Préparez vos utilisateurs à réagir au phishing !!

Les courriels de type phishing (pourriels) évoluent en permanence. Ils jouent sur les émotions des destinataires et profitent du climat de peur et d’incertitude engendré le plus souvent par divers éléments d’actualité. Par exemple, la pandémie de COVID-19, pour distribuer des Malwares, voler des identifiants de connexion et commettre des fraudes.

Les cybercriminels extorquent des millions de dollars aux entreprises au moyen de diverses tactiques de phishing. Selon le dernier rapport d’enquête de Verizon sur les compromissions de données, 82 % des compromissions de données impliquent une intervention humaine et 62 % des intrusions entrainaient la compromission de partenaires.


Un phishing, que faire ?

Le site cybermalveillance.gouv.fr, fournit des informations utiles à communiquer aux utilisateurs afin de les sensibiliser aux méthodes d’identifications et aux réactions à avoir face à ce type de pourriels

Spam électronique, que faire ? – Assistance aux victimes de cybermalveillance


Simulateur d’attaque Microsoft

En complément des bonnes pratiques, communiquées par cybermalveillance.gouv.fr, il est possible de former ses utilisateurs par la pratique.

Attack Simulation Training (anciennement connu sous le nom de Office 365 Attack Simulator) est un outil de simulation d’hameçonnage qui vous permet d’exécuter des scénarios d’attaque réalistes dans votre organisation. Par conséquent, vous pouvez identifier les utilisateurs vulnérables au phishing et à d’autres cyberattaques malveillantes. Ainsi, vous pouvez préparer les utilisateurs à de nouvelles attaques de phishing dans votre environnement Office 365. 

 Lorsqu’une simulation d’attaque est lancée, les utilisateurs ciblés reçoivent un courriel. Celui-ci imite une véritable attaque de phishing. Plusieurs options sont disponibles sur le type d’attaque que vous pouvez lancer.

 L’utilisateur, en cliquant sur le lien, sera redirigé vers une page de destination qui l’alertera pour qu’il soit informé de la réaction à avoir face à de telles attaques à l’avenir. Ensuite, il recevra un courriel de notification lui demandant de suivre une formation par exemple. 


Exigences pour le simulateur d’attaque :

Voici les conditions de licences et de privilèges requis pour l’exécution du simulateur d’attaque :

  • Vous devez être membre de l’un des rôles suivants : Gestion de l’organisation, Administrateur de la sécurité
  • Votre organisation doit disposer de la licence Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2. 

Techniques de simulation d’attaque : 

Cinq techniques d’ingénierie sociale/phishing peuvent être utilisées avec cette simulation, basée sur le framework MITRE Attack. La liste des techniques de phishing est présentée ci-dessous: 

  • Collecte des informations d’identification : un attaquant envoie au destinataire un message contenant une URL. Lorsque le destinataire clique sur l’URL, il est redirigé vers un site web qui affiche généralement une boîte de dialogue qui demande à l’utilisateur son nom d’utilisateur et son mot de passe. En règle générale, la page de destination est thématique pour représenter un site web connu afin de créer une confiance dans l’utilisateur.
  • Pièce jointe contenant un programme malveillant : un attaquant envoie au destinataire un message contenant une pièce jointe. Lorsque le destinataire ouvre la pièce jointe, du code arbitraire (par exemple, une macro) est exécuté sur l’appareil de l’utilisateur pour aider l’attaquant à installer du code supplémentaire ou à s’ancrer davantage.
  • Lien dans la pièce jointe : il s’agit d’un hybride d’une collecte d’informations d’identification. Un attaquant envoie au destinataire un message qui contient une URL à l’intérieur d’une pièce jointe. Lorsque le destinataire ouvre la pièce jointe et clique sur l’URL, il accède à un site web qui affiche généralement une boîte de dialogue qui demande à l’utilisateur son nom d’utilisateur et son mot de passe. En règle générale, la page de destination est thématique pour représenter un site web connu afin de créer une confiance dans l’utilisateur.
  • Lien vers un programme malveillant : un attaquant envoie au destinataire un message contenant un lien vers une pièce jointe sur un site de partage de fichiers connu (par exemple, SharePoint Online ou Dropbox). Lorsque le destinataire clique sur l’URL, la pièce jointe s’ouvre et le code arbitraire (par exemple, une macro) est exécuté sur l’appareil de l’utilisateur pour aider l’attaquant à installer du code supplémentaire ou à s’ancrer davantage.
  • Lecteur par URL : un attaquant envoie au destinataire un message qui contient une URL. Lorsque le destinataire clique sur l’URL, il est dirigé vers un site web qui tente d’exécuter du code d’arrière-plan. Ce code d’arrière-plan tente de recueillir des informations sur le destinataire ou de déployer du code arbitraire sur son appareil. En règle générale, le site web de destination est un site web connu qui a été compromis ou un clone d’un site web connu. La connaissance du site web permet de convaincre l’utilisateur que le lien est sûr de cliquer. Cette technique est également connue sous le nom d’attaque de trou d’eau.

Rapports du simulateur d’attaque

Les rapports fournissent une représentation graphique des données avec des détails tels que la couverture de simulation, les récidivistes, le taux d’achèvement de la formation et l’efficacité de la formation.


Pour conclure :

Les attaques de phishing sont à ce jour très courantes. Par conséquent, il est important pour les organisations de garder leurs utilisateurs formés aux cyberattaques potentielles.

Ainsi, la formation par simulation d’attaque permet aux organisations de mettre en place des exercices réguliers et des contrôles de sécurité pour informer leurs utilisateurs de ces attaques et les former à ne pas être la proie de telles attaques à l’avenir.

Il est également très important d’avoir le contrôle de son propre environnement de messagerie afin de ne pas être utilisé comme source de corruption. Pour cela il est nécessaire de configurer le DMARC sur l’ensemble de domaine de l’organisation et d’en surveiller l’utilisation frauduleuse qui pourrait être faites via vos domaines.

Les administrateurs peuvent aussi très simplement ajouter une balise d’avertissement de courriel externe pour alerter les utilisateurs lorsqu’ils reçoivent des e-mails d’un domaine externe.

L’équipe YLNEO reste disponible pour vous accompagner sur tous ces points. N’hésitez pas à nous contacter.

0 commentaires