Sûr de ne jamais mordre à l’hameçon ? Pour le savoir, participez à notre quiz spécial phishing !

Testez votre capacité à identifier les e-mails frauduleux et déterminez votre degré de vulnérabilité face à l’ingénierie sociale et aux attaques de phishing.

By

Parfois, vous le réalisez juste une milliseconde trop tard. Une vague d’effroi vous traverse et vous vous demandez : Sur quoi est-ce que je viens de cliquer ? Je crois que j’ai fait une grosse bêtise !

Si cela vous parle, ne soyez pas trop dur avec vous-même. Tomber dans le piège d’une arnaque de phishing bien ficelée peut arriver aux meilleurs d’entre nous. Vous n’êtes qu’une victime de plus parmi les millions d’innocents dans le monde à avoir fait la même chose.

Mais il n’en est pas moins important de prendre des mesures immédiates et de savoir quoi faire pour éviter que l’erreur ne se reproduise. L’élément humain contribue pour 82 % aux failles, selon le rapport DBIR 2022 de Verizon. Outre les technologies de sécurité utilisées pour prévenir les attaques de phishing, les entreprises doivent également prendre au sérieux la formation du personnel à la détection d’e-mails frauduleux.

Pour que les fraudeurs cessent de duper les meilleurs d’entre nous, SonicWall a le plaisir d’annoncer la parution de son nouveau Quiz en ligne spécial phishing. Ce quiz a été conçu pour former l’œil des utilisateurs à reconnaître les signes courants du phishing. Son caractère interactif le rend plus intéressant et informatif qu’un simple mail ou document.

Les e-mails sont souvent le premier vecteur d’attaque.

D’après les leçons tirées des fuites de données passées, les attaques qui aboutissent combinent plusieurs tactiques, techniques et procédures (TTP) pour compromettre l’utilisateur. De plus, en tel cas, le message électronique a été le premier à fournir au moins l’un des éléments suivants :

  1. L’URL initiale, sous forme de lien dirigeant vers un kit d’exploit ou un site de phishing
  2. La pièce jointe malveillante, sous forme de dropper ou de charge utile
  3. Un message trompeur qui devient le point de départ d’une attaque d’ingénierie sociale en poussant les utilisateurs à livrer leurs identifiants, à envoyer de l’argent, à divulguer des données sensibles, etc.

Aujourd’hui, nous avons affaire à des attaques de phishing ciblées très développées. L’apparence inoffensive de ces e-mails envoyés à partir d’identités volées ou fausses peut tromper les utilisateurs même les plus avertis. Les professionnels de la sécurité avec lesquels nous avons discuté affirment en outre voir encore des utilisateurs cliquer sur des courriers frauduleux parce qu’ils ne savent pas distinguer les e-mails légitimes des faux messages.

Les pirates usent de tactiques, techniques et procédures (TTP) de phishing particulièrement intelligentes.

Les éditeurs de sécurité ont beau créer de nouvelles fonctionnalités pour empêcher les attaques de phishing de contourner les filtres en amont, les pirates sont tout aussi prestes à trouver des moyens plus malins d’atteindre votre boîte aux lettres. Un exemple de ces attaques est un message de phishing ciblé à faible volume et de haute qualité, semblant provenir de Microsoft 365 ou de Gmail, comme illustré ci-dessous.

Phishing emails are now more advanced. Attackers can replicate MFA screens to steal credentials.

Ce faux message d’apparence professionnelle est personnalisé à l’intention d’utilisateurs spécifiques, contrairement aux anciennes campagnes classiques à grand volume de type « spray and pray ». Ces attaques sont très sophistiquées dans leur capacité à la fois à parvenir dans la messagerie et à duper l’utilisateur. Chaque lien ouvre la fenêtre de connexion de la deuxième page d’une authentification défi-réponse, où l’adresse e-mail de l’utilisateur est préalablement renseignée. L’agresseur sait déjà qui vous êtes.

L’innovation en matière de phishing se passe maintenant après la livraison, comme dans l’exemple ci-dessus. Autrement dit, au lieu de placer l’URL malveillante dans l’e-mail, les phishers renvoient à un serveur de réacheminement qui fait office de passerelle et envoie les requêtes d’une entreprise de sécurité à un site bénin. En revanche, les requêtes venant des victimes visées sont dirigées vers le serveur de phishing.

Parmi les méthodes d’obscurcissement développées au fil des ans, on trouve l’usurpation d’identité, les redirections multiples, les splits d’URL, la manipulation de balises HTML, les malwares polymorphes ou encore les scripts obscurcis dynamiques, pour n’en citer que quelques-uns. Nous avons vu des hackers talentueux associer plusieurs techniques d’obscurcissement au sein d’une même campagne de phishing ciblée pour cacher la véritable intention de la page cible, qui est souvent une page de collecte d’identifiants.

L’humain n’est pas parfait.

« Les êtres humains ne sont pas guidés par la logique, mais par les émotions. Nous ne nous soucions pas de ce qui est vrai, mais de ce que nous ressentons », a dit un jour Will Smith, célèbre acteur, rappeur et peut-être même philosophe de notre temps. Ces mots résonnent profondément chez tous ceux qui consacrent leur vie à la cybersécurité. Tant que les émotions humaines pourront être manipulées, il y aura toujours quelqu’un pour faire une erreur, ce qui met en évidence l’un des grands défis des professionnels de la sécurité, un défi cependant qui ne peut être résolu par la seule technologie. Certes, les technologies de prévention du phishing sont nécessaires, mais il est également essentiel d’établir un programme de sensibilisation à la cybersécurité.

Sensibilisez vos collaborateurs avec le Quiz SonicWall sur le phishing.

SonicWall avance non seulement dans le développement d’outils de sécurité intégrant les technologies d’intelligence artificielle et de machine learning, mais investit également dans la formation des utilisateurs face à la fraude. Tout cela dans un but plus vaste visant à ce que l’humain fasse partie non plus du problème, mais de la solution.

Il est dangereux de croire que la sécurité repose uniquement sur les professionnels et leurs technologies, car une fois qu’un e-mail de phishing est parvenu dans la boîte de réception, il n’y a plus aucune ligne de défense. Afin de réduire le facteur de risque humain, il est nécessaire d’instaurer une culture et de changer les mentalités aux niveaux de l’entreprise et individuel, pour que tout le monde prenne conscience de l’enjeu et se sente proactivement impliqué dans la sécurité de son organisation.

De manière simple mais efficace, le Quiz SonicWall sur le phishing sensibilise les personnes et les encourage à pratiquer une vigilance saine vis-à-vis des messages qu’ils lisent ou auxquels ils répondent. Le quiz vous permet d’examiner de manière interactive une série d’exemples de messages, qui comportent notamment des liens, afin de tester votre intuition et votre aptitude à distinguer les e-mails légitimes des messages de phishing.

The Phishing IQ Test evaluates your ability to identify fraudulent emails using real examples of common phishing attacks.

Si vous souhaitez mesurer votre propre capacité à détecter les messages frauduleux, participez sans attendre au Quiz SonicWall sur le phishing.

FAITES LE QUIZ

This post is also available in: Anglais Portugais - du Brésil Deutsch Espagnol Italien

SonicWall Staff