• Attaques d'hameçonnage des cadres - Conseils pratiques et stratégies de prévention

Attaques d'hameçonnage des cadres - Conseils pratiques et stratégies de prévention

Blog

Le courrier de votre PDG pourrait être un faux ! Exploration des tactiques trompeuses et de l'impact des attaques d'hameçonnage des cadres.

par Ahona Rudra

Temps de lecture : 9 min
Attaques d'hameçonnage des cadres - Conseils pratiques et stratégies de prévention
Table des matières-

Les attaques exceptionnelles de phishing contre des cadres sont l'un des moyens les plus efficaces et les plus rentables d'enfreindre la sécurité d'une entreprise. Les cadres peuvent être attirés par des courriels ou des appels téléphoniques, mais le résultat est presque toujours le même.

Une attaque de phishing par un cadre est une grande source d'inquiétude pour toutes sortes d'entreprises. C'est l'une des principales raisons pour lesquelles les organisations ont perdu plus de 43 milliards de dollars (USD) entre 2016 et 2021Les escroqueries spécifiques aux PDG contribuent de manière significative à ces pertes, devenant ce que le FBI appelle un problème de plusieurs milliards de dollars par an.

Dans cet article, nous discuterons de la définition du phishing exécutif, des raisons pour lesquelles il s'agit d'une menace et de la manière d'éviter d'en être la prochaine victime.

Points clés à retenir

  1. L'hameçonnage des cadres, y compris la fraude du PDG, cible les dirigeants en se faisant passer pour des sources de confiance afin de voler des données ou d'initier des transferts frauduleux.
  2. Les tactiques les plus courantes sont la compromission des courriels d'entreprise (BEC), les fausses factures et l'ingénierie sociale, souvent en créant un sentiment d'urgence ou en exploitant la confiance.
  3. La vigilance est de mise : Examinez attentivement les courriels pour y déceler des demandes inhabituelles, une mauvaise grammaire ou des détails étranges sur l'expéditeur, et vérifiez les messages suspects par d'autres moyens.
  4. Les défenses techniques telles que l'authentification des courriels SPF, l'authentification multifactorielle (MFA) et le filtrage avancé des courriels sont essentielles.
  5. Les mesures organisationnelles telles que la formation à la sécurité, les protocoles financiers stricts, les audits réguliers et les plans d'intervention en cas d'incident constituent des couches de protection essentielles.

Qu'est-ce que le phishing exécutif ?

Le phishing de cadres est une cybercriminalité qui vise les cadres de haut niveau et d'autres décideurs de premier plan, tels que le PDG, le directeur financier et les cadres de haut niveau. Cette pratique trompeuse, parfois appelée spécifiquement "phishing de PDG" lorsque l'identité du cadre supérieur est usurpée, implique que les cybercriminels imitent ces dirigeants pour tromper les employés ou les cadres eux-mêmes. Le nom du dirigeant, sa signature électronique, sa carte de visite numérique, son style d'écriture et d'autres détails sont souvent utilisés au cours de l'attaque de phishing pour que le message paraisse légitime.

En 2020En 2020, les cybercrimes tels que la fraude au PDG et les ransomwares ont coûté plus de 4,1 milliards de dollars, les cas signalés ayant augmenté de 69 % entre 2019 et 2020, pour atteindre plus de 791 000. Certains rapports indiquent que les escroqueries de type Business Email Compromise (BEC), qui comprennent le phishing de PDG, ont presque doublé entre 2018 et 2019 seulement. Malheureusement, ces cybermenaces ne ralentissent pas ; elles s'aggravent et affectent les entreprises à l'échelle mondiale.

Il est conçu pour tromper la victime en lui faisant croire qu'elle reçoit un courriel d'un membre de son organisation ou d'une autre source fiable, en exploitant la confiance et la nature hiérarchique des entreprises.

Les attaques d'hameçonnage de cadres impliquent généralement un courriel bien conçu provenant d'un employé de votre organisation, mais peuvent également inclure un courriel provenant d'une personne extérieure à votre organisation. 

