Les hackers ne prennent pas de vacances

Les vacances sont l’occasion pour les cyberattaquants de créer des noms de domaines malveillants liés aux vacances et de distiller des campagnes de phishing (usurpation d’identité pour s’emparer de données sensibles).

Une location saisonnière de rêve qui vous tente et vous fait cliquer sur un lien malveillant.
Une amende pour excès de vitesse à régler de toute urgence pour éviter une majoration.
Une offre alléchante "Hôtel + avion à moitié prix" vue sur votre réseau social préféré peut vous induire en erreur et vous inciter à cliquer sur un lien corrompu.
Un SMS ou un message WhatsApp vous demande de payer urgemment pour maintenir votre abonnement à votre service de streaming audio ou vidéo.
Un e-mail professionnel vous demande de vous connecter au portail de l’entreprise pour rectifier une note de frais rejetée.
Imaginez encore le scénario suivant : vous avez perdu votre valise à l’aéroport, vous publiez cette "story" sur vos réseaux sociaux. Vous recevrez un message instantané de votre compagnie aérienne qui vous demande de renseigner un formulaire en ligne pour récupérer votre bagage (66,6% de ces compromissions utilisent le format de fichier PDF très populaire selon le dernier rapport de l’Unit 42).

Voici quelques-unes des cyber menaces qui sévissent à l’occasion des congés d’été. Pour prévenir ces escroqueries en ligne, voici quelques conseils :

Laissez faire les mises à jour que demande votre terminal. Lorsque vous les désactivez à l’étranger pour éviter des frais, profitez d’un accès WiFi à votre hébergement pour installer les mises à jour lorsque votre appareil vous le propose.

Méfiez-vous d’un email inattendu comportant une pièce jointe ou vous invitant à cliquer sur un lien.

Soyez encore plus vigilant si un numéro inconnu vous demande de visiter un site web via votre messagerie instantanée.

Si le ton employé par l’expéditeur est pressant, présente une urgence ou annonce une date limite proche, prenez une pause et réfléchissez : peut-être pouvez-vous vérifier la véracité de la demande par un autre canal, votre canal habituel.

Efforcez-vous d’utiliser des mots de passe différents selon le contexte, l’idéal étant un mot de passe aléatoire pour chaque service en ligne.

Soyez conscients de votre degré d’exposition sur les réseaux sociaux, avez-vous bien vérifié dans vos paramètres de confidentialité si tout le monde peut voir votre selfie à Corfou ?

Avant de vous connecter à un réseau WiFi public, vérifiez bien que vous vous connectez sur le bon nom de réseau (votre hôtel, le restaurant, etc). Demandez à un personnel en cas de doute sur le nom ou le réseau à choisir.

Lorsque vous installez de nouvelles applications mobiles pour des besoins ponctuels (voyagistes, réservations en ligne...), méfiez-vous des bannières publicitaires qui peuvent vous rediriger vers un site non officiel qui vous incitera à vous inscrire ou à payer par son intermédiaire.

Dirigeants et responsable sécurité : évitez-vous des prises de "BEC"

Pendant les vacances, que vous le vouliez ou pas, vos responsabilités ne s’arrêtent pas. Cadres, dirigeants sont contraints de se connecter pour travailler. Une fraude s’impose de plus en plus aux dirigeants/cadres.

Elle se nomme "BEC" pour Business Email Compromise (attaque par compromission d’email ou aussi "arnaque au président") et coûte chaque année des millions d’euros/dollars aux organisations. Selon le FBI, entre 2016 et 2021, les attaques BEC ont causé 43 milliards de dollars de pertes aux organisations. L’organisme public cybermalveillance.gouv.fr alerte contre les escroqueries aux faux ordres de virement ("FOVI").

Ce sont des courriers électroniques frauduleux, qui semblent provenir du PDG ou d’un cadre de l’entreprise, qui invitent les utilisateurs à faire des virements bancaires, à partager des données sensibles commerciales ou personnelles. Récemment, cette escroquerie a permis aux gendarmes français l’arrestation de huits cyber escrocs dans cette "arnaque au président" qui a coûté 38 millions d’euros à l’entrepreneur victime, un record en France.

Notre dernière étude What’s next in cyber menée dans le monde entier auprès de 1 300 décideurs et professionnels de la cybersécurité révèle qu’en Europe, les personnes interrogées déclarent que les attaques BEC arrivent dans le Top 3 des menaces qui pèsent le plus sur leur organisation. Dans un précédent rapport, nous avions déjà alerté sur les différentes techniques pour compromettre les emails des entreprises. Les formes d’ingénierie sociale, telles que le hameçonnage, sont un moyen facile et rentable de se procurer un accès secret, avec un faible risque d’être détecté. Selon ce rapport, dans de nombreux cas, les cybercriminels se contentent de demander à leurs cibles involontaires de leur communiquer leurs informations d’identification, ce qu’elles font. Une fois l’accès obtenu, la durée médiane d’infiltration des attaques de type BEC est de 38 jours, et le montant moyen dérobé est de 286 000 dollars.

Pour se protéger, voici quelques conseils avisés :

Avant de partir en congés :

Demandez à votre responsable s’il peut activer ou renforcer l’authentification multi-facteurs sur les applications sensibles pour l’été, telles que celles permettant de modifier des informations personnelles, les identifiants bancaires (RIB), ou de valider des transactions ou des factures.

Clarifiez auprès de vos cadres le circuit de décision pour les transactions ou les contrats en cas d’absence d’une personne clé, en intégrant à la procédure au moins une personne habilitée sur site (prévoir la rotation du personnel pendant les congés).

Faites envoyer à l’ensemble de vos collaborateurs un court rappel de bonnes pratiques pour éviter les escroqueries en ligne durant les congés.

Pendant vos congés :

Si une demande de virement d’argent ou de paiement de facture vous parvient, appelez votre collaborateur habilité sur site puis le bénéficiaire en question sur un numéro officiel plutôt que de réaliser l’action en toute autonomie pendant vos congés. Soyez d’autant plus prudent si le demandeur vous somme d’agir vite,

Les conseils génériques du premier paragraphe s’appliquent évidemment aux cadres dirigeants qui doivent montrer l’exemple au premier chef.

Enfin, pour de plus amples informations, Cybermalveillance.Gouv.fr, Europol et le FBI ont créé des fiches de sensibilisation pour éduquer sur le sujet.