d'obtenir des informations sur le coronavirus via l’utilisation frauduleuse de courriels et de sites web.

Quelques conseils élémentaires, s’ils sont diffusés et appliqués par les employés, peuvent largement réduire le risque et aider à préserver votre organisation et le personnel de ce genre d’attaques.

La situation de confinement met à rude épreuve les équipes de support informatique et d'infrastructure dans le monde entier. Elles sont aujourd’hui débordées par l’augmentation importante et soudaine de travailleurs à distance à prendre en charge et par la nécessité de veiller à ce que les services et les systèmes restent sécurisés et disponibles pour les utilisateurs et les clients.

Cependant c’est bien une période durant laquelle les équipes de sécurité et d'infrastructure doivent être plus particulièrement vigilantes face aux attaques. Suivant un modus opérandi classique, les attaquants envoient des courriels contenant des liens ou des pièces jointes qui prétendent contenir des mises à jour ou des informations légitimes sur l’épidémie. Une fois ouverts, ces messages infectent le poste de travail avec des logiciels malveillants qui peuvent ensuite être exploités à des fins néfastes.

Bon nombre de ces attaques endossent les traits des centres américains de contrôle des maladies ou parfois de l’organisation qu’ils ciblent. (Voir ci-dessous, un exemple de courrier frauduleux conçu pour sembler provenir des services sociaux et de santé américains). 

Pour les employés

Quelques bonnes pratiques simples, faciles à partager et à appliquer peuvent aider chaque employé à participer à la sécurisation de son poste de travail et par extension de toute l’entreprise :

Le premier conseil à suivre et peut-être le plus important : Si vous recevez un courriel d'une entreprise ou d'une organisation concernant des mises à jour sur le virus COVID-19, évitez de cliquer sur les liens qu’il contient. Il est statistiquement très probable qu’il s’agisse d’un courriel frauduleux.

Ensuite, lorsque vous consultez vos courriels, il est impératif de les évaluer en prenant en compte les indicateurs suivants pour détecter les tentatives d'hameçonnage. Leur cumul au sein d’un même message est souvent un signe fort de tentative de fraude.

Fausses adresses : Soyez prudent lorsque vous voyez un courriel provenant d'un domaine qui ne vous est pas familier.

Demandes d'informations personnelles : Comme votre numéro de sécurité sociale, votre carte de crédit ou votre numéro de compte bancaire.

Demandes de paiement : Les sollicitations qui comprennent une demande de paiement dans le cadre d'un message d'accueil initial, en particulier une demande de bitcoin, sont probablement des tentatives d'hameçonnage.

Des invitations à télécharger des documents ou des fichiers : Les fichiers peuvent contenir des logiciels malveillants qui capturent les saisies faites au clavier ou les mouvements de la souris. Ne téléchargez jamais de documents de cette manière, sauf si vous êtes certains que la source est légitime.

Voici quelques exemples qui peuvent aider les employés à mieux cerner les formes que peuvent prendre ces attaques :

  • Une page de suivi en direct de l’épidémie qui prétend venir de l’AP-HP mais qui renvoie sur un autre domaine internet.
  • Un courriel de votre banque locale avec un lien pour activer un prêt à 0% de financement (ne cliquez pas sur le lien, n'appelez pas ou ne visitez pas le site web du commerçant)
  • Une agence gouvernementale qui demande des informations personnelles prétendant lutter contre l’épidémie

Pour les équipes dirigeantes et IT

La formation des employés, même si elle est primordiale dans la lutte contre les attaques, ne suffit pas. Pour amplifier son effet, dans son livre blanc « Best Practices for Protecting Against Phishing, Ransomware and Other Email Fraud », Osterman Research suggère de porter une attention particulière sur les points suivants.

  • Le partage excessif d'informations personnelles ou internes à l’entreprise sur les médias sociaux donne ainsi aux cybercriminels la possibilité de cibler avec plus de succès leurs proies en endossant l’identité d’employés spécifiques dans l’entreprise. Cela est particulièrement vrai pour les personnes qui occupent un rang élevé dans la hiérarchie ou qui ont accès à des informations sensibles et effectue des actions clés telles que la validation des paiements.
  • Mettre en place des "canaux secondaires", c'est-à-dire des réseaux de communication alternatifs pour tout employé qui s'occupe de finances ou de données importantes, afin qu'il puisse vérifier les demandes sensibles (par exemple, une demande de transfert d'argent de la part du PDG). Il peut s'agir d'un numéro qui peut être utilisé pour envoyer un SMS ou passer un appel téléphonique même si le PDG est en vacances, ou d'une personne désignée dans le bureau qui a la capacité de vérifier la véracité des demandes qui semblent provenir des dirigeants.
  • Maintenez les logiciels et les systèmes d'exploitation à jour afin de réduire le risque qu'une faille connue infecte un système avec un logiciel malveillant. Les services informatiques peuvent aider en prenant en charge cette fonction pour les employés.
  • Veillez à ce que chaque employé maintienne la meilleure protection possible sur ses appareils personnels s'il y a une chance que ces appareils accèdent aux ressources de l'entreprise comme le courrier électronique ou les bases de données. Cela inclut les ordinateurs et les appareils personnels des employés s'ils accèdent aux ressources de l'entreprise en voyage ou depuis leur domicile.
  • Utiliser l'audit et la détection des menaces avec historique et en temps réel pour réduire le potentiel d'infection en protégeant contre l'accès à des domaines dont la réputation est mauvaise et qui sont donc plus susceptibles d'être utilisés par les cybercriminels pour le phishing, les logiciels de rançon, le spear phishing et d'autres types d'attaques.
  • Utilisez des solutions d'analyse comportementale pour examiner les schémas de comportement normaux des employés dans une organisation et, lorsqu'une divergence est constatée, une exception est relevée pour une enquête plus approfondie ou l'accès est immédiatement bloqué.

En combinant une formation rapide et l’application de bonnes pratiques plus pointues, vous pouvez largement réduire voire espérer bloquer les attaques d’hameçonnage et leurs variantes au sein de l’entreprise et ainsi pouvoir vous concentrer sur les sujets les plus pressants qui apportent de la valeur.