CYBERSÉCURITÉ ET HACKERS
Dans ce bref rappel des informations surCybersécurité et pirates notre service informatique partagera"6 comportements que les pirates exploitent dans les attaques d'ingénierie sociale."
L'ingénierie sociale est une technique de manipulation qui exploite l'erreur humaine pour obtenir des informations privées, un accès ou des objets de valeur. Dans la cybercriminalité, ces escroqueries de « piratage humain » ont tendance à inciter les utilisateurs peu méfiants à exposer des données, à propager des infections par des logiciels malveillants ou à donner accès à des systèmes restreints.
Roger Grimes de KnowBe4 est dans le secteur de la cybersécurité depuis des décennies. Ses livres, dont Une défense informatique basée sur les données, sont des ressources précieuses pour les professionnels de la sécurité du monde entier.
Mais personne, pas même Grimes, n'est à l'abri des attaques de phishing.
"J'ai été victime d'hameçonnage deux fois cette année !" Grimes a déclaré à l'équipe éditoriale de Virtru, référençant Simulations de phishing internes de KnowBe4. "Je pensais que j'étais impossible à hameçonner - et après le premier, je pensais que j'étais impossible à hameçonner. Le second, j'ai réalisé : j'étais hameçonnable.
Heureusement, les simulations internes comme celles-ci constituent une précieuse opportunité d'apprentissage, car les attaques d'ingénierie sociale évoluent rapidement, devenant si sophistiquées et ciblées qu'elles peuvent être extrêmement difficiles à détecter.
"Il existe de nombreuses façons de vous faire pirater", a déclaré Grimes, "mais l'ingénierie sociale et le phishing sont le moyen numéro un, et ce depuis un certain temps. Il semble que ce sera pour un avenir prévisible. Les logiciels non corrigés sont la deuxième méthode la plus courante de piratage des organisations, comme nous l'avons vu avec the Vulnérabilité Microsoft Exchange Server mis au jour début 2021.
Grimes est fermement convaincu que, pour être résilientes contre les cyberattaques, les organisations doivent favoriser a culture de sensibilisation et d'éducation à la sécurité, ce qui en fait un élément essentiel de leur fonctionnement.
Alors que les équipes de sécurité doivent s'assurer qu'elles disposent d'un écosystème complet de technologies pour protéger les données de l'entreprise, il est également essentiel que chaque employé comprenne l'impact de ses comportements en matière de sécurité, comme aborder les e-mails avec prudence et cryptage des données partagées dans les e-mails et via plateformes de partage de fichiers. Lors d'une conversation avec l'équipe éditoriale de Virtru, Grimes a partagé des informations précieuses sur les tactiques qui rendent l'ingénierie sociale si efficace et des conseils sur la façon de repérer une attaque de phishing avant qu'il ne soit trop tard.
Les pirates veulent que vous vous déplaciez rapidement.
Le conseil prédominant pour prévenir les attaques de phishing était : « N'ouvrez pas un e-mail de quelqu'un que vous ne connaissez pas. Mais Grimes dit que ça ne suffit plus.
"Souvent, les e-mails proviennent de personnes avec lesquelles vous avez fait affaire pendant10 années. Alors maintenant, la nouvelle formation est : s'il s'agit d'un e-mail inattendu, même de quelqu'un avec qui vous faites affaire, et qu'il vous demande de faire quelque chose qu'ils ne vous ont jamais demandé de faire auparavant, et que cette chose qu'ils vous demandent de faire pourrait être potentiellement dangereuse à vous ou à votre entreprise, alors vous ralentissez.
Ralentir est plus facile à dire qu'à faire, d'autant plus que les gens avancent rapidement dans leur journée, tapotant sur les e-mails et les liens sur leurs téléphones et tablettes, peut-être en écoutant distraitement un appel et en ne consacrant pas toute leur attention à l'e-mail devant eux._cc781905 -5cde-3194-bb3b-136bad5cf58d_
Mais aborder les e-mails avec un sens sain du scepticisme et une attention aux détails est un changement de comportement puissant, et cela peut faire la différence entre un appel rapproché et une violation de données.
Les pirates veulent que vous présumiez que les e-mails de vos collègues sont en sécurité.
"Il y a des années, lorsque vous receviez un e-mail de phishing, il contenait toutes sortes de fautes de frappe, et cela provenait d'une adresse e-mail étrange", a déclaré Grimes. "Vous êtes comme, 'Il n'y a aucun moyen que ce soit mon patron' ou, 'Il n'y a aucun moyen que ce soit Microsoft.' Mais, de nos jours, ils sont beaucoup plus sophistiqués. Ils ciblent de plus en plus souvent des industries particulières. Les attaques de phishing commencent à utiliser des termes, un jargon et des scénarios client spécifiques à l'industrie pour favoriser un faux sentiment de confiance. Au fur et à mesure qu'ils apprennent, les groupes de piratage peuvent rendre ces e-mails de plus en plus réalistes.
Ces attaques sont efficaces et les pirates peuvent utiliser un seul incident réussi comme point de départ pour compromettre l'organisation, les contacts, les collègues et les partenaires de la victime.
"Maintenant, nous voyons ces choses très ciblées qui semblent provenir des patrons des gens - et ce patron fait référence à un projet sur lequel l'individu travaille. Alors ils diront : 'Hé, tu sais ce projet sur lequel tu travailles avec Cindy aux RH ?' Des personnes m'ont envoyé un e-mail me demandant : "Comment ont-ils connu le nom de la personne qui approuve les chèques ?" Le nom de cette personne n'est pas connu en dehors de l'entreprise, il ne figure sur aucun document public. Comment ont-ils appris que Cindy est celle qui approuve les virements ? Et parfois, ils découvrent que le nom de cette personne a été mentionné dans un document public, ou que le pirate informatique a compromis un partenaire qui a traité avec Cindy. »
"Nous souhaitons les jours plus anciens où il s'agissait d'e-mails mal orthographiés."
