
Au coeur d'une campagne de phishing
Le phishing est une pratique consistant à abuser de la crédulité des gens afin de leur soustraire des données sensibles ou de leur faire installer un logiciel malveillant. La majorité des attaques informatiques actuelles utilisent ce moyen comme première tentative d’infection.
Il est devenu courant de réaliser des campagnes de phishing préventives pour analyser le niveau de sécurité actuel d’une entreprise. Ces campagnes sont un excellent moyen pédagogique pour entraîner les collaborateurs et leur faire prendre conscience des pièges utilisés par les vrais hackers.
(cliquez sur l'image pour agrandir)
Lors d’une campagne de phishing, nous commençons toujours par prendre le temps nécessaire afin d’expliquer comment la campagne va se dérouler et les différentes possibilités existantes. Ensuite, d'entente avec le client, un scénario est défini. Le nombre de scénarios différents est uniquement limité par l’imagination de l’ingénieur en sécurité et les restrictions émises par le client. Selon la demande, le scénario peut être général ou spécifique au secteur de l’entreprise ciblée, l’objectif reste toujours d’avoir un maximum de crédibilité.
Une fois le scénario défini, l’ingénieur en sécurité crée les ressources nécessaires à la campagne. Généralement, cela consiste en un e-mail et une page web (appelée « landing page »). L’objectif de l’e-mail est d’inciter la cible à cliquer sur un lien qui la redirigera vers la page web malveillante. Selon le scénario, des éléments de « social engineering » seront utilisés pour augmenter les chances de réussite. Par exemple, dans des mails indiquant que la personne doit se rendre sur un site et s’authentifier sous peine d’avoir son compte bloqué dans la journée, les sentiments de peur et de hâte sont utilisés. D’autres scénarios utiliseront la confiance et l’envie pour, par exemple, faire s’inscrire les collaborateurs à un concours. Une fois sur la « landing page », les personnes sont généralement incitées à entrer leurs identifiants professionnels. Dès ce moment, soit la personne est informée qu’elle a participé à un exercice de phishing, soit elle n'en sera informée qu’à la fin de la campagne afin d'éviter qu’elle ne renseigne ses collègues. Il est également possible de faire installer de faux malwares inoffensifs à la cible, mais cela est moins courant.
Le niveau de difficulté des campagnes est variable. Un plus ou moins grand nombre d’indices peut être laissé dans l’e-mail ou la « landing page » selon ce que le client recherche. Dans une idée d’amélioration continue et de pédagogie, les premières campagnes laissent généralement assez d’indices pour permettre de détecter rapidement la fraude. Une fois les collaborateurs habitués, les indices deviennent plus rares.
Afin de récupérer les statistiques sur le taux de clics, d’ouvertures et de données soumises, l’ingénieur en sécurité ajoute du code invisible dans l’e-mail et dans la « landing page ». Dans les cas où les collaborateurs entrent leur identifiant et mot de passe, Infoteam peut stocker ces informations sur demande du client. Cependant, pour des soucis de confidentialité, ces informations ne sont pas gardées par défaut.
Les résultats des campagnes de phishing dépendent du niveau de formation des collaborateurs et de la difficulté choisie. Généralement, le taux de personne envoyant ses identifiants est supérieur à 20%. Lors des campagnes effectuées par Infoteam, des retours intéressants ont pu être observés:
- Dès lors qu’un e-mail a une bonne orthographe et une mise en page ayant l’air de venir d’une entreprise sérieuse, le collaborateur va rapidement cliquer sur le lien redirigeant vers la page web malveillante.
- Un grand nombre de personnes pense qu’un site web est authentique s’il possède une connexion sécurisée en HTTPS (cadenas vert).
- La majorité des gens ne vont que brièvement regarder le nom de domaine de la page, un simple nom de domaine ayant l’air vrai suffit à les duper.
- Les personnes regardant leur mail depuis leur mobile sont beaucoup moins attentives.
- Les personnes regardant leur mail tôt le matin sont beaucoup moins attentives.
- La majorité des cibles se laisse duper dans la première heure.
Les campagnes de phishing préventives ont un but pédagogique. À la fin de ces campagnes, des conseils sont donnés à tous les collaborateurs afin qu'ils puissent apprendre de leurs erreurs. Les personnes qui se laissent duper lors d’un exercice de phishing ont généralement un comportement nettement plus attentif lors des mois qui suivent. N’importe qui peut se faire avoir un jour ou l’autre par ce genre d’attaque, il est donc primordial de ne jamais stigmatiser les personnes ayant donné leur identifiant. À la place, il est nécessaire de leur donner les clés pour déceler plus facilement les tentatives de phishing à l’avenir. Le meilleur moyen pour cela est de combiner de la sensibilisation théorique avec ces exercices pratiques.
Est-ce que vos collaborateurs sont prêts ? N'attendez pas d'être réellement attaqués pour le savoir, contactez nous afin de réaliser une campagne de phishing ! En plus de cette campagne, Infoteam vous propose une formation d'une demi-journée pour sensibiliser vos collaborateurs à la sécurité informatique.
Campagne de phishing Formation
Une fois vos collaborateurs formés, nous vous proposons également de sécuriser votre infrastructure en réalisant un audit de sécurité par nos ingénieurs ou en utilisant notre nouveau service en ligne Security Guardian.
Audit de sécurité Security Guardian
N’hésitez pas à nous contacter pour une évaluation plus précise du niveau de cybersécurité de votre entreprise, des recommandations personnalisées et un accompagnement dans leur mise en place.
Infoteam Security vous propose une gamme complète de tests et de recommandations en matière de sécurité informatique vous permettant de garantir la disponibilité de vos systèmes d'information. Vous pouvez consulter nos slides de présentation ou notre site internet pour obtenir plus de détails sur nos prestations.
Vous souhaitez recevoir nos dernières actualités ? Abonnez-vous