Compromission des courriels d'entreprise ou hameçonnage

Le monde de la cybersécurité est truffé de termes qui semblent se recouper, ce qui peut être source de confusion lorsque les utilisateurs tentent d'en savoir plus sur le sujet.

Par exemple, tous les ransomwares sont considérés comme des malwares, mais tous les malwares ne sont pas des ransomwares, et si tous les virus sont considérés comme des malwares, tous les malwares ne sont pas des virus. Pour ne rien arranger, les organisations utilisent parfois ces termes de manière interchangeable alors qu'elles ne devraient pas le faire.

"Un autre exemple de termes qui peuvent prêter à confusion lorsqu'ils sont comparés l'un à l'autre est la compromission du business email, également connue sous le nom de BEC, et le phishing." Il s'agit dans les deux cas de cyberattaques, mais elles diffèrent par leurs méthodes, leurs cibles et leurs objectifs.

Compromission du courrier électronique des entreprises

Les BEC ciblent généralement les entreprises, les cadres ou les employés ayant accès à des informations financières ou sensibles. Les organisations de tous types, de tous secteurs et de toutes tailles peuvent être la cible de BEC. Certains groupes de cybercriminels ciblent des organisations très spécifiques, tandis que d'autres s'attaquent à n'importe quelle organisation dans laquelle ils peuvent prendre pied.

Dans une attaque BEC, les attaquants se font généralement passer pour une personne de confiance, comme un PDG, un fournisseur ou un partenaire, en compromettant ou en usurpant le compte de messagerie électronique de cette personne ou de cette organisation. Les attaquants utilisent le compte auquel le destinataire fait généralement confiance pour envoyer des courriels très ciblés et convaincants afin de manipuler le destinataire pour qu'il prenne des mesures spécifiques, telles que le transfert de fonds ou le partage de données confidentielles.

L'objectif des attaques BEC de ce type est le gain financier ou le vol d'informations commerciales sensibles. Les attaquants peuvent réussir à faire virer de l'argent directement sur leur compte par un employé peu méfiant, ou ils peuvent vendre sur le dark web les informations qu'ils ont obtenues au cours de l'attaque.

Les attaques BEC sont souvent plus sophistiquées et personnalisées, s'appuyant sur l'ingénierie sociale plutôt que sur des liens ou des pièces jointes malveillants.

Il est important de noter que dans les attaques BEC traditionnelles, l'approche par courrier électronique direct usurpe l'identité des dirigeants, exploite les hiérarchies organisationnelles et utilise des demandes urgentes de paiements et de transferts financiers. Parfois, les cybercriminels vont encore plus loin et mettent au point des tromperies élaborées qui impliquent des fils de réponse longs et complexes qui sont placés dans leurs courriels malveillants avec les noms corrects des dirigeants, et même leur ton, pour rendre leurs courriels encore plus convaincants.

Phishing

Le phishing peut viser pratiquement tout le monde, qu'il s'agisse de particuliers, d'employés ou d'entreprises. Le phishing est sans aucun doute une approche plus large qui consiste à envoyer des milliers de courriels à des milliers d'adresses électroniques sans vraiment tenir compte de l'identité des destinataires dans la plupart des cas. Plus le nombre de courriels de phishing envoyés est élevé, plus il y a de chances que la personne qui reçoit le courriel clique sur les liens malveillants ou les pièces jointes qu'il contient.

Les attaquants tentent toujours de faire en sorte que ces courriels ou messages de masse semblent provenir de sources légitimes, comme une banque ou un fournisseur de services en ligne, afin d'inciter les destinataires à cliquer sur des liens malveillants, à télécharger des malwares ou à fournir des informations sensibles telles que des mots de passe ou des données de carte de crédit.

