Lorsque nous entendons parler d’entreprises attaquées par des pirates informatiques, que leurs actifs numériques sont détenus contre rançon et que les rançons sont de plus en plus énormes, nous avons tendance à penser à une équipe de piratage de haut niveau, avec des points d’entrée exceptionnellement sophistiqués dans les systèmes commerciaux, réalisant un cyber-casse ignoble en étant vraiment intelligent. Malheureusement, la vérité est beaucoup plus prosaïque que cela. Les données de Google Safe Surfing montrent qu’il existe désormais 75 fois plus de sites Web d’hameçonnage que de sites malveillants sur Internet. Cela signifie que la grande majorité des cybercriminels comptent sur de simples escroqueries par e-mail pour y accéder.
Mais sans aucun doute, au 21e siècle, nous ne connaissons que trop bien les escroqueries par hameçonnage ? Certainement, nous comprenons de ne pas cliquer sur des liens provenant d’adresses suspectes ? Essayer de trouver un langage inhabituel dans le corps de nos e-mails ? Pour ignorer les princes potentiels avec des transactions sur devises et ces appels désespérés d’associés qui ont été volés en vacances et qui ont besoin que vous cliquiez pour leur virer des fonds d’urgence ?
Il n’y a qu’un seul problème : nous sommes des êtres humains.
L’élément humain
Les personnes sont le point faible de nombreux systèmes, et ils suivent des directives mentales assez simples. Les pirates et les fraudeurs deviennent sensibles à cela, au point que les fraudes par e-mail modernes trompent même les spécialistes de la cybersécurité.
En 2022, alors que la cybersécurité est une quantité reconnue et que les fraudes par hameçonnage sont relativement anciennes, rapporte Google Safe Surfing que 20 % des travailleurs cliqueront sur un lien d’e-mail dans un e-mail rédigé de manière convaincante – et que sur ces 20 %, plus des deux tiers ajouteront leurs informations monétaires ou de sécurité à une page de phishing. C’est tout simplement : le phishing n’a pas été vaincu. Il n’a pas disparu. En réalité, cela coûte aux entreprises 20 milliards de dollars chaque année.
L’escroquerie de base par e-mail a considérablement évolué depuis l’époque du prince nigérian. De nos jours, les escrocs feront au moins quelques recherches avant de cibler le personnel. Ils rechercheront l’activité récente de LinkedIn, ils noteront la hiérarchie d’une entreprise et ils cibleront leur fraude par e-mail avec une bien plus grande précision qu’auparavant. Ce n’est pas que nous, en tant qu’êtres humains, soyons devenus plus stupides en ce qui concerne les arnaques d’e-mails, c’est que l’ennemi est devenu plus intelligent. Ils comprennent que de nombreuses personnes s’en remettront à une hiérarchie de fonctions déjà établie.
Ainsi, au lieu de « Transférez-moi de l’argent pour obtenir la réémission de mon passeport », ils utiliseront un ton plus professionnel pour leur arnaque par e-mail. « Pouvez-vous demander à Carole de m’envoyer le rapport hebdomadaire sur les données de vente à l’adresse légitime@email.com » est beaucoup plus susceptible d’amener les personnes qui se trouvent en dessous de l’expéditeur attendu dans une hiérarchie à se conformer, en raison du fait que le contexte et la hiérarchie nous endormir dans un état d’esprit certifié – et tous les plus susceptibles de cliquer sur le lien enraciné. C’est tout ce dont de nombreux fraudeurs par e-mail ont besoin comme méthode d’accès au système de l’entreprise.
Ils sont également capables d’utiliser des chatbots à construction rapide si nécessaire, et des technologies plus contemporaines comme les VPN pour anonymiser leur adresse IP.
Mitigation Pathways
Alors, comment les entreprises (et le personnel) peuvent-elles lutter contre les escroqueries par e-mail dans leur tout nouveau type du 21e siècle ?
Règle 1 : Respirez et réfléchissez calmement
Avant de cliquer pour ouvrir les e-mails, respirez et croyez. L’en-tête semble-t-il correct ? L’e-mail de l’expéditeur correspond-il à ce que vous pensez qu’il devrait être ? Si vous avez encore le moindre doute, ne cliquez même pas pour l’ouvrir. Envoyez à l’expéditeur un e-mail de votre cru, à l’adresse que vous connaissez, pour indiquer que vous avez reçu un e-mail de sa part qui semble un peu suspect.
En supposant que vous avez ouvert l’e-mail et que vous vous méfiez de quoi que ce soit à son sujet, n’interagissez pas avec l’expéditeur via l’e-mail lui-même. Faites-le et vous laisserez les fraudeurs comprenez que votre adresse e-mail reste utilisée. Il leur suffit alors de vous persuader, par le biais d’un dialogue permanent, éventuellement via un chatbot, de cliquer sur n’importe quel type de lien.
