Les emails frauduleux dont les PME doivent se méfier
Une cyberattaque d’envergure contre une grande entreprise peut entraîner des dommages réputationnels, des pertes financières, des pertes de clientèle et des poursuites judiciaires. Pour autant, la plupart des grandes entreprises ont les moyens d’y faire face. Ce n’est toutefois pas le cas des PME, et en particulier des petites entreprises, pour lesquelles ce type d’événement peut être fatal.
Pourquoi les cybercriminels s’attaquent aux PME
D’après un rapport publié en 2019 par Switchfast Technologies, 51 % des dirigeants de PME estiment que leur entreprise n’intéresse pas les hackers. Loin de partager le chiffre d’affaires et la notoriété de leurs aînées, les PME ne constituent pas les cibles les plus lucratives. Toutefois, elles sont les plus vulnérables : leurs budgets et ressources consacrés à l’informatique étant limités, elles sont des cibles faciles pour les hackers dont l’email constitue l’arme de choix.
En vérité, un email suffit pour tromper sans difficulté des employés et accéder aux ressources les plus stratégiques et sensibles des PME. Voici les fraudes par email les plus courantes dont il convient de se méfier.
Phishing
Les premiers emails de phishing étaient faciles à repérer. Leur grammaire était pour le moins hésitante et leurs demandes et exigences tout bonnement ridicules. Bien que les amateurs continuent de faire les mêmes erreurs, certains ont tellement progressé qu’ils arrivent facilement à contourner les filtres de messagerie destinés à les arrêter.
Désormais, les emails et pages de phishing sont bien souvent difficilement détectables. Les auteurs de ces attaques se font généralement passer pour des entreprises avec lesquelles la victime travaille, par exemple des sociétés émettrices de cartes bancaires et des banques ou pour des services sur lesquels l’utilisateur s’appuie dans son environnement professionnel, par exemple Dropbox et Office 365. Dans les attaques les plus ciblées, les hackers identifient les fournisseurs d’une entreprise, puis imitent ses emails en reprenant ses polices, logos, signatures et même ses mentions légales. Ce niveau de sophistication est relativement récent et de nombreuses PME ne s’y sont pas encore adaptées. D’après le rapport de Switchfast, 65 % des employés de PME n’ont jamais été confrontés à un test de phishing depuis qu’ils sont en poste.
Savez-vous repérer une page de phishing ? Faites le test pour le savoir.
Le point central d’un email de phishing est un lien malveillant. De manière générale, l’email demande à sa victime de cliquer sur un lien de connexion à un outil de productivité comme Office 365 ou à une plateforme de ressources humaines. Lorsque celle-ci s’exécute, elle est redirigée vers une page de phishing qui ressemble trait pour trait à la page Web du fournisseur. Sans se méfier, l’utilisateur saisit alors ses identifiants ou des informations personnelles.
Les banques sont souvent imitées par les hackers, mais les services dans le Cloud restent les plus populaires. Microsoft est ainsi la marque la plus ciblée par les attaques de phishing depuis quatre trimestres consécutifs, dépassant d’autres enseignes pourtant populaires comme Bank of America, mais aussi des entreprises technologies connues pour héberger des millions de numéros de comptes bancaires, notamment PayPal.
Voici quelques-uns des types de fraudes les plus utilisés par les hackers :
-
Phishing aux identifiants d’Office 365 : la victime reçoit un email de Microsoft lui demandant de se connecter à Office 365, que ce soit pour accéder à un fichier partagé, mettre à jour ses informations de compte ou consulter un message vocal. Le lien amène la victime vers une réplique de la page Office 365. Une fois les identifiants saisis, le hacker les récupère et peut ainsi accéder à l’intégralité de la suite Office 365.
-
Fausse facture en pièce jointe : dans cette variante, les hackers envoient une fausse facture par email, ainsi qu’un lien permettant d’annuler l’achat. Ce lien mène en réalité à une page de phishing invitant à saisir des identifiants de compte, qui sont là encore promptement récupérés.
-
Phishing aux RH : le hacker se fait passer pour un logiciel de RH et envoie à un employé un email lui demandant de se connecter au portail des RH afin de mettre à jour ses informations personnelles. Une fois les identifiants dérobés via une page de phishing, le hacker a accès à toutes les informations personnelles de l’employé, y compris sa date de naissance, son numéro de sécurité sociale et les informations bancaires utilisées pour le virement de sa paie.