L'objectif du phishing est de voler des informations d'identification, de diffuser des malware ou de commettre des fraudes financières. Les attaquants peuvent utiliser les informations d'identification pour tenter de transférer de l'argent hors des comptes ou utiliser l'accès pour voler des informations qui peuvent être vendues. Parfois, les attaques de phishing contiennent un ransomware conçu pour verrouiller les systèmes critiques d'une entreprise ou même un ordinateur portable personnel jusqu'à ce que la victime paie une rançon pour débloquer son appareil ou ses serveurs.

Les attaques de phishing sont souvent moins ciblées et moins sophistiquées, et reposent sur le volume, dans l'espoir de tromper le plus grand nombre de personnes possible.

Principales différences

La portée de ces deux attaques est notamment très différente. Le BEC est très ciblé et spécifique, tandis que le phishing est plus large et plus général. En ce qui concerne les tactiques, le BEC repose sur l'usurpation d'identité et l'ingénierie sociale, tandis que le phishing utilise souvent des liens ou des pièces jointes malveillants. Le BEC cible généralement les entreprises et les personnes de grande valeur, tandis que le phishing peut viser n'importe qui. En résumé, le BEC est une forme d'attaque plus ciblée et stratégique, tandis que le phishing jette un filet plus large pour exploiter le plus grand nombre de victimes possible.

Connaître la différence

Il est important que les organisations connaissent la différence entre ces deux types d'attaques car, bien qu'il puisse y avoir un certain chevauchement dans les solutions qui peuvent être utilisées pour lutter contre le BEC et le phishing, le fait de savoir si votre organisation est actuellement la cible d'un BEC par un groupe cybercriminel ou si elle est simplement victime de phishing vous permet de déployer vos ressources en matière de sécurité en conséquence. Les courriels de phishing peuvent simplement apparaître dans les boîtes de réception, mais les attaques BEC ont tendance à utiliser plus d'une méthode d'attaque. Les attaques BEC commencent naturellement par des courriels malveillants, mais elles peuvent aussi évoluer vers des appels téléphoniques frauduleux, des messages vocaux, des messages instantanés et d'autres formes d'ingénierie sociale.

Combattre les attaques de phishing

Pour lutter efficacement contre les attaques de phishing, il faut que chaque utilisateur soit sensibilisé, qu'il utilise la technologie et les meilleures pratiques, qu'il soit au bureau, qu'il travaille sur des systèmes internes sécurisés, qu'il soit à la maison et qu'il utilise son ordinateur portable personnel, ou qu'il se situe entre les deux, comme le travail à distance. Voici quelques-uns des meilleurs moyens de vous protéger, vous et votre organisation, contre les attaques de phishing :

• Sensibilisez et formez les utilisateurs : Organisez régulièrement des sessions de formation pour aider les employés et les utilisateurs à reconnaître les tentatives de phishing. Apprenez-leur à identifier les courriels, les liens et les pièces jointes suspects. Encouragez le scepticisme à l'égard des demandes non sollicitées d'informations sensibles.
• Vérifiez avant de cliquer : Vérifiez toujours l'adresse électronique et le domaine de l'expéditeur. Survolez les liens pour vérifier leur destination avant de cliquer. Évitez de cliquer sur des liens ou de télécharger des pièces jointes provenant de sources inconnues ou non fiables.
• Utilisez l'authentification multifactorielle (MFA) : Activez l'authentification multifactorielle pour tous les comptes afin d'ajouter une couche de sécurité supplémentaire. Même si les informations d'identification sont compromises, l'AMF peut empêcher tout accès non autorisé.
• Mettez en œuvre des outils de sécurité pour le courrier électronique: Utilisez des filtres anti-spam et des solutions de sécurité pour bloquer les courriels de phishing. Activez la fonction DMARC (Domain-based Message Authentication, Reporting, and Conformance) pour empêcher l'usurpation d'adresse électronique.
• Mettez vos logiciels à jour : Mettez régulièrement à jour les systèmes d'exploitation, les navigateurs et les logiciels antivirus pour corriger les vulnérabilités. Utilisez des outils antivirus et anti-malware réputés pour détecter et bloquer les menaces.
• Encouragez le signalement : Créez une procédure simple permettant aux employés ou aux utilisateurs de signaler les tentatives de phishing. Agir rapidement pour enquêter sur les menaces signalées et les atténuer.
• Contrôler et tester : Menez des campagnes de phishing simulées pour tester et améliorer la sensibilisation des utilisateurs. Surveillez l'activité du réseau pour détecter tout comportement inhabituel qui pourrait indiquer une attaque par phishing.
• Sécurisez les informations sensibles: Limitez l'accès aux données sensibles aux seules personnes qui en ont besoin. Utilisez le cryptage pour protéger les données en transit et au repos.
• Soyez prudent avec les réseaux Wi-Fi publics: Évitez d'accéder à des comptes sensibles ou de saisir des informations d'identification sur des réseaux Wi-Fi publics. Utilisez un réseau privé virtuel (VPN) pour des connexions sécurisées.
• Restez informé : Tenez-vous au courant des dernières tactiques et tendances en matière de phishing. Partagez avec votre équipe ou votre communauté les mises à jour et les alertes concernant les nouvelles escroqueries par phishing.

