Changement climatique et argent - comment…
Notre épargne a-t-elle un impact sur le changement climatique et comment investir de manière durable ? Bryan Ferrari, Investment and Portfolio Manager au…
Tout d’abord, il est important de souligner que, tout comme la plupart des pays européens, le Luxembourg ne dispose pas d’une vue d’ensemble du volume et de la nature des attaques par phishing. Cela s’explique principalement par le fait que les incidents ne sont que partiellement détectés et qu’un nombre limité d’entre eux sont effectivement signalés à différents organismes publics. En outre, le terme « phishing » couvre un large éventail d’activités criminelles, qui dépendent d’au moins trois variables :
Qui est la victime ?
Qui est l’auteur de l’infraction ?
Quelle est l’intention de l’auteur de l’infraction ?
Il est cependant possible de se faire une idée de la fréquence des attaques par phishing au Luxembourg en accédant à l’observatoire des menaces de cybersécurité créé par le NC3 (https://nc3.lu/pages/observatory.html), qui donne un aperçu trimestriel des tendances à travers son bulletin. L’Observatoire NC3 aura bientôt un bulletin spécifique sur l’analyse des rapports SPAMBEE, visant à présenter les tendances en matière de’phishing et de spamming telles qu’elles sont rapportées par les résidents luxembourgeois. Certaines données spécifiques aux incidents sont également disponibles par le biais des statistiques ouvertes du CIRCL, le CERT de l’économie
(https://www.circl.lu/opendata/statistics/#ticketing-system-statistics).
En fonction de l’entité ciblée, il y aura différents types d’exigences, même si nous pouvons également mettre en évidence certaines exigences génériques.
Si la cible est un particulier ou une entité non réglementée, il existe principalement des « bonnes pratiques » à conseiller. L’objectif est d’améliorer la détection par la sensibilisation au problème. Il est conseillé aux utilisateurs de messageries électroniques ou de réseaux sociaux de se concentrer sur quelques points.
Y a-t-il quelque chose d’inhabituel dans le message s’il provient d’un expéditeur connu ?
Différents types de campagnes de sensibilisation au niveau national ou d’une entreprise peuvent contribuer à réduire l’exposition aux techniques d’ingénierie sociale habituellement mises en œuvre pour attirer leurs victimes par le biais d’attaques de phishing. Certaines entreprises de sécurité proposent à leurs clients de fausses campagnes de phishing, afin d’aider les employés à mieux comprendre ce que signifie être ciblé et à acquérir de l’expérience dans la détection des astuces de phishing les plus courantes.
Afin de mieux authentifier l’expéditeur d’un message, les organisations qui disposent de ressources suffisantes peuvent mettre en œuvre tout ou partie des normes suivantes :
Une autre série de mesures vise à réduire le risque de victimisation en rendant plus difficile l’exploitation des données hameçonnées.
Il s’agit principalement de l’utilisation d’un deuxième facteur d’authentification, qui est considéré comme solide parce qu’il n’est utilisable que pour une seule transaction et qu’il est disponible via un canal dont il est difficile, voire impossible, pour l’« hameçonneur / phisher » de prendre le contrôle.
Le « jeton » fourni par une banque à ses clients est un exemple de ce deuxième facteur d’authentification.
Un autre moyen de réduire le nombre de victimes est de supprimer les sites de phishing identifiés. Les organisations signalent aux fournisseurs d’hébergement les pages frauduleuses. Les utilisateurs peuvent également contribuer en signalant les URL de sites web suspects à un service tel que « URL Abuse » (https://www.circl.lu/urlabuse/). Le signalement des courriers électroniques par l’intermédiaire de SPAMBEE (spambee.lu) est un autre moyen pour l’utilisateur final de s’assurer que les pages suspectes sont vérifiées et, si leur caractère frauduleux est confirmé, qu’elles sont supprimées.
Des outils tels que SPAMBEE, mais aussi les navigateurs eux-mêmes, sont capables d’avertir les utilisateurs lorsqu’ils accèdent à une page web déjà considérée comme une page de phishing. Un avertissement visuel leur permettra de ne pas poursuivre la lecture de cette page.
Pour les entités réglementées, il y aura des obligations fixées par une autorité de réglementation, pour utiliser ou mettre en œuvre des mécanismes de sécurité spécifiques. Ils sont généralement choisis parmi ceux énumérés ci-dessus. Au Luxembourg, on peut citer en exemple la « Circulaire CSSF 15/603 », qui oblige les prestataires de services de paiement à recourir à l’authentification forte du client pour les paiements par Internet. Un autre point important concernant les entités réglementées est qu’elles doivent souvent se soumettre à des audits réguliers des risques opérationnels pour le compte de l’autorité de réglementation, ce qui signifie qu’elles doivent mettre en œuvre un cadre solide de gestion des risques, qui devrait englober les opérations liées à Internet. Cela les amène généralement à mettre en œuvre des contrôles de sécurité appropriés, réduisant ainsi l’exposition de leurs clients à des attaques telles que le phishing.
