Campagnes de Phishing
Formation aux dangers du Phishing

Une définition du Phishing

Le phishing consiste à pousser une personne (par exemple un employé d'une scociété) à exécuter une action informatique dangereuse en enrobant l'action dans un contexte qui l'amène à passer outre toutes le bonnes recommandations.
Si les emails frauduleux constituent la plus importante source de Phising, les vecteurs de Phishing sont innombrables et l'imagination des malversations limites.

Le phishing en 2 mots

En matière de sécurité informatique, une fois les différents outils informatiques de blocage, d'analyse, de test et de sauvegarde mis en place par des spécialistes : il reste le facteur principal, première pierre de la plus grande majorité des intrusions et malversations informatiques : le facteur humain.
A l'inverse d'un système informatique qui va effectuer des actions systématiques prédéfinies , "le facteur humain" va lui agir en fonction de ses connaissances, de ses préférences, de sonc vécu, de sa situation actuelle, des informations, médias et des tendances.

Le Phishing consiste donc à utiliser tous ces ressorts pour obtenir une action.

Le moyen le plus simple de joindre un employé d'une entreprise depuis l'extérieur reste l'email. On le retrouve donc comme vecteur d'infection dans la quasi totalsté des malversations de Phishing encers les entreprise.
Mais le principe du Phishing s'applique bel et bien à toute sortes de system. Les particuliers par exemple sont beaucoup plus appâtés et infectés par des Phishing via des sites de téléchargement.

Toutes les configurations sont possibles et en matière de phishing, les personnes malveillantes font preuve d'un inventivité sans limite ainsi que d'une impressionnate adaptabilité évènementielle.

La première pierre de la cyberciminalité

Première pierre presque systématique en matière de cybercrimilatlité, le Phishing est utilisé pour toutes sortes d'actions malveillantes et pas forcément visibles. Si le Phishing des particuliers vise en général à leur faire entrer leur numéros de carte bancaire ; le Phishing dont sont victimes les entreprises réside surtout dans la capture des informations de connexion au différents systèmes ou mieux la mise en place de porte dérobées qui serviront de première pilier pour l'échaffaudage et l'escalade des malversations. Et si citer les innombrables cas de kacking qui ont commencé par du phishing ne serait pas possible, on peut sans doute citer ce qui constitue l'un des plus grands hack de l'histoire : le hack des millions de comptes de Yahoo ou tout a débuté par un simple mail de phishing...

Se prémunir du Phishing

La moindre information d'une entreprise accessible depuis l'extérieur peut être retournée à des fins malveillantes.
Si les Phishing non spécifiques envoyés de façon généralisées comme des campagens d'emailing sur le viagra ont de faibles pouvoirs d'infection, les messages dédiées sont beaucoup plus difficiles à maitriser.

Une des solutions pour faire face à cette cybercrimilaité reste la formation. L'information seule ne suffit pas, tant que les personnes n'ont pas été confrontées à des cas réels, tout cela restera de la théorie qui n'arrive qu'aux autres. Aussi la formation au seuls employés ne permet pas un bon bouclier pour le cas des malversations de Phishing. Tous les collaborateurs d'une entreprises sont concernés et ce sont d'ailleurs les dirigeants qui sont plus visés sachant qu'ils disposent généralement de plus de droits sur les systèmes informatiques. Corrompre leur poste de travails est plus intéressant.

Un exemple d'information détournée : une société dans sa correspondance éléctronique avec ses clients et ses prospects avait un system de signature automatique dans ses emails qui indiquait pour tout commercial, le nom de son responsable. La signature email ressemblait à : "robert dupont, client service manager, over responsbilities Raymond Dupuis senior client manager "
Le system avait pour but de donner la possibilité à un client de s'adresser au supérieur hierarchique pour toute raison plus ou moins plaisante lorsque la relation avec le "client-manager" n'apportait pas satisfaction. Il y avait donc une première information à utiliser sur un contenu d'email de phishing possible. Tout message plus ou moins invectif pouvait de manière certaine provoquer l'ouverture de pièces jointes. Mais l'information à détourner résidait surtout dans les deux adresses emails avec un lien hierarchique entre les deux. Entamer une discussion par mails avec le vendeur, demander de la documentation, commencer à se plaindre puis envoyer le tout avec des pièces jointes malveillantes au superviseur.
Le procédé de ce type de Phishing est d'autant plus difficile à détecter qu'il est ciblé, et peut passer complètement inaperçu. Ce phishing fortement spécialisé a même obtenu une dénomination spécifique : le spear phishing.

Face aux dangers du Phishing et à l'invitivité sans cesse renouvelée des personnes malveillantes, seule la formation des collaborateurs d'une entreprise peut déjouer la menace.

Mettre en place une campagne de test de Phishing

La campagne de test de Phishing va consister, dans un cadre légal et sans danger, à tester la bon comportement des collaborateurs d'une entreprise en leur envoyant un email spécifique qui vise à leur faire faire une action informatique dangereuse.
Suivi d'une information avec la statistique des résultats, la campagne de Phishing est un élément clef de votre sécurité informatique.

Nous avons mis en place un environnement complet de Phishing dédié à la sécuité informatique des entreprises.

 

 

Pour vos campagnges de test de Phishing, contactez-nous