Ne vous laissez pas submerger instantanément par les hiérarchies, les demandes d’accès (de la part de l’informatique similaire) ou les besoins d’action avec des dates d’échéance inattendues et inattendues : ce sont toutes des techniques utilisées par les fraudeurs par e-mail pour secouer le personnel dans un état d’obéissance (tout en restant à leur manière complètement authentiques). Restez calme et vérifiez l’authenticité en envoyant vos propres e-mails différents, plutôt que de répondre à l’e-mail qui vous a été envoyé.
Règle 2 : Configurez la sécurité du serveur de messagerie
Il Cela semble évident, mais vous ne pouvez pas investir de manière excessive dans la sécurité des serveurs de messagerie, car les escroqueries par courrier électronique peuvent coûter cher lorsqu’elles saccagent les systèmes d’une entreprise. Choisissez soigneusement la sécurité de votre serveur de messagerie, en essayant de trouver des filtres anti-spam contemporains, des programmes de pare-feu sauvages et des procédures antivirus complètes. L’ajout de filtres Web côté serveur au mélange peut également être utile s’ils interfèrent entre le clic sur un lien et le site de phishing, et ne permettent pas aux travailleurs d’accéder involontairement aux sites Web qui peuvent leur soutirer des informations et d’accéder aux systèmes de l’entreprise. .
Directive 3 : Maintenez la sécurité de votre messagerie à jour
Idéalement, les entreprises maintiendront tous leurs systèmes à jour. Ceci est crucial car une grande partie des arnaques d’e-mails dépendent de ce non événement. Plus les systèmes de l’entreprise sont à jour, plus sa sécurité par rapport aux escroqueries par e-mail est plus puissante et plus fiable.
Conseil 4 : Jouez au hardball sur les protocoles de mot de passe
Assurez-vous que la politique de votre entreprise en matière de mots de passe est pleinement exploitée pour rendre les piratages d’e-mails aussi difficiles que possible. Utilisez des gestionnaires de mots de passe dans la mesure du possible, mais assurez-vous que les mots de passe eux-mêmes sont inintelligibles, dénués de sens et suffisamment complexes pour vaincre la plupart des escrocs. N’autorisez en aucun cas votre personnel à utiliser le nom de son animal de compagnie ou quoi que ce soit de comparable comme mot de passe. Gardez à l’esprit que les escrocs parcourront les réseaux sociaux pour obtenir ces informations, juste au cas où vous seriez tombé sur votre jeu vidéo avec mot de passe.
Règle 5 : imposer des règles à distance
Particulièrement pendant et maintenant après la pandémie, le travail à distance a pris d’assaut le monde des affaires. Cependant, cela signifie que vous avez accès aux systèmes de votre entreprise dans la nature. Avoir besoin de cryptage et connecter des employés distants à votre système via un VPN sont des étapes importantes pour s’assurer que certains membres du personnel n’accèdent pas par inadvertance à des sites Web de phishing et ne les transfèrent pas sur votre système. Encore une fois, en combinaison avec des filtres Web côté serveur, cela peut être utile pour les employés distants.
Directive 6 : doubler l’authentification
L’authentification multifacteur est une méthode pour garantir que même si un seul point d’entrée par e-mail est compromis, les fraudeurs ne peuvent pas simplement entrer directement dans vos systèmes sans connaître les données supplémentaires qui offrent l’authentification de secours. De nos jours, de nombreuses entreprises utilisent des générateurs de code aléatoire pour contribuer à la complexité de cet accès au chemin, et même si cela peut sembler exagéré à première vue, il vaut probablement la peine de garder à l’esprit que 20 milliards de dollars et d’exercer combien vous voulez payer. Dans l’ensemble, l’authentification multifacteur n’est pas si gênante, n’est-ce pas ?
Ne faites pas de prisonniers
L’escroquerie par e-mail développée est en quelque sorte une chose criminelle beauté – basique, mentale, efficace et coûteuse. Les organisations qui veulent traverser les années 2020 n’ont cependant guère la possibilité de faire tout ce qu’elles peuvent pour lutter contre elle. L’existence et l’interaction des réseaux sociaux devenant un service incontournable au 21e siècle, il n’y a pas grand-chose à faire pour empêcher les fraudeurs identifiés de développer une pêche au harpon ciblée (ciblant des individus spécifiques dans une entreprise) ou même la pêche à la baleine (visant à personnel de haut niveau ou gestionnaires spécifiques) attaque de fraude par e-mail.
Doublez ou triplez le problème dont ils ont besoin pour se débarrasser en installant et en mettant à niveau la sécurité de messagerie et les filtres Web les plus efficaces que vous pouvez gérer, utilisez des VPN pour le personnel distant, soyez rigoureux sur les protocoles de mot de passe et, dans la mesure du possible, déployez une authentification multifacteur avant que le personnel potentiellement compromis ne puisse accéder à vos systèmes.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur