Les organisations interagissent régulièrement avec leurs parties externes, généralement par mail, afin de mener à bien les services qu'elles fournissent. Les cybercriminels utilisent ce flux constant de communication pour tenter de voler l'identité de ces parties externes, afin d'escroquer les collaborateurs. Leur objectif est de les inciter à transférer de l'argent ou à penser qu'ils doivent donner des informations confidentielles pour résoudre un problème.
Chaque organisation communique avec un ou plusieurs tiers (comme des partenaires, des clients ou des fournisseurs) pour mener à bien ses activités. Les cybercriminels essaient de tirer profit de ces échanges : par la persuasion, la menace ou toute autre forme de pression, ils tentent de convaincre la victime qu'elle doit soit effectuer un virement imprévu et urgent, soit divulguer des informations confidentielles.
Leur objectif est de convaincre la victime qu’elle est obligée d’effectuer immédiatement une action pour finaliser ou débloquer une opération critique en cours. Et ce, tout en persuadant la victime de ne pas partager cette demande avec d'autres personnes en raison de son caractère confidentiel. En général, les cybercriminels se font passer pour l'un des tiers de l'organisation, de sorte que la victime pense que la demande est légitime.
Le compte bancaire n'est pas celui associé au tiers en question mais, en l'absence de contrôle des données et de processus d'approbation, la victime n’est pas en mesure de se rendre compte que la demande est fausse. Cette arnaque peut aussi se dérouler lorsque les cyberpirates se font passer pour le CEO ou un directeur ( fraude au CEO) ou pour le support technique (arnaque au faux support technique).
Les collaborateurs d'une entreprise forment sa première ligne de défense. Tous vos collaborateurs doivent être capables d’identifier les arnaques et les faux messages afin d'adopter les bons réflexes. Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Les e-mails de phishing font partie des arnaques les plus fréquentes. Les cybercriminels tentent ici de convaincre leur victime de partager ses mots de passe ou ses informations confidentielles. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.
• Est-ce inattendu ?
• Est-ce urgent ?
• Connaissez-vous l’expéditeur ?
• La question qui vous est posée vous semble-t-elle étrange ?
• Où mène le lien sur lequel on vous incite à cliquer ? (survolez-le avec votre souris, ne cliquez pas)
• Le message contient-il un code QR ?
• Est-ce que l’e-mail s’adresse à vous personnellement ?
• Le message contient-il beaucoup de fautes d'orthographe ou de grammaire ?
• Le message se trouve-t-il dans votre dossier Spam/Junk/Indésirables ?
• Est-ce que quelqu’un essaie d'éveiller votre curiosité ?
• On vous demande d'effectuer un paiement ?
Quelle que soit la personne qui demande des informations, les collaborateurs doivent connaître les politiques en vigueur concernant la classification des données, le transfert et le partage d'informations et l'utilisation acceptable des informations. De plus, instaurer un processus officiel d'approbation des virements électroniques réduit les risques de tomber dans ce type d'arnaques, car un collaborateur finira toujours par se rendre compte que la demande est illégitime et qu’aucune suite ne doit lui être donnée. Enfin, un processus de vérification de l'identité de l'expéditeur doit également être mis en place, par exemple en comparant son nom ou son compte bancaire à une liste conservée en interne ou en essayant de le contacter par un autre moyen. Toute demande de modification de cette liste doit être approuvée hiérarchiquement, ce qui implique de suivre à la lettre les règles de sécurité et de paiement (par exemple, faire signer par plusieurs employés les paiements dépassant un certain montant). Enfin, ne décrivez jamais les procédures de paiement de votre entreprise à des inconnus ; gardez toutes ces procédures pour un usage interne.
Les médias sociaux et le site Internet d'une organisation permettent de toucher de nombreux clients. Toutefois, il n'est pas toujours possible de contrôler totalement le public qui a accès aux informations et aux messages publiés. Les informations personnelles ou confidentielles n’ont pas leur place sur ces plateformes, car elles pourraient être utilisées à des fins malveillantes, par exemple pour identifier les collaborateurs qui travaillent dans le département financier et qui seraient plus à même d'effectuer un virement.
Les comptes sont une porte d'entrée vers l'ensemble de l'environnement d'une organisation. Ils doivent donc être protégés par des mots de passe forts, différents pour chaque compte. Un mot de passe fort comporte au moins douze caractères et une combinaison de majuscules et de minuscules, de chiffres et de symboles. L'authentification multifacteurs doit être activée dans la mesure du possible, en complément de mots de passe forts. L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.
Signalez toujours les arnaques survenues par mail à votre responsable informatique et à l'autorité nationale compétente (suspicious@safeonweb.be (EN) ; suspect@safeonweb.be (FR) ; verdacht@safeonweb.be (NL/DE)) et supprimez-les immédiatement.
Ces contenus visent à partager et à sensibiliser aux bonnes pratiques en matière de Cybersécurité.
Certains de ces conseils peuvent s’appliquer différemment selon le contexte de votre organisation.
Respectez toujours la politique et les consignes en vigueur dans votre organisation.
En cas de doute, demandez d’abord toujours conseil à votre responsable informatique.
