Un guide essentiel pour reconnaître et prévenir les attaques d’hameçonnage

Le phishing est l’une des plus grandes menaces pour la sécurité de l’information, et son impact sur les entreprises peut être grave. Étant donné que le mois d’octobre est le mois de la sensibilisation à la cybersécurité, c’est le bon moment pour explorer la cause et l’effet des escroqueries par hameçonnage et apprendre des stratégies pour aider à éviter les dommages potentiels.

Qu’est-ce que l’hameçonnage ?

L’hameçonnage est un type d’escroquerie par ingénierie sociale, dans lequel les cybercriminels se font passer pour des entreprises, des personnes ou des institutions légitimes dans des courriels ou des SMS, afin d’inciter les destinataires à partager des informations financières, des informations d’identification d’entreprise ou d’autres données sensibles. L’escroc peut demander au destinataire de cliquer sur un lien ou une pièce jointe, ce qui infecte l’ordinateur du destinataire avec un logiciel malveillant qui vole directement des informations ou redirige le destinataire vers un faux site Web qui demande des informations sensibles.

Quelle est la fréquence d’une attaque de phishing ?

En 2024, le rapport d’IBM sur le coût d’une violation de données a révélé que le phishing représente 15 % de toutes les violations, ce qui en fait la méthode la plus courante. Sans surprise, une majorité (71 %) d’organisations ont connu au moins une attaque de phishing réussie en 2023, selon ProofPoint.

Le phishing prend souvent la forme d’un élément attendu par un employé, comme un document RH, une confirmation d’expédition ou une demande du service informatique de changer un mot de passe. En fait, le rapport 2024 de Verizon sur les enquêtes sur les violations de données a révélé que le phishing est l’attaque liée aux identifiants la plus courante, représentant 14 % des violations. Le courriel peut même sembler provenir des hauts dirigeants de l’entreprise et être conçu pour jouer sur les insécurités et les incertitudes des gens, ce qui les rend encore plus difficiles à reconnaître.

Quels sont les différents types d’attaques de phishing ?

Il existe une variété de types de phishing, et les cybercriminels deviennent de plus en plus sophistiqués chaque jour. Cela dit, il existe des types courants d’hameçonnage que vous et votre personnel devriez savoir reconnaître.

Hameçonnage par courriel

Également connu sous le nom de phishing par tromperie, ce schéma courant se produit lorsque des personnages malveillants envoient un courriel en se faisant passer pour une entreprise ou une marque reconnue. À l’aide de tactiques d’ingénierie sociale, ils incitent les gens à cliquer sur un lien ou à télécharger une pièce jointe, soulignant ainsi l’urgence d’agir. Les liens renvoient à des sites Web malveillants qui volent des informations d’identification ou installent des logiciels malveillants sur l’appareil d’un utilisateur.

Comment identifier : Recherchez quelque chose de « bizarre » dans l’adresse électronique ou des fautes d’orthographe ou des mots mal utilisés dans le corps du texte.
 
Hameçonnage sous forme de lance

Ce type d’attaque est plus ciblé. Les cybercriminels recueillent des informations sur des personnes spécifiques sur les sites Web des entreprises et conçoivent des courriels ou des textes pour donner l’impression qu’ils proviennent de personnes internes, souvent en utilisant leurs noms, titres, numéros de téléphone et adresses courriel. Étant donné que les destinataires pensent qu’un collègue les contacte, ils sont plus susceptibles de cliquer sur des liens ou de télécharger des logiciels malveillants. Par exemple, une récente série d’attaques de phishing ciblant les utilisateurs d’iPhone a utilisé des messages qui semblaient provenir d’Apple.

Comment identifier : Recherchez les demandes anormales, y compris celles qui demandent des informations très sensibles, telles que des mots de passe.
 
Hameçonnage de baleine

Dans le même ordre d’idées que le spear phishing (hameçonnage par lance), le whale phishing (hameçonnage de baleine) se produit lorsqu’un cybercriminel se fait passer pour un haut dirigeant de l’entreprise. Ces courriels peuvent demander un transfert d’argent ou demander au destinataire d’examiner un document, l’incitant à cliquer sur des liens externes et à partager des informations sensibles.

Comment identifier : Comme pour les autres types d’attaques, lisez attentivement les « indices » d’hameçonnage, comme quelque chose d’inhabituel, avant de cliquer sur les liens.
 
Attaques d’hameçonnage vocal, de smishing et de pêcheurs à la ligne

Ceux-ci sont similaires à l’hameçonnage par courriel, mais impliquent des appels téléphoniques (vishing), des SMS (smishing) ou des messages sur les réseaux sociaux (attaques de pêcheurs). Les criminels créent un sentiment d’urgence accru et incitent le destinataire à agir. Ces communications se produisent souvent pendant des périodes stressantes. Par exemple, le service d’inspection postale des États-Unis a récemment émis un avertissement concernant des acteurs malveillants prétendant être des inspecteurs postaux, ou des employés de l’USPS et de l’USPIS, affirmant qu’ils doivent vérifier des informations personnelles.

