“Il est devenu millionnaire en quelques secondes. Découvrez vite comment, en cliquant sur ce lien !” Ce genre de publicité vous semble familier? Si c’était si facile, plus personne ne travaillerait. Clique droit. Supprimer. Et l’affaire est réglée.
Bien que ce genre de spams soient faciles à détecter, il en existe bien d’autres, plus élaborés et sophistiqués, travestis de telle sorte que personne ne puisse s’en méfier. Comment les Advanced Persistant Threats (APT) parviennent à nous piéger dès lors ? On vous explique tout sur le social engineering dans notre prochain webinar. En attendant, voici un avant gout.
Une méthode qui a fait ses preuves… et qui touche également les PME et ETI
Le social engineering (ou l’ingénierie sociale) est une pratique répandue des pirates informatiques qui souhaitent extirper tout type de données susceptibles de générer un profit ou de conférer de l’influence. Bien que les motifs d’une attaque divergent selon les hackers, leur méthode, elle, reste identique. Le social engineering représente la phase de préparation des hackers avant de lancer leur offensive. Autrement dit, c’est la période de recherche et de collecte d’information sur une cible jugée intéressante.
Qui visent-ils ? Ne vous méprenez-pas. Penser que le piratage ne concerne que les grandes entreprises est un lieu commun. Bien au contraire. L’actualité regorge certes d’exemples spectaculaires sur le vol de données, comme Facebook dernièrement, mais les Petites et Moyennes Entreprises (PME) aisi que les entreprises de taille intermédiaires (ETI) sont également susceptibles d’être attaquées.. Les PME et ETI sont bien souvent moins armées face aux cyber attaques, et ce pour plusieurs raisons.
Tout d’abord ces entreprises n’ont pas encore toutes pris conscience de l’importance du sujet. D’autres au contraire, y accordent un faible intérêt, car elles sous-estiment la puissance d’une cyber attaque. D’autres enfin, considèrent ne pas avoir le budget suffisant pour se protéger.
Ces calculs sont en partie biaisés. Selon l’étude menée par Kaspersky1, le coût moyen d’une cyber attaque sur les PME s’élevait à 117 000 USD en 2017. Plus de 7 PME sur 10 ont déjà subi une cyber-attaque, mais plus de 8 entreprises françaises sur 10 ne se sentent pas ou peu exposées. Cette étude vient confirmer le fait que les PME sont au premier rang du côté des menaces qui pèsent sur nos entreprises, et qu’elles sont aujourd’hui les premières victimes des cyber-attaques. Ainsi, 74% des PME françaises ont déjà subi au moins une cyber-attaque. Il est malheureusement toujours trop tard lorsqu’on est infecté.
AISI tente justement de répondre aux problèmes de cybersécurité de tout type d’entreprise, Notre priorité ? Nous adapter à chaque entreprise. Pour en savoir plus, vous pouvez consulter notre site, ou bien lire notre article sur les Managed Security Service Provider
L’OSINT (Open Source Intelligence): un processus banal.
Une fois la cible identifiée, le hacker s’empresse de collecter le plus d’informations possibles sur elle. À l’heure des transformations du numérique, connaître la vie d’une personne lambda est un jeu d’enfant. Nos réseaux sociaux ouvrent d’ailleurs souvent la première porte du social engineering: Linkedin, Bloomberg, sans oublier Facebook et bien d’autres encore, offrent aux hackers toutes les informations dont ils ont besoin pour se préparer à vous attaquer.
L’idée derrière cette recherche d’informations est de trouver le déguisement le plus adapté pour se présenter à sa cible. Si par exemple cette dernière est passionnee d’un sujet précis, il conviendra de l’approcher par cet angle., afin d’optimiser les chances de réussite de l’attaque. Une fois cette phase de préparation achevée, il est temps d’hameçonner la proie. Il n’y aura qu’un seul contact, pas le droit à l’erreur pour le hacker.
Une multitude d’outils accessibles.
Injecter un virus dans un document, télécharger un document affecté cliquer sur un faux lien, tous les moyens sont bons pour étayer son attaque et installer un cryptolocker par exmple. Nombreux sont les supports qui permettent aux hackers de la préparer, comme par exemple Social Engineer Toolkit, Maltego, Lucky Strike ou the Harvester..
De plus, il est important de rappeler que les hackers cherchent à usurper la confiance de leur cible en se faisant passer pour un proche ou un collègue. Or, comme nous sommes plus susceptibles de commettre des erreurs sous pression ou dans l’urgence, ces pirates n’hésitent pas à monter de toute pièce une fausse situation qui requiert une réactivité immédiate de leur cible.
Notre invite Pierre-Antoine, specialiste des Amazon Web Services, repond à vos questions dans notre prochain webinar. Inscrivez-vous ici.
Mieux vaut prévenir que guérir.
Prenons un cas concret. Un de vos employés reçoit un mail avec pour objet “Commande Client no 324074 – Facture”. Il suffit qu’il ouvre la pièce jointe fictive et corrompue pour que toute votre infrastructure soit infectée, et vos données volées.
Mais alors que faire pour se prémunir contre les cyberattaques ?
Il existe un tas de bonnes pratiques pour éviter le “phishing”, dont entre autre la vérification des émetteurs de mails, l’utilisation de mots de passe variés, la séparation des mails personnels et professionnels. Mais la meilleure des protections reste la communication et la sensibilisation. Un chiffre intéressant: 42 % des employés affirment utiliser leur mot de passe personnel pour des applications professionnelles.
Souscrire à une cyber assurance ne prévient malheureusement pas des piratages. À cet égard, AISI accompagne votre entreprise dans la protection de vos données et vous forme à la cybersécurité. Si vous souhaitez en savoir en savoir plus, nous vous invitons à vous inscrire à notre prochain Webinar, entirement dedie au social engineering.
Restez informé de toutes les actus cyber & AISI.