Les courriels contiennent souvent des informations sur une réunion à venir, telles que l'ordre du jour ou un contrat à venir, ou demandent des actions urgentes telles que des virements bancaires ou le partage de données confidentielles.

L'attaquant peut également tenter d'accéder à des données confidentielles stockées sur le réseau de l'entreprise en se faisant passer pour un employé de confiance ayant accès à des informations sensibles.

Le phishing exécutif vise à voler des données confidentielles telles que des mots de passe, des documents sensibles et des identifiants de connexion, ou à tromper les employés pour qu'ils transfèrent des fonds ou donnent accès à des systèmes. L'attaquant utilise ensuite les informations d'identification volées ou l'accès obtenu à des fins malveillantes.

Lire aussi : Qu'est-ce qu'un courriel d'hameçonnage ?

 

Protégez-vous contre le phishing exécutif avec PowerDMARC !

15 jours d'essaiRéservez une démo

Pourquoi les attaques de phishing ciblent-elles les cadres ?

Cibler les cadres permet aux pirates d'accéder à des informations précieuses qui peuvent être vendues sur le Dark Web ou utilisées comme moyen de chantage contre l'entreprise de la victime. Ces attaques s'appuient souvent sur l'autorité et la confiance associées aux postes de direction pour manipuler les employés afin qu'ils prennent des mesures qu'ils n'auraient pas prises autrement, telles que le transfert de fonds ou la divulgation d'informations d'identification.

Les cadres de haut niveau ayant généralement accès à des données sensibles telles que des données financières, des informations personnelles identifiables (PII) et d'autres documents commerciaux confidentiels, ils peuvent devenir des cibles de choix pour les attaques de phishing visant à obtenir ces données par tous les moyens nécessaires. En outre, leurs comptes, s'ils sont compromis, peuvent être utilisés pour lancer des attaques très convaincantes contre d'autres employés ou partenaires. Les conséquences potentielles d'une attaque de phishing réussie par un cadre sont graves : pertes financières importantes, atteinte à la réputation de l'organisation, conséquences juridiques, perturbations opérationnelles, violations de données et stress considérable pour les employés concernés.

Exemple d'attaque de phishing par un cadre

L'image suivante donne un exemple de courriel de phishing destiné à un cadre supérieur :

courriel d'hameçonnage

Principaux types d'attaques de phishing exécutif

Voici quelques-uns des principaux types d'attaques de phishing exécutif :

Attaques de type "Business Email Compromise" (BEC)

Les attaques BEC ciblent les PDG et autres hauts fonctionnaires (souvent appelées fraude au PDG dans ce cas précis) en usurpant leur identité par courrier électronique et en demandant des transferts d'argent ou des informations sensibles.

Les auteurs de BEC envoient des courriels frauduleux avec de faux logos d'entreprise et des adresses d'expéditeur usurpées, imitant parfois le style d'écriture du dirigeant, pour tromper le destinataire et lui faire croire qu'ils sont réels et qu'il peut donner suite à la demande frauduleuse.
Lire aussi : Stratégie de base de défense contre les BEC pour les petites entreprises

Attaques de facturation

Cette attaque vise à voler de l'argent aux entreprises en créant de fausses factures qui semblent légitimes mais qui contiennent des erreurs ou des divergences, et qui dirigent souvent les paiements vers des comptes contrôlés par l'attaquant.

Le pirate demande ensuite le paiement de ces factures par virement bancaire ou par d'autres méthodes de paiement qui prennent du temps à être vérifiées, parfois en se faisant passer pour un vendeur connu ou pour un cadre autorisant le paiement.

Exploitation des plates-formes de communication vidéo

Dans cette attaque, le pirate exploite une plateforme de communication vidéo pour se faire passer pour le dirigeant. Par exemple, il peut utiliser Google Hangouts ou des outils similaires pour se faire passer pour le PDG et lui demander des informations confidentielles au cours d'une fausse réunion ou par chat.

