26.09.2023 - La communication avec la clientèle constitue un élément essentiel pour toute entreprise. Conformément à l’adage «le client est roi», les entreprises s’efforcent généralement d’exaucer tous les désirs de leurs clients, mais des pirates informatiques exploitent malheureusement ce sens du service. La semaine dernière, un cas particulièrement bien ficelé a été reporté au Centre national pour la cybersécurité (NCSC). C’est pourquoi chaque entreprise devrait réfléchir attentivement aux données qu’elle choisit de divulguer ou non sur son site internet, car celles-ci sont susceptibles de favoriser diverses formes de cyberattaques comme la fraude ou encore l’hameçonnage (phishing).
Les organisateurs de mariages sont dans la ligne de mire de cybercriminels
Le cas reporté au NCSC la semaine dernière a débuté avec une demande tout à fait habituelle auprès d’un organisateur de mariages. Concrètement, deux prétendus futurs mariés affirmaient vouloir passer le plus beau jour de leur vie dans un des plus beaux endroits de la Suisse. Afin de faire bonne impression et de suggérer qu’ils avaient pris le temps d’étudier le site web, les fiancés ont loué la qualité des prestations proposées. S’agissant du mariage, ils ont indiqué une date suffisamment éloignée dans le temps, à savoir fin 2024, pour ne pas éveiller de soupçons chez l’organisateur quant à la faisabilité du projet et pour garantir sa disponibilité. Les détails très alléchants du programme et l’évocation d’une foule d’invités pour fêter ce jour particulier ont empêché la victime de résister: elle a accepté le contrat sans broncher.
Pour gagner encore davantage la confiance de leur cible, les fiancés ont proposé d’aborder les prochaines étapes de la planification au moyen d’un entretien sur zoom. Dans le même courriel, ils ont précisé qu’un document annexé contiendrait le reste des informations nécessaires, notamment le budget. Or, pour procéder au téléchargement du document, l’organisateur était contraint de cliquer sur un lien vers «One Drive»:
Ce genre de demandes respecte les règles de l’ingénierie sociale et il est, par conséquent, très difficile de déterminer qu’il s’agit d’une fraude. Il convient de faire preuve d’une prudence particulière, au plus tard lorsqu’on télécharge un document: dans notre exemple, le lien ne mène pas directement au document, mais à une page d’hameçonnage sur laquelle la personne visée est invitée à indiquer les données associées à son compte de messagerie électronique. Grâce à ces données, les cybercriminels peuvent, par exemple, accéder à l’ensemble de la communication électronique entre l’entreprise et ses clients.
L’effort important que déploient les cybercriminels montre à quel point les données d’accès aux comptes des entreprises sont devenues intéressantes: ces données peuvent être utilisées pour d’autres escroqueries, par exemple pour l’envoi de factures falsifiées comportant des IBAN frauduleux ou pour la diffusion ciblée de logiciels malveillants.
Les cybercriminels utilisent les informations présentes sur le site Internet des entreprises
Dans un deuxième cas, les cybercriminels ont incité les collaborateurs d’une entreprise à télécharger un document. Là encore, il s’agissait prétendument d’une commande de client. Dans ce cas, l’e-mail n’a pas été envoyé par le client lui-même, mais a été transmis à différents collaborateurs par le responsable de la logistique. Outre le nom, le prénom et la fonction, l’e-mail comportait aussi le vrai numéro de téléphone du responsable de la logistique. En revanche, l’adresse électronique de l’expéditeur et l’ensemble du courriel étaient falsifiés. Pour télécharger le document, les destinataires devaient là aussi indiquer les données associées à leur compte de messagerie électronique sur une page d’hameçonnage.
Dans un premier temps, le NCSC a supposé que le compte de l’entreprise avait été piraté, mais il s’est révélé ensuite que les informations avaient été reprises du site Internet de l’entreprise, sur lequel apparaissaient toutes les données utilisées, y compris les noms, les fonctions, les adresses électroniques et même les numéros de téléphone.
De nombreuses entreprises publient ce genre d’informations sur leur site Internet. Jusqu’à présent, ce genre d’informations avait surtout été utilisé dans le cadre de fraudes au président. On sait désormais que ces informations peuvent également être utilisées à des fins d’attaques d’hameçonnage ciblées.
Dans les deux cas présentés ci-dessus, la vigilance des collaborateurs et des collaboratrices a permis d’éviter le pire, ce qui montre à quel point il est important de sensibiliser ces derniers à la cybersécurité au sein de l’entreprise.
- Ne saisissez jamais vos données personnelles telles que des données de connexion, des mots de passe ou des données de carte de crédit sur une page Internet à laquelle vous avez eu accès au moyen d’un lien provenant d’un courriel ou d’un SMS;
- Réfléchissez aux informations que vous publiez sur le site Internet de l’entreprise concernant cette dernière et vos collaborateurs et collaboratrices;
- Sensibilisez régulièrement vos collaborateurs et collaboratrices aux cybermenaces.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 26.09.2023
