La sensibilisation des employés à l’ingénierie sociale est essentielle pour garantir la cybersécurité en entreprise. Si les utilisateurs finaux connaissent les caractéristiques principales de ces attaques, il est beaucoup plus probable qu’ils puissent éviter de tomber pour eux. Les menaces de données actuelles ne font pas de discrimination. les entreprises de toutes tailles sont exposées aux attaques. Cependant, les petites et moyennes entreprises (PME) sont souvent moins disposées à faire face aux menaces à la sécurité que leurs homologues plus grandes. Les raisons en sont diverses d’une entreprise à l’autre, mais au final, cela tient au fait que les PME ont souvent moins de ressources à consacrer aux efforts de cybersécurité.
$config[code] not foundVoici quelques escroqueries d'ingénierie sociale à connaître
- Phishing: La tactique principale mise à profit par les pirates informatiques ransomware d’aujourd’hui, généralement livrée sous la forme d’un courrier électronique, d’une discussion en ligne, d’une annonce Web ou d’un site Web conçu pour imiter un système et une organisation réels. Souvent conçu pour susciter un sentiment d'urgence et d'importance, le message contenu dans ces courriels semble souvent provenir du gouvernement ou d'une grande entreprise et peut inclure des logos et une image de marque.
- Amorcer: Semblable au phishing, l’appâtage consiste à offrir quelque chose d’attrayant à un utilisateur final en échange de données privées. Les «appâts» se présentent sous de nombreuses formes, numériques, telles que le téléchargement de musique ou de films, et physiques, telles que les clés USB portant la mention «Résumé analytique des salaires Q3 2016», qui sont laissées sur un bureau pour que l'utilisateur final puisse les trouver.. Une fois l’appât pris, les logiciels malveillants sont livrés directement sur l’ordinateur de la victime.
- Quiproquo: Semblable à l’appâtage, la contrepartie implique une demande d’échange de données confidentielles mais d’un service. Par exemple, un employé peut recevoir un appel téléphonique du pirate informatique qualifié d’expert en technologie offrant une assistance informatique gratuite en échange de ses identifiants de connexion.
- Le prétexte: C'est lorsqu'un pirate informatique crée un faux sentiment de confiance entre l'utilisateur final et l'utilisateur final en se faisant passer pour un collègue de travail, un collègue professionnel ou une personne faisant autorité au sein de l'entreprise afin d'accéder aux données privées. Par exemple, un pirate informatique peut envoyer un courrier électronique ou un message de discussion se présentant comme le responsable de l’assistance informatique qui a besoin de données confidentielles pour se conformer à un audit d’entreprise, ce qui n’est pas réel.
- Talonnage: Une personne non autorisée suit physiquement un employé dans une zone ou un système restreint de l'entreprise. L’exemple le plus courant est celui où un pirate informatique demande à un employé de lui laisser une porte ouverte lorsqu’il a oublié sa carte RFID. Un autre exemple de mise en parallèle est lorsqu'un pirate demande à un employé «d'emprunter» un ordinateur portable privé pendant quelques minutes, au cours duquel le criminel est capable de voler rapidement des données ou d'installer un logiciel malveillant.
Jouer la prudence
Assurez-vous que tous les employés se méfient des courriers électroniques contenant une pièce jointe inattendue, en particulier si cette pièce jointe est un fichier Microsoft Office. Avant de cliquer sur quoi que ce soit, assurez-vous qu'ils confirment auprès de l'expéditeur (par téléphone, texte, courrier électronique séparé) ce que c'est avant d'ouvrir ou de cliquer sur quoi que ce soit. Les employés d’aujourd’hui sont connectés à Internet toute la journée, communiquant avec collègues et parties prenantes, en partageant des informations cruciales et en passant de site en site. Avec le piratage, les violations de données et les attaques de ransomware à la hausse, il est essentiel que toutes les entreprises planifient au pire, avec une formation obligatoire en matière de cybersécurité pour tous les employés et avec les solutions recommandées pour atténuer les risques.
Photo via Shutterstock