Le pirate peut également envoyer un courriel aux employés pour leur indiquer qu'ils vont rencontrer une personne du service financier lors d'un appel vidéo. Il leur demande de télécharger une application (qui peut être malveillante) et d'entrer leurs données de connexion, ce qui peut compromettre les informations d'identification.

Ingénierie sociale

L'ingénierie sociale est la tactique principale utilisée dans toutes ces attaques pour accéder à des informations ou des données sensibles en incitant les utilisateurs à divulguer des mots de passe, des numéros de sécurité sociale, à autoriser des paiements ou d'autres actions sensibles.

L'attaquant se fait souvent passer pour un informaticien, un cadre supérieur ou un autre service de votre organisation et demande l'accès à votre ordinateur ou à vos ressources réseau, ou demande une action urgente alors que les pratiques commerciales normales ne justifient pas cette demande, en exploitant la confiance, la hiérarchie ou l'urgence.

Phishing exécutif contre chasse à la baleine

Rappelez-vous que le phishing exécutif et le Whaling sont des cyberattaques visant le personnel de haut niveau, le Whaling étant une variante plus spécialisée souvent synonyme d'attaques visant les personnes les plus haut placées (les "plus gros poissons"). Il s'agit dans les deux cas d'une forme de spear phishing, c'est-à-dire d'une attaque très ciblée et personnalisée. Des mesures de cybersécurité adéquates et la formation des employés sont essentielles pour se défendre contre ces menaces.

Examinons le phishing exécutif par rapport à la chasse à la baleine :

Aspect Hameçonnage des cadres La chasse à la baleine
Cible L'hameçonnage des cadres vise les cadres supérieurs d'une entreprise. La chasse aux baleines se concentre sur les cadres de très haut niveau, tels que les PDG et les directeurs financiers (les "baleines").
Objectif Le phishing exécutif vise à obtenir un accès non autorisé, à voler des données, à obtenir des identifiants de connexion ou à initier des transactions frauduleuses. Le whaling vise à soutirer des informations très sensibles ou de grosses sommes d'argent en compromettant ou en usurpant l'identité de cadres de haut niveau.
Type d'attaque L'hameçonnage des cadres est un type d'attaque de spear phishing qui piège spécifiquement les cadres ou utilise leur personnalité pour tromper les autres. Le whaling est une forme très spécialisée de spear phishing, qui cible les personnes les plus influentes ("baleines").
Usurpation d'identité Dans le cas de l'hameçonnage de cadres, les attaquants se font passer pour un cadre supérieur ou un collègue afin de tromper la cible. La chasse à la baleine consiste à se faire passer pour un cadre supérieur afin d'exploiter son autorité et sa confiance.
Préparation Les attaquants recherchent le rôle de la cible, son style de communication et les informations pertinentes, ce qui est courant dans l'hameçonnage des cadres. Les auteurs d'actes de chasse à la baleine mènent des recherches approfondies sur le cadre visé, ses responsabilités, ses relations et l'environnement de l'entreprise.
Contenu de l'e-mail Les courriels d'hameçonnage destinés aux cadres imitent les communications officielles. Ils créent souvent un sentiment d'urgence ou abordent des questions sensibles en rapport avec le rôle du dirigeant. Les courriers électroniques relatifs à la chasse à la baleine contiennent des messages hautement personnalisés et adaptés spécifiquement au poste, aux responsabilités et au contexte actuel de la personne ciblée.
Ingénierie sociale Le phishing exécutif exploite la dynamique du pouvoir, l'urgence ou la curiosité pour manipuler les cibles et les inciter à agir. Le whaling s'appuie sur la perception de l'accès à un haut niveau et de l'autorité du dirigeant usurpé pour manipuler la confiance et la conformité de la cible.
Charge utile Dans l'hameçonnage exécutif, les liens malveillants, les pièces jointes ou les demandes d'informations ou de transactions financières sont des charges utiles courantes. Les charges utiles de chasse à la baleine recherchent souvent des données hautement confidentielles, des transactions financières importantes ou d'autres actifs précieux accessibles uniquement aux plus hauts niveaux.
Impact L'impact du phishing exécutif peut aller de la compromission de comptes et de la violation de données à des pertes financières importantes et à des atteintes à la réputation. L'impact de la chasse à la baleine peut être extrêmement important, entraînant des pertes financières substantielles, une grave atteinte à la réputation et des conséquences réglementaires potentielles pour les organisations.
Contre-mesures Les contre-mesures contre le phishing exécutif comprennent la formation des employés, l'utilisation d'outils anti-phishing, l'authentification forte et des pratiques de messagerie électronique vigilantes. La défense contre le whaling implique une solide formation de sensibilisation à la sécurité (en particulier pour les cadres), une détection avancée des menaces, des méthodes d'authentification fortes et des protocoles de vérification stricts.
Exemples Les fausses demandes de transfert d'argent ou de partage de données envoyées à des cadres ou semblant provenir d'eux sont des exemples de hameçonnage de cadres. Le whaling consiste à envoyer des courriels très ciblés à des cadres de haut niveau, souvent avec des intentions malveillantes convaincantes, spécifiques au contexte, ou des demandes trompeuses semblant provenir de pairs ou d'entités externes critiques.

