Tactiques des cybercriminels en 2023
L’une des tactiques préférées des cybercriminels restera la manipulation psychologique de leurs victimes pour leur dérober des informations confidentielles. Ces dernières années, les attaquants sont devenus des experts en la matière : ils savent influencer les réactions humaines, établir un climat de confiance, créer une sensation de manque, adopter un ton autoritaire ou véhiculer un sentiment d’urgence pour pousser leurs victimes à cliquer sur du contenu malveillant et/ou à divulguer des informations sensibles.
Dans le cadre professionnel, ces attaques se présentent sous la forme d’un faux profil LinkedIn, d’une invitation à une réunion sur Teams ou Zoom envoyée par un pirate qui se fait passer pour un collègue, d’un e-mail frauduleux cachant un logiciel malveillant ou d’un message sur WhatsApp émanant d’un « responsable informatique de l’entreprise » qui vous demande de lui accorder l’accès à l’Intranet.
Tous ces exemples sont réellement tirés du contexte de cybermenaces dans lequel nous évoluons aujourd’hui, et ils causent de graves dommages aux sociétés. Par exemple la plateforme marketing tout-en-un Mailchimp a récemment annoncé avoir été victime d’une violation de données. C’est la seconde attaque de ce genre lancée contre l’entreprise en moins d’une année.
Les cyber-attaquants ont mené une attaque d’ingénierie sociale sur les employés de Mailchimp. Après avoir dérobé leurs informations d’identification, ils ont pu accéder à certains comptes Mailchimp via l’un des outils utilisés par les équipes de la société qui sont en contact avec la clientèle. Autre cas impressionnant : certains attaquants ont même organisé un appel Zoom avec leur victime, puis envoyé une URL malveillante dans la barre de discussion pendant l’appel.
Les solutions d’IA générative, qui imitent le comportement humain peuvent devenir les outils d’ingénierie sociale et de phishing les plus redoutables de notre siècle. Il est de plus en plus facile de rédiger des e-mails de phishing qui ne contiennent aucune faute d’orthographe et ont des caractéristiques de style et de format qui ne permettent plus de distinguer les e-mails légitimes des malveillants.
Conseils Pratiques
Outre l’outillage et les précautions d’usage telles que les pare-feu et les solutions EDR, il est essentiel de mettre en place une solide culture de la sécurité, au sein des sociétés, pour éviter d’être pris au piège des nouvelles menaces et en particulier des attaques de phishing.
Les entreprises doivent sensibiliser leurs employés aux bonnes pratiques cyber: communiquer sur l’importance de la sécurité des informations, le mode de fonctionnement des différentes cyberattaques et l’intérêt de signaler à l’équipe responsable de la cybersécurité toute activité suspecte, tout en les incitant à respecter les règlements en vigueur.