Entreprises piratées par le biais d'un seul e-mail. Sommes d'argent incroyables volées ou payées en rançon. Tout cela parce qu'un employé a cliqué sur un lien malveillant. Malheureusement, les attaques par hameçonnage touchent de nombreuses entreprises chaque année. Elles sont difficiles à éviter, mais apprendre à connaître chaque type d'attaques par phishing vous aidera à les repérer avant qu'il ne soit trop tard. Examinons donc la question de l'harponnage.
Contenu
Comment fonctionne une attaque par harponnage ?
Lorsqu'un attaquant veut voler de l'argent à une entreprise ou installer des logiciels malveillants dans ses systèmes, il est susceptible de cibler le maillon le plus faible : ses employés. Il choisit une personne qui a assez de pouvoir et de capacité d'accès au sein de l'entreprise et essaient d'en savoir le plus possible sur elle.
Cela peut se faire via ses réseaux sociaux ou ceux de ses amis. Les tweets, les stories Instagram publiques et les balises de géolocalisation peuvent tous être très pratiques lorsqu'on cherche à créer le profil de quelqu'un. Même le site Web de l'entreprise peut être une source utile, sans parler de ce qu'un attaquant pourrait découvrir en écoutant la communication en ligne de sa cible.
Une fois qu'il connaît bien la personne, il peut l'imiter dans les messages par e-mail qu'il envoie à ses collègues. Il peut également écrire à la cible, en faisant semblant d'être un client important et en demandant des faveurs ou des travaux mineurs à réaliser.
Ce ciblage sélectif est la raison pour laquelle ce type d'attaque est appelé harponnage. Comme un pêcheur qui utilise un harpon pour attraper un gros poisson, l'attaquant utilise une ingénierie sociale personnalisée pour inciter une personne à faire quelque chose.
Harponnage et hameçonnage
L'hameçonnage est l'attaque d'ingénierie sociale la plus courante. Une attaque par hameçonnage ordinaire s'adresse au grand public, aux personnes qui utilisent un service particulier, etc. Les attaquants envoient des centaines, voire des milliers d'e-mails, s'attendant à ce qu'au moins quelques personnes répondent. La plupart d'entre eux sont mal écrits, avec des polices étranges et sont bourrés de fautes de frappe.
L'harponnage, en revanche, implique des recherches et beaucoup de préparation. Les attaquants ciblent une personne en particulier, de sorte qu'ils passent plus de temps à rendre leur e-mail d'harponnage réel. Ces contrefaçons sont si bien conçues qu'elles peuvent être difficiles à repérer, même pour un professionnel, sans parler des personnes qui doivent consulter des dizaines d'e-mails chaque jour. Cette tactique est plus difficile à mettre en œuvre que les tentatives d'hameçonnage ordinaires. Mais si le pirate réussit, il obtient toutes les informations et l'accès dont il a besoin pour finaliser son attaque.
Exemple d'harponnage
Imaginez que vous recevez un e-mail professionnel de ce type : « Bonjour Susie, pourriez-vous vous occuper de cette facture pour moi ? Merci ! » Si vous vous appelez Susie, vous gérez souvent les factures de l'entreprise et votre patron termine toujours ses e-mails par un « Merci ! », vous téléchargez la facture jointe et transférez l'argent.
Vous pourriez découvrir qu'il s'agissait d'un faux e-mail quelques heures plus tard ou même le lendemain, mais cela ne vous ramènera pas l'argent de l'entreprise. L'attaquant aura surveillé les e-mails de votre patron, a découvert qui était responsable des factures, l'adresse e-mail de cette personne, son nom et a écrit une lettre, copiant parfaitement le ton du patron en question. Il aura usurpé le nom de l'expéditeur et l'aura envoyé. La seule chose qui aurait pu le révéler était l'adresse e-mail. Cependant, les gens ne le vérifient généralement pas dans chaque message qu'ils reçoivent.
Comment éviter l'harponnage ?
