Les nouveaux employés sont-ils le maillon faible de votre organisation? Attaques de phishing contre les nouveaux employés

Nous sommes tous passés par là : commencer un nouvel emploi peut être très éprouvant. Il y a de nouveaux systèmes que vous devez apprendre à connaître, de nouveaux collègues dont vous ne connaissez pas encore le nom et vous recevez beaucoup d'informations pratiques sur l'entreprise. Après une journée fatigante passée à rencontrer vos nouveaux collègues et à boire beaucoup de café, vous devrez vous connecter à votre ordinateur portable pour la première fois, utiliser de nouvelles applications et choisir de nouveaux identifiants de connexion pour toutes les applications avec lesquelles vous allez travailler. Un moment idéal pour envoyer un e-mail de phishing qui vous incite à saisir votre mot de passe sur un site malveillant ! Le fait que le courrier ait été envoyé à partir d'un domaine complètement différent de celui utilisé par votre entreprise et que Karen Smits ne soit pas du tout une de vos collègues directes, sont vite oubliés...

Un jeu psychologique

Le phishing est un moyen bien connu d'extraire des informations d'une victime inconsciente. La tromperie incite la victime à saisir des informations telles que des données de connexion sur un site web contrôlé par l'attaquant. Ces données peuvent être utilisées pour se connecter au compte de la victime et accéder ensuite aux systèmes informatiques, aux fichiers ou aux comptes d'autres utilisateurs. 

Méthode

De nos jours, vous trouverez beaucoup d'informations sur quelqu'un en ligne. Un criminel peut facilement trouver qui est votre employeur actuel sur votre profil LinkedIn. Ils utilisent ce type d'informations pour alimenter des courriels de phishing. En outre, ces informations peuvent être utilisées pour identifier les nouveaux employés en surveillant la liste des employés d'une entreprise. Il n'est pas difficile de trouver l'adresse électronique d'un nouvel employé : la structure (par exemple initial.lastname@domain.com) des adresses électroniques peut souvent être trouvée sur le site Web d'une entreprise, par exemple sur la page "contact" ou dans les articles de blog.

L'envoi d'un e-mail de phishing a de grandes chances de réussir, surtout auprès des nouveaux employés. Il est logique qu'en tant que nouvel employé, vous deviez vous connecter à toutes sortes de services pour la première fois et que vous ne connaissiez pas encore tous les noms et postes de vos collègues. Il est donc plus facile pour les attaquants de composer un courriel qui semble légitime. La corrélation des informations par le biais d'informations publiques et de "suppositions éclairées" crée un courrier électronique que les nouveaux employés ont du mal à distinguer du courrier légitime. Par exemple, les nouveaux employés ne remarqueront probablement pas que la personne de contact de l'e-mail travaille dans un département complètement différent de l'entreprise.

Mesures

Il existe plusieurs mesures qui rendent le phishing plus difficile :

  • Pour les nouveaux employés en particulier, il est important d'intégrer la sensibilisation à la cybersécurité dans le processus d'intégration. En faisant ceci, abordez des questions telles que : Comment se passe la communication au sein de l'entreprise ? Qui pouvez-vous contacter si vous n'êtes pas sûr qu'un certain courriel soit un courriel de phishing ? Que devez-vous faire si vous pensez avoir saisi vos coordonnées sur un site qui n'est pas digne de confiance ? Quelles sont les mesures mises en place par l'entreprise pour lutter contre les incidents de cybersécurité ?
  • En outre, il est important de mettre en place une authentification multifactorielle (MFA) pour tous les utilisateurs. Cela signifie qu'en plus d'un mot de passe, vous avez également besoin d'un code provenant de votre téléphone pour vous connecter, par exemple. Il est ainsi beaucoup plus difficile pour les parties malveillantes de pirater un compte, car une deuxième étape est toujours requise en plus du mot de passe.
  • Utilisez un gestionnaire de mots de passe. Par conséquent, une étape supplémentaire est nécessaire pour saisir les informations d'identification sur un site Web frauduleux, alors qu'elle n'est pas nécessaire sur le site Web légitime.
  • Technique : montrer aux utilisateurs un avertissement avec chaque email envoyé depuis l'extérieur de l'organisation. Pour les utilisateurs de Microsoft 365, ce paramètre peut être défini via Microsoft Exchange. Combinez cela avec une politique DMARC qui garantit que les parties malveillantes ne peuvent pas envoyer d'e-mails au nom de l'entreprise.

Conclusion

Soyez conscient des informations que l'on peut trouver en ligne sur les gens et de l'usage que des personnes malveillantes peuvent en faire. Intégrez la sensibilisation à la cybersécurité dans l'accueil des nouveaux employés et proposez régulièrement des formations et des campagnes anti-phishing. Vous avez des questions sur ce sujet ? Ou avez-vous besoin d'aide pour mettre de l'ordre dans la culture de la cybersécurité au sein de votre entreprise ? Envoyez-nous un courriel à l'adresse info@eye.security.

Publié le 28 mars 2022

Articles liés

Tout montrer