Les astuces d’ingénierie sociale sont en hausse. Les pirates informatiques ne ciblent plus des victimes aléatoires. Ils ciblent les PDG, les directeurs financiers ou toute personne ayant le pouvoir de transférer de l’argent ou d’accéder à des données sensibles, comme un comptable. Il faut beaucoup plus de conviction que les courriels standard ciblant des utilisateurs aléatoires. Les pirates informatiques se tournent maintenant vers des appels téléphoniques plus effrontés et de l’ingénierie sociale qui convainquent les dirigeants de transférer de l’argent sur leurs comptes.
L’attaque du faux boss
Les administrateurs informatiques éduquent toujours les utilisateurs sur les dangers des attaques d’hameçonnage. Les utilisateurs sont le plus grand risque d’une organisation informatique. La sensibilisation à la sécurité et l’antivirus ne peuvent pas faire grand-chose. Les administrateurs informatiques doivent toujours tenir compte des employés qui exécutent un exécutable joint à un courriel ou de l’employé qui saisit des noms d’utilisateur et des mots de passe sensibles dans un formulaire de site Web d’hameçonnage.
Cependant, les attaquants utilisent maintenant des menaces plus ciblées pour inciter les dirigeants à leur envoyer de l’argent. Par exemple, le comptable d’une entreprise bien établie de 75 ans, Etna Industrie, est récemment tombé dans le piège d’une de ces attaques ciblées. Le comptable a reçu un appel d’un inconnu qui a dit que le président d’Etna Industrie appellerait pour autoriser une transaction. Le pirate a ensuite usurpé un courriel du président et a demandé au comptable de transférer de l’argent sur un compte bancaire spécifique.
Si le comptable avait été un informaticien, il saurait que la prochaine étape consiste à vérifier les en-têtes des courriels pour s’assurer que les courriels sont authentiques. Mais comme la plupart des utilisateurs moyens ne savent pas comment vérifier les en-têtes des courriels, il a vu l’adresse « De » et a transféré l’argent. Il a effectué trois transactions totalisant 500 000 euros. Heureusement, trois de ces transferts ont été effectués à la banque, mais un d’un montant total de 100 000 euros a été effectué. L’attaque a été couronnée de succès et la comptable a dû expliquer la question au président après ses vacances.
Que peuvent faire les TI?
Lorsque les messages passent par les serveurs de messagerie, les premiers à blâmer sont les administrateurs. La meilleure façon d’atténuer les risques dans l’entreprise est d’offrir une formation de sensibilisation à la sécurité à vos utilisateurs. Cela peut se faire dans un contexte de groupe ou à l’aide de la documentation intranet.
Une autre façon d’éviter les risques est d’utiliser des systèmes de filtrage des courriels. Il existe de nombreuses règles et options de filtrage, donc avoir une application qui fonctionne avec votre serveur de messagerie est beaucoup plus efficace. Cela réduit le risque que vos filtres contiennent trop de faux positifs. Les faux positifs empêchent vos utilisateurs de recevoir des courriels, ce qui nuit essentiellement aux performances de l’entreprise.
La meilleure défense est le bon sens. Dans l’exemple d’Etna Industrie, le pirate informatique était insistant et agissait comme si la transaction était urgente. Il est courant que les pirates informatiques fassent en sorte que la victime se sente pressée, afin qu’elle n’ait pas le temps de penser aux répercussions. Les employés doivent être informés des répercussions et de la liberté de poser des questions avant d’effectuer des opérations ou des transferts sensibles.
Vous ne pouvez pas garantir qu’aucun utilisateur ne tombera dans le piège des attaques d’ingénierie sociale, mais les sensibiliser aux techniques courantes réduit considérablement le risque qu’ils (et l’entreprise) soient à risque.
