Quiconque dirigeait la campagne de courriels de HHonors le mois dernier avait clairement vérifié, du moins mentalement. Le programme de fidélité des hôtels Hilton a envoyé un message demandant aux membres de confirmer leurs coordonnées en se connectant à leur compte et en mettant à jour les informations. Bien que les intentions soient honnêtes, la prémisse sentait mauvais… « Phishy ».

La configuration d’un courriel d’hameçonnage est familière même à ceux qui travaillent à l’extérieur des TI et de la cybersécurité : il suffit de cliquer sur un lien pour mettre à jour ou fournir des renseignements personnels. De nombreux utilisateurs de courriels non vigilants ont mordu à l’hameçon et ont été impliqués dans un piratage, un logiciel malveillant et une violation de données. Dans ce cas, les membres se sont rendus sur les médias sociaux pour informer Hilton de leurs préoccupations, mais le courriel était si effectivement « faussement frauduleux » que le propre Twitter de HHonors a prétendu qu’il s’agissait d’un faux et a conseillé aux clients de ne pas l’ouvrir. Signal : grincer des dents.

Avec le recul, le prénom de la personne, son niveau d’adhésion à Hilton HHonors et le nombre de points de fidélité acquis en haut du courriel indiquaient qu’il était authentique. Cependant, comme le souligne l’expert en cybersécurité Lenny Zeltser, il est relativement facile d’acquérir des prénoms; Pour un pirate informatique qui a un peu de temps pour faire des recherches, le niveau d’adhésion peut être deviné avec un haut degré de succès; et il est peu probable que le destinataire connaisse son nombre de points à l’avance pour vérifier rapidement le montant indiqué.

Les stratagèmes d’hameçonnage plus détaillés et personnalisés sont également en hausse. Connus sous le nom d’hameçonnage, ces courriels très ciblés semblent généralement provenir d’une personne que le destinataire connaît ou d’une personne ou d’une entreprise en qui il a confiance (contrairement aux attaques d’hameçonnage régulières, qui jettent un large ratissage avec plusieurs cibles et espèrent en attraper une). Les attaques d’hameçonnage ont augmenté de 55% en 2015, ciblant principalement le secteur des services financiers et les petites entreprises.

Cependant, le plus gros problème avec l’incident de HHonors est que les organisations légitimes qui envoient des (mauvaises )communications comme celle-ci apprennent aux clients à accepter des courriels frauduleux. À son tour, il brouille encore plus la frontière entre l’authentique et l’attaque, essentiellement en pagayant hors du bateau, en lançant la ligne et en battant une bière pour les pirates informatiques d’hameçonnage.

Bien que les membres aient été suffisamment vigilants et diligents pour signaler les courriels à Hilton, ce n’est pas toujours le cas. Un chiffre de Duo Security montre qu’en milieu de travail, un tiers des employés seront probablement la proie d’attaques d’hameçonnage, ce qui exposera leur entreprise à des dommages massifs.

Une étude récente très médiatisée de l’Université Friedrich-Alexander (FAU) montre également que plus de 50% des gens cliqueront sur un lien inconnu par curiosité. Le groupe de recherche a simulé une escroquerie par hameçonnage en envoyant 1 700 messages par Facebook et par courriel aux participants. Environ la moitié d’entre eux ont cliqué sur le lien bien qu’ils ne connaissent pas l’expéditeur, y compris ceux qui prétendent être conscients du danger.

« Les résultats globaux nous ont surpris, car 78% des participants ont déclaré dans le questionnaire qu’ils étaient conscients des risques des liens inconnus », a déclaré Zinaida Benenson, qui a dirigé l’étude.

Aucun mot sur le chat, mais la curiosité peut certainement tuer votre compagnie.

Selon Bloomberg, l’attaque massive de Sony en 2014, le récent fiasco entourant le système de courriel du Comité national démocrate américain et, très probablement, le braquage de 81 millions de dollars à la Banque du Bangladesh qui a mis en lumière les failles de sécurité dans le réseau de données de virement bancaire SWIFT étaient tous le résultat d’attaques d’hameçonnage. Il est probable qu’un utilisateur sans méfiance ait cliqué sur un lien et que les pirates aient instantanément accès à leur réseau pour l’infecter avec un logiciel malveillant.

Grâce à leur nature basée sur les erreurs sociales et humaines, les piratages d’hameçonnage sont souvent capables de contourner de nombreux programmes audiovisuels. En fin de compte, le meilleur outil disponible pour les combattre est l’éducation – pour former les employés ou les utilisateurs à reconnaître et à minimiser les risques. Et ce n’est pas facile. En décembre dernier, un faux courriel d’hameçonnage a été envoyé à 466 policiers de Berlin pour leur demander leurs mots de passe dans un « stockage sécurisé des mots de passe de la police de Berlin ». Plus de 250 ont cliqué sur le lien et 35 d’entre eux ont fourni leurs identifiants.

Lorsque des organisations légitimes comme Hilton envoient de manière irresponsable des courriels qui semblent frauduleux, cela contrecarre toute formation que les gens pourraient avoir reçue et les expose à des attaques d’hameçonnage et d’hameçonnage. La prochaine étape consiste peut-être non seulement à former les employés et les utilisateurs à reconnaître les risques, mais aussi à enseigner aux professionnels des communications et du marketing à ne pas les perpétuer.