CLEARWATER, Fla. (Communiqué de presse - 10 octobre 2011) - Stu Sjouwerman, expert en sécurité informatique, fondateur et PDG de la société KnowBe4 de ISAT (Internet Security Awareness Training), avertit que les petites et moyennes entreprises (PME) risquent de se voir imputer des pertes cyberhististes liées au phishing lorsque les institutions financières nient toute responsabilité pour les incursions. Sjouwerman (prononcé «homme de la douche») a cité un article paru récemment dans Bloomberg selon lequel des cybercriminels pillent jusqu'à un milliard de dollars par an sur des comptes bancaires de petite et moyenne taille, tandis que les banques accusent les victimes de permettre un accès non autorisé.
$config[code] not found«De nombreux cybercriminels opèrent depuis des pays étrangers et transfèrent des fonds volés à l'étranger. Cela rend difficile pour les autorités de retrouver et de poursuivre en justice les voleurs, il y a donc peu de chance de récupérer l'argent », a expliqué Sjouwerman. «Et comme la FDIC n'offre pas la même protection pour les comptes professionnels que pour les comptes personnels, il reste l'une des deux parties pour couvrir les pertes: la banque ou le propriétaire de l'entreprise. Il n’est donc pas étonnant que les banques reprochent aux PME d’autoriser les cybercriminels à infiltrer leurs réseaux. »
Sjouwerman a noté que les cybercriminels utilisent souvent des courriels de phishing et d'autres tactiques similaires pour amener les employés à cliquer sur un lien, qui télécharge ensuite automatiquement les logiciels malveillants sur le système de l'utilisateur. «À l'aide d'enregistreurs de frappe et d'autres outils, les cybertherchistes sont capables de voler les informations de compte et les mots de passe alors que l'utilisateur reste complètement inconscient de la faille du réseau. Les pirates informatiques initient ensuite une série de virements électroniques en utilisant les informations d'identification du propriétaire de l'entreprise. Dans de nombreux cas, au moment où la banque ou l’entreprise constate l’activité inhabituelle, l’argent est disparu et est introuvable. En conséquence, la banque reproche aux PME de permettre aux cybercriminels de voler leurs références bancaires en ligne, tandis que les PME accusent la banque de ne pas avoir mis en place des mesures de détection de la fraude et de lutte contre le vol insuffisantes. "
Des procès récents ont montré que le verdict pouvait aller dans les deux sens. Comme indiqué dans les documents judiciaires, une attaque de phishing a permis aux cybercriminels d'accéder aux comptes commerciaux d'Experi-Metal, Inc. à la Comerica Bank, aboutissant à 97 ordonnances de virement télégraphique totalisant plus de 1,9 million de dollars, plus un découvert de 5 millions de dollars. Comerica a été en mesure de récupérer la totalité des fonds volés, à l'exception de 561 399 USD, que Experi-Metal a intenté dans une action en justice contre la banque (Experi-Metal, Inc., c. Comerica Bank). Dans son avis, le juge a jugé que Comerica était fautif pour ne pas avoir détecté ou arrêté l'activité frauduleuse plus tôt et pour avoir permis un découvert de 5 millions de dollars sur ce qui est généralement un compte à solde nul.
Cependant, dans un autre cas similaire, le tribunal s’est prononcé en faveur de la banque. Selon des documents judiciaires, Patco Construction aurait été victime d’un cyberhéiste s’élevant à 588 851 $. Il semblerait qu’il s’agisse d’un cheval de Troie Zeus / Zbot qui aurait permis aux cybercriminels de voler les identifiants de banque en ligne de la société. Ocean Bank, l'institution financière de Patco, a pu bloquer une partie des transferts, mais plus de 345 000 USD n'ont pas été récupérés, ce qui a amené Patco à poursuivre la banque en justice pour la perte (Patco Construction Company, Inc., c. People's United Bank d / b / a / Ocean Bank). Après avoir pesé les arguments présentés par chaque partie, le juge a confirmé la décision recommandée par le magistrat, qui était d’accorder la requête de la banque en référé et de rejeter la requête incidente de Patco.
«Étant donné que les entreprises ne peuvent pas compter sur la protection de la FDIC ni sur la jurisprudence pour garantir le remboursement des fonds volés, il incombe aux PME d'empêcher les cybercriminels d'accéder à leurs systèmes et de voler leurs informations bancaires», a déclaré Sjouwerman. «De nombreux propriétaires d'entreprise croient avec complaisance que leur logiciel antivirus et leur équipe informatique constituent une protection suffisante contre les pirates informatiques, mais le fait est que les cybercriminels peuvent contourner toutes ces mesures en incitant un seul employé à cliquer sur un lien dans un courrier électronique de phishing».
Sjouwerman affirme que le meilleur moyen de contrer ce maillon faible est de suivre une formation à la sécurité Internet. «KnowBe4 a mené une étude de cas auprès de plusieurs de nos clients et a comparé le pourcentage d'employés prédisposés par Phish ™ - ou susceptibles de tentatives de phishing - à la fois avant et après la mise en œuvre de notre formation de sensibilisation à la sécurité Internet. Nous avons constaté qu'entre 26% et 45% des employés étaient sujets au phish avant la formation; cependant, le total global a été immédiatement réduit de 75% après la première séance d’entraînement. Après quatre semaines d’essais supplémentaires et de recyclage, le pourcentage de personnes à risque de Phish était presque égal à zéro dans chaque entreprise. Lorsque vos employés savent quoi surveiller, ils sont moins susceptibles de faire l’objet de tactiques de phishing. Cela peut aider à garder les cybercriminels hors de votre réseau et de vos comptes bancaires et de vous garder en dehors des tribunaux. "
KnowBe4 invite les PME à tirer parti d'un test de sécurité anti-hameçonnage gratuit, qui permettra de connaître le nombre d'employés actuellement exposés au phish. La société propose également une gamme de ressources éducatives gratuites sur la cybercriminalité sur son site Web. Ceux qui recherchent des conseils supplémentaires sur la lutte contre les cyberattaques trouveront une mine d’informations dans le livre de Sjouwerman, Cyberheist: La plus grande menace financière pour les entreprises américaines depuis la chute de 2008.
Pour plus de détails sur les services de formation à la sécurité Internet de KnowBe4, visitez le site http://www.knowbe4.com. Pour un aperçu de Cyberheist, ou pour commander l'édition de poche ou électronique, visitez le site
À propos de Stu Sjouwerman et de KnowBe4
Stu Sjouwerman est le fondateur et le PDG de KnowBe4, LLC, qui propose une formation ISAT (Internet Security Awareness Training) sur le Web aux petites et moyennes entreprises. Expert de la sécurité des données comptant plus de 30 ans d'expérience dans le secteur des technologies de l'information, Sjouwerman a été le cofondateur de Sunbelt Software, une société primée de logiciels de protection contre les logiciels malveillants, que lui et son partenaire ont vendu à GFI Software en 2010. Se rendre compte que l'élément humain Sjouwerman a décidé d'aider les entrepreneurs à lutter contre les tactiques de cybercriminalité par le biais d'une formation avancée de sensibilisation à la sécurité sur Internet. Il est l'auteur de quatre livres, dont Cyberheist: La plus grande menace financière pour les entreprises américaines depuis l'effondrement de 2008.