Lire aussi : Whaling Phishing vs. Regular Phishing

Défense et atténuation des attaques d'hameçonnage par les cadres

Les mesures de sécurité suivantes peuvent contribuer à protéger votre organisation contre le phishing exécutif :

Mise en œuvre de DMARC, SPF et DKIM

DMARC (Domain-based Message Authentication, Reporting & Conformance), ainsi que la norme SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail), sont des protocoles essentiels d'authentification du courrier électronique. SPF spécifie les serveurs de messagerie autorisés, DKIM ajoute une signature numérique pour vérifier l'intégrité du courrier électronique, et DMARC fournit une politique pour traiter les courriers électroniques qui échouent à ces contrôles, permettant aux organisations d'indiquer aux serveurs de messagerie destinataires comment traiter les messages frauduleux utilisant leur domaine et d'avoir une visibilité sur ces tentatives. La mise en œuvre de ces mesures réduit considérablement le risque d'usurpation d'identité par courrier électronique.

Formation à la sensibilisation à la sécurité

Une formation de sensibilisation à la sécurité aidera les employés à identifier les menaces potentielles avant qu'elles ne deviennent un problème. Cette formation doit être régulière et adaptée à des rôles spécifiques, en particulier pour les cadres et le personnel financier qui sont des cibles privilégiées.

La formation de sensibilisation à la sécurité apprend aux gens à identifier les courriels suspects sur la base de leur contenu (par exemple, demandes inhabituelles, urgence, mauvaise grammaire/orthographe), des détails de l'expéditeur (par exemple, adresses électroniques légèrement modifiées) et du contexte (par exemple, demandes en dehors des procédures normales, méthodes ou heures de communication inattendues). Il enseigne également aux employés comment signaler ces courriels en toute sécurité et l'importance de vérifier les demandes par le biais de canaux de communication distincts et fiables avant d'agir.

Authentification multifactorielle (MFA)

L'authentification multifactorielle (MFA) ajoute une couche de sécurité supplémentaire au simple mot de passe en demandant aux utilisateurs d'entrer un code envoyé sur leur téléphone, généré par une application, ou d'utiliser une clé de sécurité physique avant d'accéder aux comptes et aux systèmes. La mise en œuvre de l'AFM sur tous les comptes critiques gêne considérablement les attaquants, même s'ils volent des informations d'identification.

Outils de filtrage des courriels et de lutte contre l'hameçonnage

La première ligne de défense consiste à utiliser des solutions avancées de filtrage des courriels et des outils anti-phishing. Ces logiciels utilisent diverses techniques pour identifier et bloquer ou signaler les courriels suspects avant qu'ils n'atteignent les boîtes de réception des employés.

