Avec les premiers signes de l'été dans l'air, les pensées peuvent se tourner vers la pêche… attendez… mauvais blog…

Dans ce premier article de blog sur la cybersécurité iDS, nous donnerons un aperçu rapide des attaques de phishing et des dommages qu'elles peuvent causer, de la fréquence des attaques et de certains types courants d'attaques de phishing. jen la deuxième tranche, nous nous concentrerons principalement sur la prévention et la récupération d'une attaque de phishing.

Qu'est-ce que l'hameçonnage ?

L'hameçonnage est une technique utilisée par les cybercriminels pour compromettre les appareils et les réseaux en incitant les destinataires d'e-mails à cliquer sur un lien ou à ouvrir un document contenant des logiciels malveillants. Alors qu'Hollywood dépeint souvent les pirates comme des héros voyous cherchant à faire tomber des sociétés maléfiques ou des agences gouvernementales sinistres, la réalité est beaucoup plus complexe.

Il existe de bons hackers éthiques, souvent appelés hackers chapeau blanc, qui peuvent aider les organisations à identifier les faiblesses de leurs réseaux, systèmes ou applications. Il existe des hackers black hat qui utilisent leurs capacités pour des activités malveillantes, telles que le vol de vos informations de carte de crédit ou de secrets d'entreprise.

Dans les films, les pirates malveillants sont généralement activement engagés dans leurs hacks - c'est-à-dire qu'ils affrontent leurs ennemis en temps réel sous nos yeux, contournent les dispositifs de sécurité, extraient les mots de passe et ont finalement accès aux joyaux de la couronne de leur cible pendant que notre les héros tentent de les vaincre.

La réalité est généralement très différente et beaucoup plus banale. Le vecteur le plus courant de violation de données en 2018 était un e-mail de phishing, selon IDG dans son rapport 2018 sur l'état de la cybercriminalité aux États-Unis, qui est menée en collaboration avec le magazine CSO, le CERT, les services secrets et KnowBe4.

L'étude a également révélé qu'aucune organisation n'est à l'abri. Les agences gouvernementales et les grandes entreprises ont subi en moyenne 196 événements de sécurité par an, tandis que les petites et moyennes entreprises typiques ont été confrontées à une moyenne de 24 événements par an.

Le résultat d'une attaque réussie dépend de l'objectif de l'attaquant. Une attaque courante consiste à intégrer un logiciel malveillant dans un e-mail qui permet à l'attaquant de violer le périmètre de sécurité, d'accéder à des systèmes supplémentaires et de voler des données client ou des identifiants de connexion. Dans ce cas, vous ne saurez peut-être même pas que vous avez été piraté jusqu'à ce que vous soyez contacté par le FBI ou la presse pour un commentaire.

D'autres attaques sont plus évidentes - tout le monde vient travailler pour découvrir que les données de tous vos ordinateurs sont maintenant cryptées avec un rançongiciel. Et votre sauvegarde de reprise après sinistre en temps réel est également cryptée. Vous pouvez récupérer les données pour seulement $50 000 de Bitcoin, un petit prix à payer, vous disent-ils.

Une violation de données peut être bien pire. Les estimations varient, mais plusieurs études impliquant une violation de données client ont des coûts pour une entreprise de taille moyenne confrontée à une violation de quelques milliers de dossiers de clients ou d'employés de $1,5 million à $5,5 millions. Les coûts peuvent être beaucoup plus élevés, et cela n'inclut pas les dommages à la réputation que vous pourriez subir en raison de la violation.

Quels sont les exemples d'attaques de phishing ?

Le phishing peut prendre plusieurs formes. L'escroquerie la plus célèbre (infâme ?) est un e-mail de phishing peu sophistiqué dans lequel l'expéditeur se fait passer pour un prince nigérian (ou un ancien responsable des finances du gouvernement) et a simplement besoin d'un compte bancaire américain pour y déposer son argent.