Les entreprises et les organisations sont les cibles les plus courantes d'attaques par harponnage. Toute entreprise peut faire plusieurs choses pour atténuer le risque d'harponnage. Mais l'essentiel réside dans la formation du personnel.
Que vous externalisiez vos opérations informatiques ou que vous ayez un service informatique interne, parlez aux personnes responsables de vos systèmes de messagerie. Examinez les mesures et outils standard tels que les filtres anti-spam, les antivirus et les filtres de navigateur. Ne pas cliquer, ne pas télécharger et d'autres impératifs de cet ordre ne sont pas une option fiable si vous traitez plusieurs factures chaque jour. Essayez donc de changer le processus. Par exemple, demandez à au moins deux personnes de confirmer toute transaction financière avant d'envoyer l'argent.
De même, les entreprises devraient dans la mesure du possible encourager leurs employés à utiliser l'authentification à deux facteurs. De cette façon, même si un mot de passe fuite, le compte qui lui est associé reste sûr, car l'attaquant ne pourra pas y accéder sans le deuxième facteur. Cela peut demander un certain temps d'acclimatation, en particulier pour les employés les moins technophiles, mais cela en vaut la peine à long terme. Vous pouvez être assuré que même si quelqu'un est trompé par un e-mail d'hameçonnage, les comptes de l'entreprise resteront sûrs.
Une autre dimension importante : la culture spécifique au travail dans votre entreprise. De nombreux employés ont du mal à s'imposer face à leur patron. Par conséquent, s'ils reçoivent un e-mail d'harponnage, ils feront tout ce qui leur est prescrit sans en remettre en questions les motivations. Cette habitude est difficile à briser, car elle nécessite de changer la façon dont les gens communiquent entre eux au sein de l'entreprise. Mais si vous manipulez des informations sensibles, c'est sans doute une bonne stratégie.
Mesures de cybersécurité personnelle
Si les pirates veulent attaquer l'entreprise pour laquelle vous travaillez, ils pourront essayer de vous joindre par votre adresse e-mail personnelle. En matière de cybersécurité personnelle, voici ce que vous pouvez faire pour éviter d'être victime d'une attaque d'harponnage :
Prêtez attention aux e-mails, même s'ils proviennent d'un collègue ou d'un ami. S'ils demandent des informations personnelles sans vraie motivation apparente, assurez-vous qu'il s'agit bien de ces personnes avant d'envoyer quoi que ce soit. Utilisez-vous un langage décontracté dans vos e-mails professionnels ? Dans ce cas, un e-mail de votre collègue qui serait plus officiel que d'habitude est un signal d'alerte. Inspectez-le soigneusement avant de faire quoi que ce soit.
Ne publiez pas trop d'informations personnelles en ligne. Si vous le pouvez, rendez vos comptes privés, de sorte que seules les personnes que vous connaissez peuvent voir ce que vous publiez. Même dans ce cas-là , ne partagez pas trop d'informations personnelles. N'utilisez pas de géolocalisation, ne divulguez pas de plans de vacances ou ne divulguez pas d'informations personnellement identifiables, telles que votre numéro de téléphone, les détails de votre carte de crédit, votre date d'anniversaire, etc. Il sera plus difficile pour l'attaquant de créer un profil sur vous.
De temps à autre, utilisez un logiciel mis à jour et analysez vos appareils à la recherche de logiciels malveillants. Il existe de nombreuses façons d'accéder à votre ordinateur portable ou à votre smartphone sans que vous le remarquiez, alors assurez-vous de scanner et de mettre à jour vos appareils régulièrement.
Utilisez des mots de passe complètement différents et suffisamment complexes pour chacun de vos comptes. De cette façon, même si l'un d'entre eux est compromis, vos autres comptes restent sûrs. Téléchargez un gestionnaire de mots de passe pour stocker tous vos mots de passe en toute sécurité. De cette façon, vous n'aurez pas à vous en souvenir ou à les noter. Vous avez besoin d'aide pour trouver de nouveaux mots de passe ? Essayez notre générateur de mot de passe pour obtenir les meilleurs résultats.