À l'ère du numérique, les cybercriminels utilisent des méthodes toujours plus sophistiquées pour attaquer les organisations. Le spear phishing et la fraude au président (BEC) sont particulièrement dangereux et ciblent fréquemment les hauts dirigeants. Les responsables qui souhaitent protéger leur entreprise doivent être informés de ces attaques ciblées.
À LIRE AUSSI : Les dernières arnaques par hameçonnage : à quoi faire attention
Hameçonnage ciblé : attaques ciblées
Le spear phishing désigne les attaques par courriel ciblées visant à tromper des individus spécifiques au sein d'une organisation. Contrairement au phishing de masse, ces courriels utilisent des informations copiées sur les réseaux sociaux, les sites web de l'entreprise ou d'anciennes fuites de données pour paraître authentiques.
Par exemple, un pirate pourrait se faire passer pour un collègue de confiance ou un chef de service, demandant des informations confidentielles ou incitant la victime à cliquer sur un lien malveillant. Ces courriels contiennent souvent des informations personnelles exactes, ce qui les rend plus authentiques et augmente leurs chances de succès.
Compromission des courriels professionnels : astuces ingénieuses
L'escroquerie aux faux ordres de virement (BEC) est un type de cyberattaque où des pirates informatiques accèdent à un compte de messagerie professionnel légitime ou l'usurpent afin d'inciter des employés, des clients ou des partenaires à envoyer de l'argent ou à divulguer des informations confidentielles. Ces attaques ciblent souvent les hauts dirigeants ou le personnel financier habilité à effectuer des virements. Une méthode courante consiste à envoyer un courriel se faisant passer pour le PDG, demandant à l'équipe financière d'effectuer une transaction urgente et secrète. Le FBI a signalé des pertes financières considérables dues à des escroqueries BEC, ce qui témoigne de la gravité de cette menace.
Le paysage des menaces pesant sur les dirigeants
Les hauts dirigeants sont la cible de ces attaques car ils détiennent des informations sensibles et contrôlent des fonds. Les cybercriminels consacrent beaucoup de temps à surveiller leur activité en ligne, élaborant des scénarios plausibles qui exploitent leur position au sein de l'entreprise. Ces attaques fonctionnent car les communications des hauts dirigeants sont dignes de confiance ; il est donc primordial que ces derniers fassent preuve de vigilance.
Stratégies d'atténuation à mettre en œuvre
Pour lutter contre le spear phishing et les attaques BEC, les dirigeants doivent mettre en œuvre les mesures suivantes.
1. Formation de sensibilisation à la sécurité
Sensibilisez régulièrement tous les employés, y compris les cadres supérieurs, à la manière d'identifier les attaques de phishing et d'y répondre.
2. Protocoles d'authentification du courrier électronique
Mettez en œuvre des technologies telles que DMARC, SPF et DKIM pour authentifier la légitimité des courriers entrants.
3. Authentification multifacteurs (MFA)
Activez l'authentification multifacteur (MFA) lors de la connexion aux comptes de messagerie et aux systèmes sensibles afin d'introduire un niveau de sécurité supplémentaire.
4. Procédures de vérification
Utilisez des méthodes permettant de vérifier la légitimité des demandes financières, en particulier celles impliquant des montants importants ou des modifications des instructions de paiement.
5. Audits réguliers
Effectuer des audits de sécurité périodiques afin d'identifier les vulnérabilités et de s'assurer que des politiques de sécurité sont en place.
Note finale
Le spear phishing et la compromission de messagerie professionnelle représentent des menaces importantes pour la sécurité des organisations, notamment au niveau de la direction. Rester vigilant face à ces attaques ciblées et mettre en place des mesures préventives efficaces contribuent grandement à protéger votre organisation contre ces cyberattaques sophistiquées.