En combinant ces stratégies, vous pouvez réduire considérablement le risque d'être victime d'une attaque par phishing.

Lutter contre la compromission des Business Email

Pour lutter efficacement contre les BEC, les organisations doivent adopter une approche à plusieurs niveaux combinant des mesures techniques, la formation des employés et des processus solides. Voici quelques stratégies clés :

• Formation des employés : Sensibilisez régulièrement vos employés aux tactiques de phishing et de BEC. Apprenez-leur à vérifier les informations relatives à l'expéditeur et à reconnaître les signaux d'alerte tels que les demandes financières urgentes.
• Protocoles d'authentification des courriels : Mettez en œuvre des protocoles tels que DMARC, SPF et DKIM pour empêcher l'usurpation d'adresse électronique et garantir l'authenticité des courriels.
• Authentification multifactorielle (MFA) : Appliquez l'authentification multifactorielle à tous les comptes de messagerie pour ajouter une couche de sécurité supplémentaire, même si les mots de passe sont compromis.
• Procédures de vérification : Mettez en place des procédures strictes de vérification des transactions financières, telles que des rappels pour confirmer les demandes de paiement à l'aide de coordonnées connues.
• Mises à jour des logiciels : Maintenez tous les systèmes, y compris les serveurs de messagerie et les logiciels antivirus, à jour afin de les protéger contre les vulnérabilités.
• Plan d'intervention en cas d'incident : Élaborez et mettez régulièrement à jour un plan d'intervention en cas d'incidents liés aux BEC, y compris l'isolement des systèmes et la notification aux autorités.
• Cryptage des courriels : Utilisez le cryptage pour sécuriser le contenu des courriels et les rendre illisibles pour les personnes non autorisées.
• Contrôles financiers : Mettre en place une vérification en deux étapes pour les transactions sensibles afin de minimiser les risques.
• Surveillance et audits : Effectuez régulièrement des audits de sécurité et surveillez les systèmes de messagerie électronique pour détecter toute activité inhabituelle.
• Protection du domaine : Utilisez des outils pour surveiller et protéger votre domaine contre les attaques par usurpation d'identité et les attaques de type "lookalike".

En encourageant une culture de sensibilisation à la cybersécurité et en mettant en œuvre ces mesures, les entreprises peuvent réduire de manière significative le risque d'être victimes de BEC.

Le bilan

Bien que certaines solutions disponibles puissent aider les organisations à lutter contre les deux types d'attaques, et que certaines des étapes nécessaires pour les combattre soient très similaires, il est important de se rappeler que le business email compromise et le phishing sont deux types d'attaques distincts. Les organisations doivent se préparer aux deux. Mimecast est prêt à aider ses clients en leur proposant des solutions personnalisées visant à les protéger à la fois contre la compromission des business email et contre le phishing.