En matière de cybersécurité, il est clair que les gouvernements et même les députés sont désormais des cibles autant que les intérêts commerciaux.
Le mois dernier, on a appris comment des documents confidentiels sur les négociations commerciales entre les États-Unis et le Royaume-Uni – qui avaient été divulgués avant les dernières élections britanniques – auraient été obtenus illégalement par des acteurs de la menace à motivation politique. Les documents auraient été volés au député conservateur, Liam Fox par des pirates informatiques russes et, selon de nombreux commentateurs de l’industrie, ils portent la marque d’une opération soutenue par l’État.
Les sources, citées par Reuters, ont en outre révélé que le compte de messagerie personnel de Liam Fox MP avait été compromis via l’utilisation du spear phishing, ce qui a amené la victime en question à lui transmettre son mot de passe et ses informations de connexion. On a dit qu’à ce jour, on ne sait toujours pas si les acteurs derrière le vol des documents sont la même partie qui les a ensuite divulgués en ligne. Ce qui est certain, c’est que le spear phishing, une forme d’ingénierie sociale, reste un moyen incroyablement populaire et efficace d’infiltrer les systèmes et, par conséquent, les données d’exfiltration.
Sommaire
Le rôle du spear phishing
Dans le spear phishing, une série d’actions attendues de la part de la victime est conçue pour atteindre un objectif final – y compris des éléments d’informations personnelles utilisées pour rendre les e-mails plus crédibles. Souvent, les cybercriminels essaient de rechercher leur victime et tentent de découvrir des faits personnels à son sujet afin de construire un récit ou un livre d’histoires, augmentant ainsi les chances que la victime suive ensuite.
Un exemple de ceci pourrait inclure la création de faux courriels demandant les informations d’identification de l’individu pour accéder ou modifier un document collaboratif partagé. De plus en plus, les cybercriminels deviennent de plus en plus sophistiqués dans leurs attaques, certains ayant recours au chalutage de données qui ont été divulguées dans le domaine public ou mises à disposition à la vente via le dark web, afin de créer un tel contenu de courrier électronique de phishing sur mesure.
Fait inquiétant, même les profils de médias sociaux publics peuvent divulguer de nombreuses informations sur une cible dont ils ne sont peut-être pas tout à fait conscients, en particulier ceux qui utilisent ces plates-formes à des fins professionnelles. Les dirigeants qui publient des actualités d’entreprise et du contenu marketing peuvent par inadvertance préparer un attaquant avec du contenu qu’ils peuvent utiliser pour exploiter l’individu et son organisation.
Des hameçonneurs ciblant des représentants du gouvernement?
Peu de temps après la publication de l’histoire de Reuters, City AM a révélé que le groupe de recherche chinois des députés conservateurs avait été en contact avec eux afin de révéler qu’ils pensaient avoir été activement ciblés par des e-mails de phishing et de spear phishing de cibles basées en Chine, bien qu’aucune preuve n’ait été fournie que les attaques ont été commises par un acteur étatique.
Ces exemples d’événements, dans lesquels des tactiques de phishing et de spear phishing ont été utilisées contre des cibles gouvernementales, ne font que souligner quelque chose que nous avons appris à accepter comme une vérité inconfortable, quelle que soit la qualité de vos mécanismes de défense de la sécurité de la messagerie, tels que les passerelles de messagerie sécurisées (SEG) ), les e-mails malveillants atteindront toujours les boîtes de réception d’une organisation.
Il est donc essentiel que les hauts fonctionnaires et les fonctionnaires restent vigilants, en particulier lorsqu’ils travaillent avec des informations et des données sensibles. L’un des plus grands dangers de la technologie SEG est peut-être le faux sentiment de sécurité – les utilisateurs pensent que tout leur courrier a été vérifié et, par conséquent, peuvent baisser la garde lorsqu’ils parcourent leurs e-mails. Ce n’est malheureusement pas vrai, et comme nous l’avons vu, des milliers d’e-mails malveillants passent quotidiennement inaperçus dans les systèmes SEG et cela ne prend potentiellement qu’un seul clic pour avoir de graves conséquences.
Une défense humaine et technologique
Loin de mettre en scène un sort de malheur, les organisations devraient se concentrer sur la bonne mise en œuvre de la formation et de la technologie en cybersécurité ou, en d’autres termes, sur l’association des hommes et des machines afin d’atténuer les menaces posées par les acteurs malveillants. Dans la bonne mise en œuvre de ces processus, les utilisateurs finaux peuvent être la meilleure défense d’une organisation contre les attaques de phishing. En effet, les données propriétaires de Cofense indiquent que le taux de signalement des attaques de phishing a augmenté d’année en année depuis 2015, ce qui suggère que lorsqu’une culture de sécurité collaborative est créée, les utilisateurs reconnaissent les menaces auxquelles ils sont confrontés au quotidien et participent activement à la défense de leur organisation.
Que ce soit dans le secteur public ou dans une organisation privée, il reste encore beaucoup à faire pour continuer à éduquer les utilisateurs à reconnaître les menaces émergentes et les encourager à signaler les e-mails suspects, en restant attentifs aux menaces et en réduisant les risques.
Les représentants du gouvernement et les fonctionnaires ont le devoir de jouer leur rôle afin de garantir que la confiance du public dans les processus gouvernementaux reste forte. Comme le dit le National Cyber Security Center lui-même: «Votre couche de personnel devrait mettre beaucoup plus l’accent sur le signalement d’un hameçonnage soupçonné dès que possible, afin que vos experts puissent enquêter dessus… Si un seul utilisateur signale un hameçonnage, vous pouvez prendre une longueur d’avance sur la défense. votre entreprise contre cette campagne de phishing et chaque e-mail repéré est une opportunité de moins pour les attaquants. «
Le paysage des menaces n’a jamais été aussi sophistiqué, et il faudra plus que des machines pour protéger nos organisations de ces acteurs – nous avons besoin d’humains travaillant en tandem pour se dresser contre les attaquants.
- Dave Mount, directeur, Europe chez Cofense.
- Accédez à Internet en toute sécurité avec le meilleur VPN.
