Comment reconnaître et entraîner vos agents au phishing ?
Dans cet article nous revenons rapidement sur les attaques par phishing et spear phishing. Nous vous exposons ensuite notre méthodologie visant à entrainer vos agents pour éviter la transmission d’informations et à ne pas cliquer trop rapidement.
Qu’est ce que le phishing ? (ou hameçonnage si les anglicismes vous hérissent)
Le phishing est un envoi d’email frauduleux dans le but d’obtenir des renseignements vous concernant. Mot de passe, identifiant, code d’accès… Dans sa version la plus simple, comme son nom l’indique le pirate envoie un message comme de l’amorce si nous voulions rester dans l’analogie du monde de la pêche. C’est à dire qu’il envoie un mail à un grand nombre de personne sans réellement personnaliser son texte.
« Je suis M Connely, d’Irlande et j’ai gagné 1 000 000 d’euros que je veux vous remettre parce que votre messagerie a été tirée au sort »
Oui je sais cela prête à sourire et nous nous doutons bien que désormais peu de personne réponde à ce type de sollicitation.
Toutefois nous voudrions attirer votre attention sur leur marge de progression.
Au tout début du phishing nous recevions des mails truffés de fautes d’orthographes (prémices des sms de nos enfants…).
Mais en quelques années les mails étaient correctement rédigés. Vraisemblablement un contrat avec un écrivain public a été souscrit.
Puis, ceux-ci ont commencé à reprendre des mails légitimes, colis en livraison, mail de la banque, de votre opérateur téléphonique.
Doucement mais surement la technique s’est affirmée et rentre progressivement dans ce que l’on nomme le spear phishing.
Le spear phishing
Il s’agit du même principe de sollicitation mais cette fois les mails reprennent des éléments leur donnant un semblant de vérité.
Notre dernier exemple en date :
Un mail envoyé en usurpant une adresse email de la secrétaire d’un directeur général des services proposant de télécharger un compte rendu de réunion avec la bonne signature sous le texte. (malheureusement ce n’est pas si complexe à réaliser avec internet)
Le lien renvoyait vers une fausse page de connexion où les agents étaient invités à s’authentifier.
65% des agents ont renseigné leur mot de passe. (si, si…)
Alors, comment entraîner vos agents au phishing ?
Comme toujours, en les formant pour qu’ils puissent détecter les anomalies et les comportements douteux.
Les conséquences d’un phishing
Les conséquences sont nombreuses et, bien entendu, il s’agit à un moment d’une question d’argent. Parfois le lien n’est pas si clair et ne cible pas vos comptes bancaires, mais sachez que tout se vend en ligne. Vos données comme votre carte de crédit, votre accès à la messagerie ont une valeur pour ces cybercriminels.
Les agents sont les premières victimes de ces pratiques frauduleuses :
– Vol d’identifiants (login/mot de passe)
– Vol d’argent
– Vol de données personnelles
– Pression sur les agents pour obtenir un maximum de renseignements et donc des réponses à fournir aux escrocs.
Les conséquences sont également juridiques :
– Atteinte à la sécurité des systèmes d’information
– Atteinte à la confiance dans les relations contractuelles entre la collectivités et ses partenaires privés
Les conséquences sont enfin humaines :
– Perte de temps (et d’efficacité) pour la collectivité
– Perte financière due aux dommages causés à l’image de marque
– Perte de confiance des administrés
Entraînement au phishing par DIMOXILO
Nous proposons de réaliser des campagnes d’envois de faux mails avec juste ce qu’il faut d’éléments pour que le message semble légitime sans pour autant y mettre trop de contexte. Il est peu probable qu’un pirate à l’autre bout du monde se consacre des jours entiers à cette recherche.
Nous pouvons proposer des modèles mais sachez que tout est modifiable selon vos souhaits. Soyons créatifs !
Transfert de compétence possible !
Nous utilisons pour organiser ces campagnes d’hameçonnage pour nos clients (bon vraiment c’est plus parlant en anglais quoi qu’on en dise) un logiciel open source. Vous pourriez donc tout à fait le gérer directement au sein de votre collectivité.
Nous pouvons y réaliser du spoofing (c’est à dire une usurpation de l’email de l’expéditeur) et y intégrer tout type de lien ou de pièce jointe.
Nous pouvons donc d’ailleurs organiser un transfert de compétence pour que votre DSI soit autonome sur ses propres campagnes.
Aprés la campagne de phishing
Nous vous fournissons un rapport complet précisant quel agent a cliqué, a renseigné des identifiants, mot de passe. Ces statistiques peuvent être regroupées par service, par utilisateur, par le nombre d’information fourni en réponse au mail envoyé.
Cela peut paraître stigmatisant mais n’a en fait pour objectif que de définir le niveau de sensibilisation en fonction de leur maturité vis à vis de la problématique.
Sensibilisation
Nous proposons une formation des utilisateurs sur site parce que de notre point de vue regarder une vidéo n’est pas suffisant.
Pour cela nous utilisons un logiciel de quiz interactif :
Nous débutons par expliquer les conséquences d’un vol de donnée notamment les fraudes rendus possibles, l’impact sur les services, les logiciels et le système d’information en général.
Ensuite, pour rester très pratique nous projetons des exemples de mails. Les agents donnent alors leur avis, à l’aide de boitiers fournis, sur sa légitimité. Les résultats sont affichés en temps réel et permettent d’ouvrir la discussion.
Le côté ludique de cette sensibilisation marque bien plus les esprits et donne lieu bien souvent à des moments d’échange truculant entre service.
Conclusion
Nous avons constaté que la pratique est une étape indispensable dans le processus de sensibilisation. Le paiement de rançon n’étant pas (enfin en tout cas proscrit par l’ANSSI) possible dans le secteur public la victime est en fait toujours la sécurité de la collectivité.
Gardez également à l’esprit que vous soyez une entreprise où une collectivité le fait de donner librement des informations à un cybercriminel peut poser des questions au niveau du contrat d’assurance souscrit (ou pas ) par la collectivité.
Rappelez moi
On vous laisse nous rappeler ?
09 73 45 14 40
06 23 06 75 84
contact@dimoxilo.fr