Vidéo: Formation en Electricité (Octobre 2024)
Les cyberespions conçoivent des rootkits et des malwares astucieusement dissimulés afin de dérober des secrets et d'écouter des communications privilégiées. Pour installer ces outils d’espionnage, ils s’appuient généralement sur l’élément le plus faible du domaine de la sécurité; l'utilisateur. Les campagnes éducatives visant à sensibiliser à la sécurité peuvent être d'une grande aide, mais il existe une bonne et une mauvaise façon de s'y prendre.
Relever des drapeaux rouges
Le Washington Post a rapporté la semaine dernière qu'un commandant de combat de l'armée avait pris l'initiative d'évaluer la capacité de son unité à détecter les messages de phishing. Son message de test indiquait aux destinataires (moins de 100) de consulter le site Web de leur régime de retraite pour connaître la réinitialisation obligatoire du mot de passe. Cependant, le message était lié à un faux site avec une URL très similaire à celle de l’agence, Thrift Savings Plan.
Les destinataires étaient intelligents. pas un seul d'entre eux n'a cliqué sur le faux lien. Cependant, ils ont partagé le courrier électronique suspect avec "des milliers d'amis et de collègues", provoquant une pléthore d'appels au plan d'épargne Thrift qui a duré des semaines. Finalement, le chef de la sécurité du régime de retraite a retracé le message jusqu'à un domaine de l'armée, et le Pentagone a retrouvé l'auteur. Selon le poste, le commandant anonyme "n'a pas été réprimandé pour avoir agi de son propre chef, car les règles étaient vagues."
Le fait que le régime d'épargne épargne ait connu une véritable infraction en 2011 a ajouté au souci d'inquiétude des employés fédéraux concernés. Un responsable de la défense a déclaré à la poste: "Ce sont les œufs de nid des gens, leurs économies durement gagnées. Lorsque vous avez commencé à entendre parler de TSP, le moulin à rumeurs était devenu monnaie courante." L'agence continue de recevoir des appels inquiets sur la base du test de phishing.
Le post signale que tout test de phishing futur devra être approuvé par le responsable des informations du Pentagone. Tout test impliquant une entité du monde réel tel que Thrift Savings Plan nécessitera l'autorisation préalable de cette organisation. Le directeur général de TSP, Greg Long, a expliqué très clairement que son organisation ne participerait pas.
Totalement faux
Alors, où ce commandant d'armée s'est-il trompé? Aaron Higbee, CTO de PhishMe, a récemment publié un article sur son blog: «Bon, presque partout. "Cet exercice a commis chaque péché capital d'hameçonnage simulé en manquant d'objectifs définis, en omettant de prendre en compte les ramifications que l'e-mail pourrait avoir, en omettant de communiquer avec toutes les parties potentiellement impliquées et en abusant peut-être de marques commerciales / habillages protégés par le droit d'auteur", a déclaré Higbee.
"Pour être efficace, une attaque d'hameçonnage simulée doit fournir au destinataire des informations sur la manière de s'améliorer à l'avenir", a déclaré Higbee. "Un moyen simple de le faire est de faire savoir aux destinataires que l'attaque est un exercice d'entraînement et de fournir une formation immédiatement après leur interaction avec l'e-mail."
"Les gens remettent souvent en question la valeur fournie par PhishMe en déclarant qu'ils peuvent effectuer des exercices de phishing simulés en interne", a déclaré Higbee. "Ceux qui ont cet état d'esprit devraient prendre la récente gaffe de l'armée comme un récit édifiant." Identifiant PhishMe comme "le champion incontesté du poids lourd" de l'éducation au phishing, il a conclu: "Au cours des 90 derniers jours, PhishMe a envoyé 1 790 089 courriels. Si nos simulations de phishing ne font pas la une des journaux, c'est que nous savons ce que nous faisons."
Le droit chemin
Une organisation ayant passé un contrat avec PhishMe pour une formation en phishing peut choisir une variété de styles de messagerie de test, dont aucun n’implique la simulation d’une tierce partie comme TSP. Par exemple, ils peuvent générer un message offrant aux employés un déjeuner gratuit. Tout ce qu'ils ont à faire est de se connecter au site Web de commande à midi "en utilisant votre nom d'utilisateur réseau et votre mot de passe" Une autre approche est une attaque à double baril qui utilise un courrier électronique pour soutenir la validité d'un autre, une tactique utilisée dans des attaques en temps réel avec menaces persistantes avancées.
Quel que soit le style de courrier de phishing choisi, tout utilisateur qui l’intéresse reçoit immédiatement un retour d’information et une formation, et la direction reçoit des statistiques détaillées. Après des séries de tests et d’entraînements répétés, PhishMe visait à réduire le risque de pénétration du réseau via le phishing de «plus de 80%».
La plupart des entreprises sont bien protégées contre les attaques de réseau via Internet. Le moyen le plus simple de pénétrer dans la sécurité est de tromper un employé crédule. La protection anti-phishing intégrée aux suites de sécurité modernes fonctionne bien contre les escroqueries de type broadcast, mais les attaques ciblées de "spear-phishing" en sont une autre.
Si vous êtes responsable de la sécurité de votre entreprise, vous devez vraiment informer ces employés pour qu'ils ne soient pas dupes. Vous pourrez peut-être gérer vous-même la formation, mais si ce n’est pas le cas, des formateurs tiers comme PhishMe sont prêts à vous aider.