-
Mise à jour du moyen de paiement : un email informe l’utilisateur que son compte ou son abonnement a été suspendu ou annulé et l’invite à se connecter pour mettre à jour ses informations de paiement. Ces attaques concernent généralement les banques et les entreprises technologiques comme Amazon, Netflix, Apple et Microsoft.
Spear phishing
La différence entre le phishing et le spear phishing a beau être subtile, elle change radicalement la donne. Les emails de spear phishing ne contiennent pas de liens : ils reposent sur l’ingénierie sociale pour tromper leurs victimes. En effet, les médias sociaux renferment de nombreuses informations personnelles et permettent aux cybercriminels de connaître des détails intimes, détails révélateurs d’attitudes et de comportements. Armés de ces informations, ces derniers créent des emails de spear phishing formulés de sorte à générer une réaction immédiate.
Les auteurs de nombreux emails de spear phishing se font passer pour des dirigeants hauts placés, notamment des PDG, et ciblent des employés situés plus en aval dans la hiérarchie. Face à une demande de son PDG, l’employé réagit sans réfléchir et a envie de répondre rapidement. Cette technique hautement ciblée est redoutablement efficace. Les victimes expliquent souvent avoir craint les répercussions possibles si elles ne répondaient pas favorablement à la demande reçue ou avoir simplement voulu se montrer efficaces en prenant en charge une demande urgente.
Cette stratégie est plus simple à mettre en œuvre, car les auteurs des emails se font passer pour des personnes et non pour des entreprises. Il leur suffit donc d’usurper une adresse email au nom de l’expéditeur voulu. Ils espèrent ainsi que leur victime réagira au nom de l’expéditeur, sans vérifier l’adresse email.
Voici quelques-unes des attaques de spear phishing les plus couramment observées par Vade Secure :
Demandes de cartes cadeaux : dans de nombreux cas, le soi-disant PDG demande d’abord à l’employé s’il a le temps de traiter sa demande. Si la victime mord à l’hameçon, l’attaquant lui demande ensuite d’acheter des cartes cadeaux et de lui envoyer les codes figurant à l’arrière de chacune d’entre elles. La demande est toujours urgente. L’objectif ? Convaincre l’employé d’agir vite pour éviter les répercussions que ne manquerait pas d’avoir son refus.
Fraude au dépôt direct : dans cette variante, l’auteur de l’email de spear phishing se fait passer pour un employé. Dans son email, il explique au représentant des RH que ses coordonnées bancaires ont changé et doivent donc être mises à jour. La paie de la malheureuse victime est ainsi directement versée sur le compte du hacker.
Demandes de virement : aussi connue sous le nom d’attaque BEC, cette stratégie de spear phishing est la plus coûteuse. Le hacker se fait passer pour un haut dirigeant et cible un employé ayant accès aux comptes de l’entreprise. Il lui demande alors de réaliser un virement urgent pour un client ou un fournisseur, poussant sa victime à virer des fonds sur un compte frauduleux.
Facture en pièce jointe : dans cette variante, le hacker n’inclut pas de lien dans l’email, mais un malware caché dans une pièce jointe. Cette pièce jointe se veut être une facture urgente, envoyée à un employé. Une fois ouverte, elle exécute un malware qui se répand sur le système, souvent pour enregistrer les identifiants et frappes au clavier.
Protégez votre PME de la fraude par email
La sensibilisation des employés est impérative pour toutes les entreprises, mais encore plus pour les PME, dont les ressources informatiques sont limitées. En proposant des formations régulières à la sécurité, non seulement vous informerez les nouveaux employés des dangers de la fraude par email, mais vous maintiendrez la vigilance de ceux déjà en poste depuis plus longtemps. Par ailleurs, cette formation doit intervenir au fil de l’eau, lorsque les employés cliquent sur des liens de phishing ou répondent à des emails de spear phishing, pour prendre une tournure plus concrète.
Investissez dans un filtre de sécurité de l’email qui détecte les menaces inconnues. Les filtres de messagerie basés sur la réputation et la signature ne peuvent identifier et bloquer que les menaces connues, notamment les adresses IP et URL de phishing en liste noire. Ces méthodes sont aujourd’hui obsolètes et impuissantes face à la sophistication des hackers, qui ont recours à de nombreuses techniques pour les contourner, notamment les redirections à partir d’URL légitimes, la création de domaines voisins et la modification des caractéristiques du code du malware. 72 % des PME expliquent que des exploits et malwares n’ont pas été détectés par leurs systèmes de protection : il est plus important que jamais de passer à la vitesse supérieure.