Les pirates veulent que vous deveniez émotif.
Jouer sur l'émotion est exceptionnellement courant dans les attaques d'ingénierie sociale, car cela obscurcit le jugement des gens et les amène à agir avec un sentiment d'urgence. Un e-mail de votre patron ou de votre PDG vous demandant d'effectuer immédiatement un virement bancaire essentiel peut vous obliger à agir de manière urgente et sans réfléchir à fond à la demande.
C'est exactement ce que veut le pirate.
Et avec l'apparition du coronavirus, les informations sur la santé (et la désinformation) peuvent amener les gens à cliquer sur un lien par frustration, inquiétude, peur ou colère. En fait, c'est ce qui s'est passé avec le premier moment hameçonnable de Grimes cette année.
«Une astuce que nous avons considérée comme très réussie est un e-mail disant:« Venez chercher vos vaccins COVID maintenant », et c'était avant que les vaccins COVID ne soient disponibles. Les gens s'énervaient parce qu'on leur disait de venir se faire vacciner qui n'existait pas, ou qu'on leur disait : "Tu ne vas pas pouvoir prendre le vaccin pendant six mois" ou "Tu vas ne sera pas autorisé à revenir au bureau », ou « Vous n'avez pas pris le vaccin, vous ne pouvez donc pas revenir au bureau. Et la personne est comme, 'Qu'est-ce que tu veux dire? J'ai mon vaccin !' Et, boum, ils cliquent. Ainsi, mettre la personne en colère signifie qu'elle est beaucoup plus susceptible de ne pas regarder l'e-mail dans sa totalité, que s'il ne s'agissait que d'un simple e-mail.
"Les pirates deviennent vraiment de très grands consommateurs de psychologie humaine", a déclaré Grimes. "Ils l'utilisent contre nous, et ça marche."
Les pirates veulent que vous réutilisiez les mots de passe.
Les violations de données se produisent tout le temps et souvent elles divulguent les informations d'identification des utilisateurs, y compris les mots de passe. Cela peut être extrêmement dommageable pour les personnes qui réutilisent les mêmes mots de passe sur plusieurs comptes. Il vaut vraiment la peine d'utiliser des mots de passe longs, complexes et uniques pour chacun de vos comptes. Grimes recommande d'utiliser un gestionnaire de mots de passe pour aider à générer et garder une trace de ces mots de passe, afin que les utilisateurs n'aient pas à s'en souvenir. "Peu importe comment vous le faites, vous devez encourager les gens à ne pas réutiliser le même mot de passe", a souligné Grimes. "Parce que chaque site Web supplémentaire sur lequel vous l'utilisez augmente de manière exponentielle votre risque."
Cependant, les mots de passe réutilisés peuvent être difficiles à appliquer. « Comment le travail sait-il si un employé réutilise un mot de passe professionnel sur son site Web bancaire, Amazon ou Instagram ? Ils ne le font pas », a déclaré Grimes. "Donc, vous devez les faire prendre soin, changer la culture parce que parfois c'est tout ce que vous avez."
L'authentification multifacteur et les gestionnaires de mots de passe peuvent aider à atténuer certains de ces défis. Les mots de passe complexes, longs et uniques créés par un gestionnaire de mots de passe peuvent aider à insérer une étape supplémentaire entre l'individu et le pirate, car les gens ne peuvent tout simplement pas se souvenir de dizaines ou de centaines de mots de passe et de phrases secrètes complexes. "Je sais que je ne vais pas être hameçonné à cause d'un mot de passe parce que je ne le connais pas", a déclaré Grimes. "Il y a du réconfort là-dedans."
Les pirates veulent que vous pensiez que vos actions ne sont pas significatives.
Il est important que les gens réalisent que les rançongiciels n'affectent pas seulement une organisation : ils affectent également les employés et leurs moyens de subsistance.
"Le produit ransomware moyen est dans une entreprise pendant 200 jours en moyenne avant qu'il ne se déclenche, et pendant ce temps, il collecte tous les mots de passe de tous les employés", a déclaré Grimes. "Donc, si vous allez sur Amazon et commandez quelque chose, si vous allez dans votre compte bancaire pour vérifier votre 401 (k), vos comptes de soins de santé, ils obtiennent tous ces mots de passe."
Les violations ont également des impacts en aval sur les employés. Les responsables de la sécurité peuvent partager des exemples d'incidents majeurs et souligner qu'en raison des impacts financiers (la violation de données moyenne coûte 3,86 millions de dollars), ces employés ne recevront probablement pas de primes de sitôt.
Les pirates veulent que vous traitiez la sécurité avec désinvolture ou que vous l'oubliiez complètement.
"C'est vraiment difficile d'être parfait, non ?" Grimes éclata de rire. « Pour combattre ces types, vous devez être meilleur, et ce que les pirates aiment, c'est l'incohérence. Mais si vous pouvez intégrer une culture consistant à faire constamment les mêmes choses encore et encore, il sera plus difficile pour les faiblesses de s'infiltrer.
Des comportements de sécurité solides se résument à une communication continue, à un renforcement et à une culture qui fait de la sécurité un élément central de how les équipes opèrent et collaborent de jour en jour.
"Si vous pouvez changer la culture, vous êtes plus susceptible d'amener les gens à s'en soucier et à changer leurs propres habitudes pour eux-mêmes et pour la sécurité de l'entreprise."