Comment identifier : N’oubliez pas qu’aucune entité légitime ne fera une demande non sollicitée d’informations confidentielles par téléphone, SMS ou médias sociaux.

Violation de données de carte de crédit

Cela implique l’exposition à grande échelle de données confidentielles. Les criminels utilisent des tactiques néfastes, telles que l’hameçonnage, pour obtenir des informations collectives sur les cartes de crédit en une seule attaque. Ces stratégies permettent aux criminels d’infiltrer les sites Web ou les applications de leur cible, ce qui peut leur donner accès à un large éventail d’informations financières simultanément.

Comment identifier : Surveillez vos relevés de carte de crédit pour détecter des frais inconnus. Souvent, les acteurs malveillants font de petits achats pour « vérifier » les numéros de carte de crédit volés avant d’en faire de plus gros.

Quelles sont les conséquences des attaques de phishing ?

Il y a plusieurs effets négatifs, y compris des implications financières importantes.  Selon IBM, le coût moyen d’une violation de données à elle seule est de 4,88 millions de dollars, et les attaques de phishing coûtent en moyenne 4,76 millions de dollars aux organisations.  Une infiltration peut également introduire des virus, arrêter la productivité et compromettre des données sensibles à plus grande échelle. La réputation d’une entreprise peut en souffrir avec des répercussions financières et opérationnelles de grande ampleur.

Quels sont les conseils pour réduire le risque d’attaques de phishing ?

• Comprenez que vos employés doivent être la première ligne de défense. S’ils ne cliquent pas sur les communications suspectes, vous pouvez éviter les conséquences négatives d’une attaque de phishing. La Cybersecurity & Infrastructure Security Agency décrit quatre façons de rester en sécurité en ligne, dont l’une consiste à reconnaître et à signaler l’hameçonnage. 
• Fournir une formation continue sur les effets de l’hameçonnage et le rôle des employés dans l’atténuation des risques. En identifiant les attaques potentielles à un stade précoce, votre entreprise peut alerter les utilisateurs et éventuellement éviter une violation.
• Installez des mesures de protection informatiques, notamment des logiciels antivirus, des pares-feux et une authentification multifactorielle qui peuvent limiter l’hameçonnage et fournir des alertes précoces en cas de compromission de la sécurité. Il est essentiel de maintenir les protections de cybersécurité à jour.
• Limitez le nombre de personnes dans l’entreprise qui ont accès à des informations sensibles et confidentielles afin de réduire davantage les risques. Le chiffrement des données sensibles est également essentiel pour atténuer les dommages si un escroc accède aux données.
• Mettez en place un système de signalement afin que si un employé clique sur un lien d’hameçonnage, il puisse le faire savoir aux personnes appropriées et qu’il puisse y remédier immédiatement.
• Assurez-vous que votre sécurité physique est robuste grâce à des caméras de surveillance visibles, des bureaux et des bureaux verrouillés, la destruction régulière de documents professionnels, des sauvegardes de données sécurisées et des politiques qui promeuvent les meilleures pratiques en matière de sécurité des données.

Que devez-vous faire si votre entreprise subit une attaque de phishing ?

1. Informez vos employés qu’ils doivent changer leurs mots de passe afin d’éviter toute infiltration supplémentaire et de protéger les informations sensibles de votre entreprise.
2. Vérifiez que vos analyses antivirus n’ont pas révélé de problèmes suspects. Vous voudrez peut-être profiter de l’occasion pour examiner les mesures de protection de cybersécurité existantes afin de vous assurer qu’elles vous protègent adéquatement. La technologie d’authentification des courriels, par exemple, peut aider à empêcher les courriels d’hameçonnage d’atteindre les boîtes de réception de votre entreprise.
3. Si l’attaque entraîne une violation de données, où des informations sensibles sont compromises, assurez-vous de suivre les procédures de violation de données de votre entreprise pour protéger les employés et les clients. Signalez également l’attaque au commissaire à la protection de la vie privée du Canada.
4. Utilisez l’expérience comme un moment d’apprentissage et offrez une formation au personnel sur la façon d’aider à prévenir une attaque future. 

En savoir plus sur la façon dont Shred-it^® peut aider votre entreprise à améliorer son programme de sécurité de l’information.

^{**Cet article est fourni à titre d’information générale uniquement et ne doit pas être interprété comme un avis juridique sur des faits ou des circonstances spécifiques.}