Nous sommes tous passés par là : commencer un nouvel emploi peut être très éprouvant. Vous devez apprendre à connaître de nouveaux systèmes, retenir le nom de vos nouveaux collègues et mémoriser beaucoup d'informations pratiques sur l'entreprise. Après une journée fatigante passée à rencontrer tout le monde et boire de nombreuses tasses de café, vous devrez allumer votre ordinateur portable pour la première fois, utiliser de nouvelles applications et choisir de nouveaux identifiants de connexion pour tous les logiciels avec lesquels vous allez travailler. C'est le moment idéal pour envoyer un e-mail d'hameçonnage qui vous incite à saisir votre mot de passe sur un site malveillant ! Que l'e-mail ait été envoyé à partir d'un domaine complètement différent de celui de votre entreprise ou que Karen Smits ne fasse pas du tout partie de vos collègues, ça, vous l'avez rapidement oublié…
Un jeu psychologique
L'hameçonnage (phishing) est un moyen bien connu d'extraire des informations d'une personne à son insu. La tromperie incite la victime à saisir des informations telles que des données de connexion sur un site Web contrôlé par l'attaquant. Ces données peuvent être utilisées pour se connecter au compte de la victime et accéder ensuite aux systèmes informatiques, aux fichiers ou aux comptes d'autres utilisateurs.
Méthode
De nos jours, on peut trouver beaucoup d'informations sur quelqu'un sur internet. Les criminels peuvent facilement trouver qui est votre employeur actuel sur votre profil LinkedIn. Ils utilisent ce type d'informations pour alimenter des e-mails d'hameçonnage. En outre, ces informations peuvent être utilisées pour identifier les nouvelles personnes arrivées dans l'entreprise en surveillant la liste des employés. Il est assez facile de trouver l'adresse e-mail d'un nouvel employé : la structure des adresses électroniques (par exemple initial.lastname@domain.com) se trouve facilement sur le site Web d'une entreprise, par exemple sur la page « contact » ou dans les articles de blog.
L'envoi d'un e-mail d'hameçonnage a de grandes chances de réussir, surtout auprès des nouveaux employés. Lorsque vous venez d'être embauché(e), il est logique de devoir vous connecter à toutes sortes de services pour la première fois et de ne pas connaître encore tous les noms et postes de vos collègues. Il est donc plus facile pour les attaquants de rédiger un e-mail qui semble authentique. La corrélation des informations par le biais d'informations publiques et de « déductions » permet de créer un e-mail dont l'apparence est difficile à distinguer de véritables e-mails. Par exemple, les nouveaux employés ne remarqueront probablement pas que l'expéditeur de l'e-mail travaille dans un département complètement différent de l'entreprise.
Mesures
Il existe plusieurs mesures qui compliquent l'hameçonnage :
- En particulier pour les nouveaux employés, il est important d'inclure la sensibilisation à la cybersécurité dans le processus d'intégration Pour ce faire, abordez des questions telles que : Comment se passe la communication au sein de l'entreprise ? Qui pouvez-vous contacter si vous avez des doutes sur un e-mail reçu ? Que devez-vous faire si vous pensez avoir saisi vos coordonnées sur un site douteux ? Quelles sont les mesures mises en place par l'entreprise pour lutter contre les incidents de cybersécurité ?
- En outre, il est important de mettre en place une authentification multifactorielle (MFA) pour tous les utilisateurs. Par exemple, cela signifie qu'en plus d'un mot de passe, vous avez également besoin d'un code provenant de votre téléphone pour vous connecter. Il est ainsi beaucoup plus difficile pour les cybercriminels de pirater un compte, car une deuxième étape est toujours requise en plus du mot de passe.
- Utilisez un gestionnaire de mots de passe. Ainsi, une étape supplémentaire est nécessaire pour saisir les informations d'identification sur un site Web frauduleux, alors qu'elle n'est pas nécessaire sur le site légitime.
- Astuce technique : envoyez un avertissement aux utilisateurs chaque fois qu'ils reçoivent un e-mail provenant d'une adresse extérieure à l'entreprise. Pour les utilisateurs de Microsoft 365, ce paramètre peut être défini via Microsoft Exchange. Combinez cela avec une politique DMARC qui empêche les cybercriminels d'envoyer des e-mails au nom de l'entreprise.
Conclusion
Soyez conscient des informations que l'on peut trouver en ligne sur les gens et de l'usage que des personnes malveillantes peuvent en faire. Intégrez la sensibilisation à la cybersécurité dans l'accueil des nouveaux employés et proposez régulièrement des formations et des campagnes contre l'hameçonnage. Vous avez des questions sur ce sujet ? Vous avez besoin d'aide pour réorganiser la culture de la cybersécurité au sein de votre entreprise ? Envoyez-nous un e-mail à l'adresse info@eye.security.
