Comment les pirates procèdent-ils ?
Neuf cyberattaques sur dix commencent par un e-mail. C’est ce que nous expliquons régulièrement et plusieurs fois par an lors de ces formations qui font partie du quotidien de beaucoup d’entre nous. Nombreux sont ceux qui sont convaincus de pouvoir détecter les e-mails malveillants. Cela peut être vrai pour les e-mails d’hameçonnage qui sont diffusés en masse. Les pirates informatiques qui visent explicitement une entreprise en particulier sont beaucoup plus perfides. Cette méthode s’appelle l’ingénierie sociale (« Social Engineering »).
Imaginez le scénario suivant : Peu après la fin de votre journée de travail, vous trouvez une clé USB sur le parking des employés. Un post-it avec une inscription est collé sur le stick : « Salaires 2022 ». C’est sûrement la collègue des RH qui l’a perdu. En tant que collègue fiable, vous apporterez la clé USB à votre collègue dès le lendemain, mais vous voulez peut-être jeter un coup d’œil sur le salaire de votre cheffe ?
Le fait que les réseaux sociaux aient également trouvé leur place dans la vie professionnelle permet aux pirates informatiques de découvrir de plus en plus facilement, via LinkedIn et autres, qui sont les VAP d’une entreprise, avec qui ils sont également amis en privé, dans quelle association ils s’engagent et quels sont leurs autres loisirs.
Les informations obtenues permettent de lancer des attaques sophistiquées visant à gagner la confiance de la victime afin de susciter une réaction particulière. Les personnes qui reconnaissent en un clin d’œil les e-mails d’hameçonnage génériques se méfient moins lorsque le message électronique est censé avoir été envoyé par le chef et cliquent sur le lien malveillant qui n’a rien de suspect.
Les pirates qui savent avec quels outils une acheteuse interagit quotidiennement ou quels clients elle gère peuvent faire ressembler leurs attaques à son processus de commande quotidien. La conséquence : ce qui semble familier laisse les gens dans un faux sentiment de sécurité. Avec des conséquences fatales pour l’entreprise.