Cette escroquerie, sous une forme ou une autre, existe depuis plus d'un siècle, mais est devenue beaucoup plus courante avec la transition d'une attaque sur papier à une attaque par e-mail. Alors que la plupart des gens voient les e-mails pour l'escroquerie ridiculement mauvaise qu'ils sont, vous vous demandez peut-être pourquoi nous les voyons toujours.

Eh bien, c'est parce que, malheureusement, cela fonctionne toujours. Des millions de dollars sont versés aux criminels à partir d'e-mails peu sophistiqués qui sont si courants qu'ils ont leur propre surnom : une fraude « 419 », du nom de la section de la catégorie de fraude du code pénal nigérian.

Un autre des types d'attaques de phishing les plus courants est le spear phishing. Le spear phishing est une attaque ciblée où le mauvais acteur cible un individu spécifique et rassemble des informations sur sa cible afin de créer un e-mail beaucoup plus crédible.

Les médias sociaux sont une source principale de données utilisées dans les attaques de spear phishing. Par exemple, si vous postez sur un séjour dans un hôtel spécifique, le mauvais acteur peut rédiger un e-mail de l'hôtel pour vous demander de répondre à une enquête de satisfaction. Ou ils peuvent utiliser votre profil LinkedIn pour identifier que vous êtes un ancien élève d'une école spécifique, puis générer un e-mail avec un document décrivant un événement d'anciens élèves ou une initiative de collecte de fonds.

Un type d'attaque de harponnage encore plus spécialisé est appelé chasse à la baleine. La chasse à la baleine consiste à cibler les cadres supérieurs d'une organisation pour faciliter le vol des informations les plus précieuses de l'organisation ou autoriser des transferts de fonds frauduleux. La chasse à la baleine est souvent un effort à long terme axé sur la reconnaissance pour améliorer l'efficacité de l'attaque.

Une autre variante dont la fréquence augmente est appelée hameçonnage vocal ou vishing. Il existe de nombreuses variantes du vishing, du plus simple au plus complexe. À une extrémité du spectre, il y aurait un simple appel téléphonique pour essayer de persuader quelqu'un de donner des détails personnels ou des informations sur le compte, comme appeler le service d'assistance et lui dire que vous étiez un utilisateur qui a perdu son mot de passe.

Une attaque plus complexe peut combiner la modification des informations d'identification de l'appelant, le passage d'un appel et le suivi d'un e-mail. Par exemple, un attaquant peut faire apparaître son numéro de téléphone comme celui d'un cadre supérieur de l'entreprise, en appelant le spécialiste des comptes fournisseurs pour lui dire que le plus gros fournisseur de l'entreprise n'a pas été payé et qu'un virement bancaire est nécessaire dès que possible. .

Au téléphone, l'attaquant dit qu'il obtiendra les informations pour le paiement et enverra un e-mail avec les détails. L'attaquant enchaîne avec un e-mail falsifié à la cible qui semble provenir de ce même dirigeant contenant le routage et les numéros de compte pour un virement bancaire.

L'attaque est complétée par un autre appel téléphonique qui semble provenir de l'exécutif confirmant que le spécialiste AP a reçu l'e-mail et les informations. Et l'exécutif attendra en ligne pendant que le transfert est exécuté.

Quelle que soit l'attaque, dans un monde de plus en plus numérisé, nous sommes tous en danger. Notre prochaine tranche se concentrera sur la manière d'aider vos utilisateurs à éviter et vos systèmes à prévenir, détecter et récupérer de ces attaques. Pour plus d'informations sur nos services, veuillez contacter Robert Kirtley au rkirtley@idsinc.com.

iDiscovery Solutions est une société de conseil stratégique, de technologie et de services d'experts - fournissant des solutions personnalisées d'eDiscovery allant de la criminalistique numérique au témoignage d'expert pour les cabinets d'avocats et les entreprises aux États-Unis et en Europe.