Les entreprises doivent avoir une protection efficace contre les menaces informatiques, mais il convient de souligner que l’antivirus n’est pas la solution miracle. La plupart des attaques qui visent les entreprises sont dues à une erreur humaine. Par exemple, un employé clique sur un lien malveillant, active une macro et télécharge un fichier infecté. Dans certains cas, les cybercriminels n’ont même pas besoin d’utiliser un programme malveillant : ils arrivent à avoir accès à l’infrastructure de l’entreprise grâce à l’ingénierie sociale ou à des solutions logicielles légales. Voici quelques exemples.
Un ransomware qui n’en est pas un
Nous avons récemment entendu parler dans les médias de l’activité du groupe Luna Moth qui s’est spécialisé dans le vol des données d’entreprises et le chantage. L’originalité de Luna Moth est que le groupe obtient les informations sans utiliser de programme malveillant.
L’attaque commence généralement par un e-mail frauduleux classique. Les criminels se font passer pour les représentants d’un service en ligne et essaient de convaincre le destinataire qu’il vient de souscrire à un abonnement et que le montant sera débité le lendemain. Si l’employé veut annuler l’opération ou obtenir plus de renseignements, il doit appeler le numéro de téléphone qui figure dans le fichier joint à l’e-mail.
C’est là que se trouve le piège, n’est-ce pas ? Non. Contre toute attente, le fichier ne contient aucun programme malveillant. Ainsi, il est fort probable que l’antivirus autorise l’utilisateur à l’ouvrir. A ce moment-là, l’objectif des cybercriminels est d’inciter l’employé à appeler le numéro.
S’ils y arrivent, les escrocs poussent la victime à installer un outil d’accès à distance (RAT) sur son dispositif, vraisemblablement sous prétexte d’aider l’utilisateur confus à annuler l’abonnement. Techniquement, ces outils ne sont pas des programmes malveillants. C’est pourquoi la plupart des antivirus ne les bloquent pas et seulement quelques utilisateurs avertis en connaissent les dangers. Par conséquent, les cybercriminels peuvent accéder au dispositif à distance et le contrôler.
Remarquez que, dans bien des cas, les escrocs n’installent pas qu’un seul RAT sur le dispositif. Même si le premier est supprimé, ils peuvent toujours utiliser l’autre pour ne pas perdre l’accès et réinstaller le premier programme. Une fois qu’ils contrôlent l’ordinateur de la victime, ils installent généralement d’autres outils qui leur permettent de pénétrer un peu plus dans l’infrastructure, d’avoir accès à d’autres ressources et d’exporter les données.
Une entreprise victime d’une arnaque au téléphone
L’entreprise de télécommunications américaine Verizon a récemment été victime d’un chantage encore plus ridicule. Un cybercriminel anonyme a déclaré à Motherboard qu’il arriverait à convaincre un employé de Verizon de l’autoriser à accéder à distance à un ordinateur de l’entreprise en se faisant passer pour un membre de l’équipe d’assistance technique interne. Il aurait soi-disant exécuté un outil interne sur l’ordinateur afin de traiter les informations des employés, puis il aurait utilisé un script personnalisé pour générer une base de données avec les noms complets, les adresses e-mail, les identifiants professionnels et les numéros de téléphone de centaines de personnes.
Verizon a confirmé que le cybercriminel a contacté l’entreprise et qu’il aurait réclamé une rançon de 250 000 dollars en échange de la non-divulgation des données volées. L’entreprise a toutefois nié qu’il ait pu obtenir des données importantes. Pourtant, les journalistes de Motherboard ont appelé certaines des personnes dont les coordonnées figuraient dans la base de données. Certaines d’entre elles ont répondu et ont confirmé leur nom, leur adresse e-mail et leur poste chez Verizon.
Quelle leçon faut-il en tirer ?
La morale de cette histoire est simple : même si votre entreprise a les meilleures solutions de sécurité les plus récentes, vos données sont en danger si vos employés ne connaissent pas ces attaques d’ingénierie sociale. Ainsi, une stratégie globale de cybersécurité devrait impliquer l’installation d’outils techniques de sécurité et la formation des employés afin qu’ils connaissent les dernières menaces informatiques et les techniques utilisées par les cybercriminels. Vous pouvez utiliser une plateforme d'éducation en ligne pour y parvenir.