Partis « pêcher » : pourquoi « les tracanciers » doivent-ils rester vigilants cet été ?

Un seul mot : le phishing. Aujourd'hui, les types d'attaques pour lesquels il faut doubler de vigilance sont nombreux. Et les types les plus rependus sont souvent l'hameçonnage par texto et vocal (vous recevez un texto ou un appel téléphonique), le harponnage de cadre (vous ou votre entreprise recevez un e-mail censé provenir d'une personne haut placée de l'entreprise.), le détournement de domaines et les attaques de phishing par e-mail, angler, pop-up, et même celles de type « evil twin » (jumeau maléfique).

Cet été, les hackers utilisent un large éventail d'appâts pour mener des attaques de phishing, visant principalement les « tracanciers » (contraction de travail et vacances) qui ne se méfient pas de ces techniques. Avec la montée en popularité du travail à distance, de nombreux employés combinent travail et loisirs. Pour contrer les attaques d'ingénierie sociale de plus en plus complexes, les entreprises doivent redoubler d'efforts en matière de cybersécurité.

Les primes « Work From the Beach » sont un moyen attrayant de fidéliser le personnel sur un marché de l'emploi de plus en plus concurrentiel. En effet, de nombreux employés adoptent cette pratique, selon une étude de Finder UK, qui révèle qu'un Britannique sur cinq a l'intention de travailler à distance depuis un autre pays cette année. Les mois d'été sont, sans surprise, un choix naturel pour réserver ces « tracances ».

Le rapport ThreatLabz 2023 Phishing de Zscaler nous a permis de faire le point sur ce qui est déjà le vecteur d'attaque le plus utilisé par les pirates informatiques : en 2022, les attaques de phishing ont enregistré une hausse d'environ 50 % par rapport à l'année précédente, et cette tendance semble se maintenir cette année.

Une baisse des défenses

Cette situation est d'autant plus inquiétante étant donné que les employés du WFB, qui profitent de leurs vacances dans un cadre détendu, ont tendance à être moins vigilants en matière de sécurité, ce qui les rend plus vulnérables et faciles à cibler.

Tout d'abord, en raison de leur éloignement, les employés ne peuvent pas avoir les conversations habituelles qu'ils auraient dans un environnement de bureau ouvert, où ils auraient pu évoquer une demande suspecte à un collègue ou demander un second avis avant de cliquer sur quoi que ce soit. Soucieux de retourner auprès de leur famille le plus rapidement possible, ils pourraient également être tentés d'exécuter leurs tâches à la hâte, sans prendre le temps de se poser les bonnes questions.

Un autre facteur qui accroît le profil de risque des travailleurs est qu'ils sont plus enclins à travailler à partir d'un appareil personnel, dont la sécurité est généralement plus faible. Ces appareils offrent plus de voies d'attaque, telles que les SMS et WhatsApp, et présentent un écran plus petit. En effet, ce dernier facteur réduit la capacité des utilisateurs à repérer les signes plus subtils d'une tentative d'escroquerie dans les attaques par texte ou par e-mail, tels qu'une adresse e-mail incorrecte.

Ainsi, bien que nous ayons appris depuis longtemps que se voir offrir une grosse somme d'argent par un inconnu dans un e-mail non sollicité est trop beau pour être vrai, les attaques de phishing d'aujourd'hui sont de plus en plus difficiles à repérer. C'est le cas même lorsque vous n'êtes pas distrait par le paysage qui entoure vos tracances. Et personne n'est à l'abri, pas même ceux qui travaillent dans la cybersécurité...

Votre voix peut-elle être instrumentalisée ?

Au début de l'année, un de nos directeurs commerciaux a reçu un appel téléphonique de notre PDG, Jay Chaudhry. Sa photo de profil s'affichait à l'écran et le directeur des ventes a entendu Jay dire : « Bonjour, c'est Jay. J'ai besoin que vous fassiez quelque chose pour moi » avant que l'appel ne soit coupé. Et par message WhatsApp : « Je voyage et n'ai pas beaucoup de réseau. En attendant, je peux vous texter ? »

Par la suite, il a demandé de l'aide pour transférer de l'argent vers une banque à Singapour, ce qui était inhabituel. Lorsque le directeur des ventes s'est renseigné auprès de son responsable, ce dernier s'est rendu compte que quelque chose n'allait pas et a alerté les enquêteurs internes. Cette équipe a rapidement découvert que des cybercriminels avaient reconstitué la voix de Jay à partir d'extraits de ses déclarations publiques pour voler l'entreprise.