Au départ, la plupart des attaques de phishing se produisaient par courrier électronique, et le« phishing ciblé » était l’une d’entre elles. La principale caractéristique du« phishing ciblé » n’est pas le canal de communication qu’il utilise, mais la nature de la cible qui le définit. Il s’adresse en effet à une personne, ou à une catégorie de personnes, dans une organisation donnée. Dans une entreprise, une attaque par phishing ciblé peut par exemple viser le service comptable, dans le but d’inciter au moins l’un des comptables à fournir des informations d’identification susceptibles d’être utilisées ultérieurement pour déclencher des virements bancaires frauduleux. Comme toute attaque ciblée, le phishing ciblé nécessite un travail de reconnaissance avant l’attaque proprement dite, afin d’identifier les personnes susceptibles d’être ciblées, leurs centres d’intérêt, leur motivation éventuelle ou toute autre information personnelle qui permettra d’instaurer un climat de confiance et de les manipuler.
Le « whaling » est une attaque qui vise généralement un décideur clé au sein d’une organisation. Il peut s’agir, par exemple, du PDG ou du directeur financier d’une entreprise. C’est un type particulier de fraude du président, qui nécessite un travail préparatoire important de la part des attaquants, afin d’être en mesure d’identifier la meilleure approche pour inciter les victimes à révéler des informations sensibles ou à installer des logiciels malveillants sur leur ordinateur.
L’attaque « angler » consiste à se faire passer pour des employés du service clientèle d’une entreprise connue sur un réseau social, afin d’inciter les utilisateurs plaignants de ce service à divulguer des informations personnelles et éventuellement des identifiants. Elle repose sur le fait que les clients savent que les entreprises réagissent souvent plus rapidement aux problèmes soulevés sur les médias sociaux, car ceux-ci sont plus visibles et peuvent entraîner des problèmes de réputation de la marque en cas de non-réponse.
Une attaque « smishing » est une escroquerie par phishing qui utilise les SMS comme canal de communication pour diffuser son contenu préjudiciable. Comme il s’agit d’un moyen de communication écrit et asynchrone, ce type d’attaque ressemble beaucoup aux attaques de ’phishing traditionnelles basées sur le courrier électronique. Il s’agit en fait de l’une des premières « innovations » des gangs de phishing lorsqu’ils ont réalisé que les opérations basées sur le courrier électronique devenaient moins fructueuses en raison de l’impact positif des formations de sensibilisation.
Le « vishing » est une attaque par phishing qui se déroule sur un canal vocal. Il peut s’agir d’un appel téléphonique ou d’un appel par l’intermédiaire de l’un des nombreux outils de communication par « Voix sur IP » (VoIP) ou messageries. Ce type d’attaque peut être ciblé ou « aveugle ». Les mécanismes d’ingénierie sociale sont les mêmes que pour tout autre type de phishing. Il n’est pas rare de voir des attaques sophistiquées telles qu’une fraude du président commencer par des courriels, puis passer à des appels directs.
Les cinq conseils utiles :
Si c’est trop beau pour être vrai, c’est probablement « louche ». Aucune organisation sérieuse ne vous demandera de fournir vos identifiants (login et mot de passe) par le biais d’un courriel, d’un SMS ou d’un appel téléphonique, et encore moins par le biais d’un compte de média social.
Si vous recevez un message étrange de votre banque ou de toute autre institution, vous pouvez le signaler par l’intermédiaire de mécanismes tels que SPAMBEE (spambee.lu) et obtenir des informations en retour s’il s’agit d’un phishing connu.
Les criminels veulent que vous agissiez dans l’urgence, afin de vous empêcher de faire preuve de bon sens et d’esprit critique. Vous pouvez toujours vérifier toute information « urgente » auprès de votre banque ou de toute autre institution ciblée, soit en l’appelant à un numéro de téléphone connu, soit en tapant vous-même l’URL de son site web dans votre navigateur, plutôt qu’en cliquant directement sur les liens contenus dans les courriels.
Si vous pouvez protéger votre compte par un deuxième facteur, n’hésitez pas. Cela ajoute un peu de friction, mais diminue considérablement le risque d’être victime d’un acte criminel.
La vigilance doit également s’appliquer aux comptes de réseaux sociaux : les cinq règles précédentes y sont également valables.
À propos du blog :
Il devient urgent d’opérer une transition rapide vers une durabilité environnementale à l’échelle mondiale. Les entreprises et l'industrie ont d'énormes impacts sociaux et environnementaux. « Pourquoi est-ce important ? » est un blog bimensuel qui vise à éclaircir ce sujet important à travers le regard de nos experts.
Ne manquez pas les conseils pratiques de nos experts pour votre quotidien et faites partie du changement positif.