Ces outils analysent la réputation de l'expéditeur, le contenu des courriels, les liens, les pièces jointes et les informations d'en-tête afin de détecter les indicateurs d'hameçonnage connus, les tentatives d'usurpation d'identité et les logiciels malveillants potentiels.

Lire aussi : Différence entre Anti-Spam et DMARC

Mises à jour régulières des logiciels et gestion des correctifs

Veiller à ce que tous les logiciels, y compris les systèmes d'exploitation, les navigateurs, les clients de messagerie et les applications tierces, soient mis à jour avec les derniers correctifs de sécurité. Cela concerne aussi bien les machines physiques que virtuelles.

Les correctifs comprennent souvent des corrections de sécurité pour des vulnérabilités qui pourraient être exploitées par des attaquants au moyen de liens malveillants ou de pièces jointes envoyées par des courriels d'hameçonnage.

Protocoles financiers stricts

Établir et appliquer des protocoles clairs et rigoureux pour toutes les transactions financières, en particulier les virements électroniques ou les changements de coordonnées de paiement. Ces protocoles devraient prévoir l'approbation obligatoire de plusieurs personnes pour les montants importants ou les demandes inhabituelles, quelle que soit l'ancienneté de la source apparente.

Vérification des demandes

Cultiver une culture dans laquelle les employés se sentent responsabilisés et sont tenus de vérifier les demandes inhabituelles ou sensibles (en particulier celles liées aux finances ou aux données) par un canal de communication distinct et fiable (par exemple, un appel téléphonique à un numéro connu, une conversation en personne) avant d'agir, même si la demande semble provenir d'un cadre supérieur.

Élaborer des politiques de cybersécurité

Mettre en œuvre des politiques de cybersécurité complètes qui couvrent les pratiques de messagerie sécurisée, le traitement des données, la gestion des mots de passe, le signalement des incidents et l'utilisation acceptable des plates-formes de communication. Veiller à ce que ces politiques soient clairement communiquées et régulièrement révisées.

Audits de sécurité réguliers

Réaliser des audits de sécurité périodiques pour évaluer l'efficacité des défenses existantes, identifier les vulnérabilités potentielles des systèmes et des processus, et assurer la conformité avec les politiques de sécurité.

Établir un plan de réponse aux incidents

Disposer d'un plan de réponse aux incidents bien défini, portant spécifiquement sur les scénarios d'hameçonnage et de BEC. Ce plan doit décrire les étapes de confinement, d'investigation, d'éradication, de récupération et d'analyse post-incident, afin de garantir une réaction rapide et organisée pour minimiser les dommages.

Des protocoles de communication clairs

Définir des protocoles clairs sur la manière dont les informations sensibles et les demandes financières doivent être communiquées et autorisées au sein de l'organisation. Veiller à ce que les employés comprennent ces protocoles et reconnaissent les demandes qui s'en écartent comme des signaux d'alarme potentiels.

En conclusion

Bien qu'il ne s'agisse pas de la forme la plus courante d'hameçonnage, les attaques d'hameçonnage de cadres, comme la fraude au PDG, sont très ciblées et peuvent avoir un impact négatif disproportionné sur les individus et les entreprises. Si vous recevez des messages de personnes que vous ne connaissez pas, des demandes qui semblent inhabituelles ou urgentes, ou des communications sur des situations qui ne semblent pas immédiatement réelles, ne vous empressez pas de cliquer sur des liens, d'ouvrir des fichiers ou de suivre des instructions.

Vous pourriez très bien être la cible d'une attaque de phishing exécutif. En restant vigilant, en mettant en place des défenses techniques solides et en encourageant une culture de la sécurité soutenue par des procédures claires, vous pouvez réduire considérablement le risque d'en être victime. Suivez nos conseils pour vous protéger et protéger votre organisation.

Derniers messages de Ahona Rudra (voir tous)
L'adoption de DMARC en hausse : analyse des dernières tendancesTypes d'attaques DDoS et comment les prévenirTypes d'attaques DDoS et moyens de les prévenir