Cet exemple élaboré d'ingénierie sociale, loin d'être un cas isolé, met en évidence le degré de sophistication auquel les entreprises sont confrontées. Alimenté par des outils d'IA de plus en plus performants, le phishing a évolué, passant d'une usurpation de texte peu crédible à des attaques vocales incroyablement persuasives, que l'on a appelées « « vishing ».

Pour réussir un vishing, il faut comprendre la dynamique sociale de l'entreprise ciblée. Les pirates savent que le personnel moins expérimenté et les nouvelles recrues ont peu de chances d'ignorer les demandes prétendument « urgentes » émanant de la direction. De plus, les cadres supérieurs sont souvent interviewés par les médias et mis en avant dans les efforts de marketing de l'entreprise, ce qui signifie que leur voix est plus susceptible d'être diffusée publiquement. En fait, les voix des membres de l'équipe de direction sont une arme qui peut être utilisée pour créer le parfait appât.

Une porte d'entrée pour les ransomwares

Que recherchent les « vishers » ? Leur objectif est d'inciter les victimes à réaliser à leur insu des actions destinées à escroquer leur entreprise ou à cliquer sur des pièces jointes malveillantes qui ouvrent la voie à des menaces bien plus graves, telles que les attaques par ransomware.

Les ransomwares sont déjà craints par les entreprises, tandis que le phishing ne suscite généralement pas autant d'intérêt. Toutefois, les entreprises devraient accorder plus d'importance à cette menace. Le phishing sert souvent de moyen de reconnaissance aux pirates. Il leur permet de collecter des informations confidentielles ou personnelles. Ces données volées sont ensuite vendues sur le Darkweb pour faciliter des attaques ciblées plus importantes.

C'est un moyen relativement simple et discret pour les acteurs malveillants de s'introduire dans une entreprise. Ils peuvent se servir de l'ordinateur portable d'une seule cible comme point d'entrée. Moyennant un certain prix, l'accès à ce précieux point d'entrée peut ensuite être vendu à des groupes de ransomwares. Ces groupes peuvent alors se servir de cet accès pour se déplacer latéralement au sein d'un réseau plus étendu et connecté.

Recentrer l'attention sur la sécurité

Que doivent donc faire les entreprises pour s'assurer que leurs employés ne tombent pas dans les filets d'un scam de phishing pendant qu'ils sont « absent(e) du bureau » en cette période estivale ? Optez pour une stratégie d'accès au réseau Zero Trust (ZTNA) basée sur le cloud, qui simplifie le travail à distance en tout sécurité.

Une architecture Zero Trust réduit considérablement la surface d'attaque et aide à stopper les dommages causés par le phishing. Comment ça marche ? Cette dernière empêche la perte de données en inspectant et protégeant les données en mouvement et au repos. De plus, elle bloque les mouvements latéraux des malwares pour éviter que des ressources supplémentaires ne soient infectées. En effet, les utilisateurs sont directement connectés aux applications et aux ressources spécifiques dont ils ont besoin, sans accès direct au réseau lui-même.

Pour demeurer attrayantes aux yeux des talents de plus en plus sollicités, les entreprises ne peuvent se permettre de négliger les mesures de sécurité. Il est nécessaire pour elles de revoir leur approche de sécurité en passant d'une approche centrée sur le réseau à une approche centrée sur l'utilisateur avec ZTNA. Ainsi, elles auront l'esprit plus tranquille pour offrir un équilibre entre vie professionnelle et vie privée à des employés qui souhaitent profiter au maximum de leur été.

Tony Fergusson possède plus de 25 ans d'expérience dans les domaines des réseaux, de la sécurité et du leadership en matière de technologies de l'information, et ce, dans diverses industries. Doté d'une "mentalité visionnaire", Fergusson a été l'un des premiers adeptes des principes de réseau à confiance zéro en 2015. Défenseur passionné de la réduction des surfaces d'attaque des entreprises, il a été le tout premier client de Zscaler à mettre en oeuvre Zscaler Private Access au sein de son organisation et à appliquer les principes de confiance zéro aux dispositifs OT (objets techniques). Plus récemment, avant de rejoindre Zscaler, Fergusson a dirigé la transformation sécurisée vers le cloud de MAN Energy Solutions, y compris sa transformation numérique primée en une architecture réseau à confiance zéro. Il considère l'innovation et la pensée novatrice comme des clés pour comprendre et surpasser les adversaires cybernétiques.