Après la période de crise sanitaire que nous venons de passer, la plupart des collaborateurs ont repris le chemin des bureaux. Cette période nous a permis de développer le télétravail. En effet, plusieurs entreprises ont décidé sur plus ou moins long terme d’accorder des temps de télétravail à leurs collaborateurs. Cependant, les collaborateurs étant à distance, une hausse des cyberattaques est possible. Ainsi, selon Orange Cyberdéfense, les cyberattaques ont augmenté de 20 à 25% depuis le début de l’épidémie de COVID 19 (au mois de mars). Parmi elles, le phishing semble se positionner comme l’une des principales menaces.
Qu’est-ce que le Hameçonnage/Phishing
L’hameçonnage/phishing est une technique utilisée par les fraudeurs pour obtenir des informations personnelles. Le moyen utilisé est l’usurpation d’identité. En effet, l’attaque repose le plus fréquemment sur la contrefaçon d’un site internet et d’un mail (celui d’une banque, d’un site marchand, d’une administration, etc.).Le fraudeur tente généralement d’entrer en contact avec sa cible avec un mail ayant un objet alarmiste : « Votre compte va expirer », « Vous venez d’effectuer un achat », etc. Ces mails semblent venir d’une source fiable et de confiance pour la cible (banque, impôts, administration, opérateur téléphonique, etc.) et invitent à télécharger une pièce jointe présentée souvent comme une facture ou à cliquer sur un lien renvoyant vers un site contrefait.
Les différentes formes de phishing dont une entreprise peut être victime
Il existe de très nombreux types d’attaques, qui évoluent avec le temps et les technologies disponibles, et qui peuvent être plus ou moins élaborés en fonction de la cible, et de l’enjeu.En effet, il existe des attaques ciblées, avec des moyens spécifiques mis en place pour piéger la ou les victimes, et des attaques « de masse », pour obtenir un faible pourcentage de réussite en attaquant un très grand nombre de victimes.
Le phishing est un type d’attaque particulier qui tente de récupérer des informations sur votre entreprise, sur vous, ou toute information sensible. Évidemment les pirates essayent en priorité de dérober de l’argent, mais pas que… cela peut aussi être un compte qui a un accès à des documents confidentiels, des relations sur les réseaux sociaux, etc.
Quelques attaques de type phishing:
La contrefaçon d’un site Internet
Il n’est pas rare de se faire hameçonner à cause d’un site internet contrefait. Ces derniers touchent en priorité les établissements bancaires et les sites d’e-commerce. L’une des pratiques les plus utilisées est le domaine dit « typosquatté ». Dans ce cas, le nom d’un site à fort trafic est mal orthographié. Attention, le petit cadenas vert présent dans le navigateur, lorsque vous faites un achat par exemple, garanti simplement que la communication entre votre navigateur et le site est chiffrée, mais en aucun cas que le site est « de confiance ».
Les emails d’alerte
Tout comme les sites Internet, les emails peuvent être détournés dans le but d’hameçonner les utilisateurs. Il n’est pas rare que le nom d’une entreprise ou d’une institution soit détourné. Ces emails peuvent prendre un caractère alarmiste. Les objets de ces emails peuvent par exemple être « Votre compte expire bientôt » ou « Veuillez confirmer votre identité ».Les emails frauduleux peuvent aussi provenir d’une source de confiance théorique comme la CAF, l’Assurance Maladie ou encore le Centre des Impôts.
Pour les entreprises, cela peut être un FAI tel que Orange ou Free, un prestataire de nom de domaine type OVH, ou tout autre organisme lié à un service de la société, qui peut aisément être récupéré.Dans le même esprit, le « spear phishing » vise une personne ou une entreprise en particulier dans le but bien sûr de le faire cliquer sur un lien contenu dans l’email reçu puis de lui voler des données. Nous sommes donc dans le cadre d’une attaque ciblée.Les fonctions clés des entreprises sont visées, grâce à Linkedin et Viadeo par exemple, avec les DAF, RAF, Comptables, DG, PDG, DSI, etc.
Les autres types de phishing
Parmi les autres attaques de phishing, il y aussi la récupération d’informations d’identification. Pour y parvenir, les cybercriminels créent de faux portails d’identification ou redirigent le trafic d’un site vers un autre. Dans d’autres situations, les fraudeurs utilisent les profils de proches pour gagner la confiance de leurs victimes et dérober des informations sensibles. On appelle cela le « smishing » si des SMS sont utilisés ou des « wishing » quand les cybercriminels passent par l’application WhatsApp.
En cas de phishing, il faut agir vite ! Le premier réflexe à avoir est de contacter son ou ses établissements bancaires. Il est aussi possible de dénoncer la fraude sur la plateforme PHAROS et déposer une pré-plainte en ligne.Le délit est puni par la loi, les fraudeurs risquent une peine pouvant atteindre 5 ans d’emprisonnement et jusqu’à 350 000 € d’amende.
Comment reconnaître une tentative de phishing ?
Pour reconnaître une tentative de phishing, il faut être attentif aux liens défectueux, aux alertes de votre antivirus, aux fautes d’orthographe et aux emails qui ne sont pas nominatifs.Il faut être particulièrement vigilant sur le l’adresse du site (https://….) mentionné dans l’email suspect et ne pas hésiter à le comparer avec le site officiel de l’organisme concerné. Par exemple dans le cas d’une banque, le lien frauduleux sera https://www.mabanque.csite.ko au lieu de https://www.mabanque.com
Pour les utilisateurs plus avancés, l’entête détaillée du mail est également riche en information car elle indique le cheminement suivi par le mail sur les différents serveurs d’internet. En général c’est un faisceau d’indices qui mettent la puce à l’oreille, et non pas un seul élément. La règle d’or, ne jamais cliquer sur un lien si on a le moindre doute !Le contexte est important, en cas de doute n’hésitez surtout pas à solliciter votre service informatique.
Le risque d’hameçonnage est-il plus élevé en télétravail ?
Le télétravail a rendu les échanges électroniques plus présents, et a encore accru le risque de cyberattaque au sens large.Dans un rapport de juin 2020 (Mobile Phishing Spotlight Report), Il apparaît que les attaques de type phishing sur les terminaux mobiles en entreprise ont bondi de 37% sur le premier semestre de l’année. Passant de l’entreprise au domicile, les télétravailleurs ont utilisé leurs mobiles et n’ont plus été protégés par les infrastructures de sécurité internes de leur entreprise, et les cybercriminels le savent. Il n’est pas étonnant dans ces conditions que les malfaiteurs se soient aussi intéressés aux mobiles. De leur point de vue, le phishing mobile est souvent le moyen le moins cher de compromettre un individu ou une organisation.
L’usage de terminaux « hors de contrôle » du service informatique est un facteur de risque aggravant, car la sécurité n’est pas gérée, et elle peut être trop faible, voire inexistante. L’autre risque est le contrôle de l’identité de l’usager, en cas de vol d’informations, les connexions distantes sur le Système d’Information ne peuvent pas être identifiées comme illégitimes. Une authentification à deux facteurs permet de renforcer la sécurité du Système d’Information en télétravail, mais n’empêche en rien le phishing à proprement parler.
___________________
Par Stephane Prunier, Responsable BU infra & Cloud du Groupe Ténor