Les attaques d’hameçonnage ne sont pas une nouvelle cybermenace, mais les pirates informatiques sont plus ambitieux ces dernières années. Au lieu de cibler les employés de bas niveau, les pirates informatiques intègrent maintenant l’ingénierie sociale pour accéder aux systèmes d’un niveau de direction, en particulier les cadres financiers. Cela signifie des privilèges plus élevés et un accès à des données d’entreprise plus sensibles en cas de succès. Ils peuvent ensuite voler des informations exclusives et les vendre sur le marché noir ou même les vendre à vos concurrents.

Deux nouvelles attaques d’hameçonnage

Le terme « hameçonnage » n’est probablement pas nouveau pour vous, mais avez-vous entendu parler de chasse à la baleine ou d’attaques d’hameçonnage? Ces deux éléments ont été introduits dans le monde des cybermenaces pour cibler les dirigeants d’entreprise.

Les attaques baleinières sont un peu moins ciblées, mais elles utilisent le courrier de masse dans l’espoir d’avoir accès à au moins un dirigeant. Whaling utilise une adresse d’expéditeur usurpée et l’envoie à plusieurs comptes de courriel de cadres. Bien sûr, cela prend du temps pour rassembler une liste de comptes, mais même les adresses électroniques personnelles fonctionneront avec l’hameçonnage si l’attaquant peut accéder aux identifiants de l’entreprise.

Une attaque plus ciblée est appelée attaque par harponnage. Dans ce type d’attaque, le pirate informatique trouve une cible spécifique et utilise l’ingénierie sociale. Il peut s’agir d’appeler la victime et de tenter d’obtenir des identifiants, d’envoyer un courriel ou même d’obtenir un accès physique aux locaux en suivant l’utilisateur dans un bureau après qu’il ait glissé son badge pour ouvrir la porte. Ce dernier est appelé ferroutage.

Comme ces attaques se concentrent sur les dirigeants financiers, elles sont particulièrement gênantes en raison de la nature de l’information à laquelle les dirigeants ont accès. Par exemple, un dirigeant a accès aux relevés de résultats, aux numéros de sécurité sociale, aux dossiers fiscaux et même aux comptes bancaires de l’entreprise.

Comment vous pouvez protéger vos données

Si vous êtes un cadre financier ou même un administrateur de système responsable des systèmes financiers, vous pouvez prendre des mesures pour vous protéger.

Premièrement, la sensibilisation à la sécurité devrait être une priorité chaque année pour tous les employés. La sensibilisation à la sécurité aide à réduire les risques en éduquant les employés sur les signaux d’alarme et les signes de toute tentative d’hameçonnage et d’ingénierie sociale.

Ensuite, effectuez des tests de sécurité réguliers. Par exemple, envoyez un courriel d’hameçonnage et identifiez qui en est victime. Cela peut être un bon exercice pour tout le monde, y compris les cadres, les employés et même le personnel de sécurité.

De nombreux registraires de domaines ont des notifications d’alerte qui vous indiquent si un nom de domaine similaire a été enregistré. De nombreuses tentatives d’hameçonnage sont utilisées sur des domaines similaires au site officiel.

Bien que cela soit coûteux, envisagez d’acheter tous les domaines de premier niveau qui incluent votre marque. Plusieurs domaines personnalisés ont été lancés, mais le fait d’avoir ces TLD élimine une grande partie de l’hameçonnage qui se produit lorsqu’un pirate informatique enregistre votre marque et envoie des courriels en masse.

Enfin, revoyez les procédures de l’équipe des finances pour vous assurer qu’elle suit les meilleures pratiques dans tout type de situation. Assurez-vous simplement que les cadres comprennent qu’ils sont une cible plus importante que les autres employés.