Qu’est-ce que l’hameçonnage ciblé et comment s’en protéger?
Dans un incident qui nous a été signalé la semaine dernière, un cadre supérieur du service financier de l’assuré a découvert que son adresse électronique avait été compromise lorsqu’un courriel d’hameçonnage a été diffusé à partir de son adresse courriel à l’ensemble de son carnet d’adresses.
Heureusement, l’assuré s’est montré à la hauteur. Il a communiqué avec son courtier à la découverte de l’incident et travaille actuellement d’arrache-pied pour limiter les dégâts et l’atteinte à sa réputation.
Cet incident – et les milliers d’incidents semblables qui se produisent chaque jour – met en évidence le rôle et la responsabilité de tous les échelons d’une entreprise pour assurer la sécurité de ses actifs.
Vente d’identifiants de cadres à partir de 250 $ sur le Web profond
On assiste à une marchandisation de l’hameçonnage. Par exemple, les cybercriminels ont créé une trousse d’hameçonnage contenant de fausses alertes de mot de passe qui ciblent les identifiants de connexion à Microsoft Office 365 de hauts dirigeants, de propriétaires d’entreprise et de directeurs financiers.
Trend Micro, spécialiste de la sécurité, a repéré plusieurs forums du Web profond où l’on vend des identifiants de connexion à Office 365 compromis de cadres au coût de 250 $ à 500 $ par utilisateur.
Faux sentiment de confiance chez les cadres
Malheureusement, ce type de menace n’est pas toujours facile à faire comprendre aux cadres supérieurs. Il y a encore des personnes qui considèrent les mécanismes ou les politiques de sécurité du courrier électronique comme un inconvénient.
Les pirates informatiques le savent et ciblent les employés les plus en vue, qui ne sont pas forcément aussi avertis sur le plan technique – ou de la cybersécurité – et qui sont donc plus susceptibles d’être amenés à cliquer sur des liens malveillants.
Si un cadre est amené à donner ses identifiants, les criminels peuvent utiliser ces renseignements pour mener d’autres attaques. Dans l’incident de la semaine dernière, l’escroquerie au faux ordre de virement était le résultat escompté; elle visait d’autres employés et partenaires tiers figurant dans le carnet d’adresses du dirigeant, avec pour mission de les hameçonner à leur tour.
Qu’est-ce qui motive ce faux sentiment de confiance?
Nous avons cherché à savoir pourquoi certains cadres adoptaient un comportement aussi risqué. Trois raisons se sont dégagées, mais je suis convaincu qu’il y en a d’autres.
- Certains cadres se croient à l’abri de la duperie, même s’ils sont bien conscients que les techniques d’hameçonnage ont évolué.
- D’autres ne perçoivent pas le risque réel, car ils n’ont jamais été victimes d’une violation importante.
- Certains cadres utilisent également un assistant personnel pour consulter leurs courriels, ce qui peut avoir une incidence sur leur capacité à repérer les messages suspects.
Alors, que faire?
Voici les deux choix qui s’offrent aux cadres supérieurs de vos entreprises clientes :
- Ils peuvent faire plus attention à ce sur quoi ils cliquent en y consacrant quelques minutes supplémentaires chaque jour et devenir un modèle pour les autres membres de l’entreprise.
OU
- Ils peuvent continuer à faire preuve de désinvolture et risquer d’être la cible d’une attaque d’hameçonnage ciblé, ce qui pourrait nuire à la réputation de l’entreprise et lui coûter cher.
- Désolé, je dois y aller. Je viens de recevoir un courriel urgent me demandant de mettre à jour mon mot de passe pour Office 365.
Article de blogue rédigé par Vishal Kundi,
chef de la direction et cofondateur de BOXX Insurance inc.
Articles connexes
S’inscrire à l’infolettre de BOXX Insurance
Recevez les dernières nouvelles sur la cyberassurance et la cyberprotection dans notre infolettre.