Ingénierie sociale et hameçonnage : votre lieu de travail est ciblé

Le 16 décembre 2013

Dans le blogue de Pensez cybersécurité, nous publions souvent des articles portant sur la façon dont les Canadiens peuvent se protéger lorsqu'ils utilisent Internet à la maison et sur leurs appareils mobiles. Néanmoins, les menaces en ligne ciblent également les Canadiens dans leur lieu de travail.

Les cybercriminels, qui cherchent à voler des renseignements confidentiels et à contourner les mesures de sécurité des réseaux d'entreprise, préparent leurs attaques dans le but de duper les travailleurs peu méfiants.  

Ces criminels enverront des courriels indésirables (connus sous le nom d'« appât ») à des travailleurs au hasard afin de les amener à dévoiler des renseignements confidentiels. Les criminels se serviront ensuite de ces renseignements pour perpétrer des vols d'identité ou pour parvenir à convaincre vos collègues que l'expéditeur est légitime. Bien que la plupart des personnes feront fi de l'« appât », d'autres y mordront et permettront ainsi aux cybercriminels de mettre leurs plans à exécution. Ce genre de stratagème s'appelle « hameçonnage » et vous devez en être averti.

Parfois, l'hameçonnage est jumelé à l'ingénierie sociale, un stratagème au cours duquel des cybercriminels audacieux vont un peu plus loin et communiquent avec les utilisateurs par courriel, par téléphone (ou même, occasionnellement, en personne) afin de les convaincre de leur fournir des renseignements utiles. Ils font des recherches afin de trouver les divers profils de leur victime affichés dans les médias sociaux afin de personnaliser leurs attaques en y incorporant des renseignements à propos de la victime ou de personnes que cette dernière peut connaître. Cela fait en sorte que les demandes de l'attaquant semblent encore plus authentiques, plus particulièrement lorsqu'elles semblent s'apparenter à l'entreprise de la victime.

Le fait de connaître les risques liés à de telles attaques vous permettra de vous défendre contre les cybercriminels qui essaient de vous piéger et de mettre le réseau de votre organisation en péril. Voici quelques éléments à prendre en considération :

  1. Vérifiez les liens contenus dans un courriel en plaçant le curseur de votre souris sur ces derniers pour en vérifier l'adresse. Si cette dernière ne correspond pas à celle du site Web ou de l'entreprise recherchés, ne cliquez pas sur le lien et signalez le courriel à votre bureau d'aide.
  2. Ne suivez pas aveuglément les instructions fournies dans un courriel, au téléphone ou provenant de « techniciens » qui s'arrêtent par hasard à votre bureau. Posez-vous les questions suivantes : « S'agit-il d'une demande légitime? » et « Cette personne a-t-elle besoin des renseignements qu'elle demande? »Les techniciens du bureau d'aide n'ont pas besoin de votre mot de passe pour faire leur travail – alors, ne vous faites pas avoir en aidant des cybercriminels.
  3. Soyez attentif aux menaces – si un courriel menace de suspendre votre compte ou mentionne que votre système est compromis, il peut s'agir d'un autre exemple du même genre de trucs. Ne vous faites pas prendre par de fausses « alertes ».
  4. Le plus important peut-être est que si vous croyez avoir été victime d'une attaque d'hameçonnage ou d'ingénierie sociale, vous devez le déclarer aux responsables de la sécurité de votre entreprise ou aux équipes du bureau d'aide.

Suivre les pratiques exemplaires en matière de cybersécurité vous permettra de contrer les cybercriminels et de protéger votre réseau d'entreprise le plus sécuritaire possible. Vous pouvez en apprendre davantage dans les pages sur l'hameçonnage du site Pensez cybersécurité et en nous suivant sur Twitter à l'adresse @cyber_securite.


Suivez Pensez cybersécurité sur Twitter, Facebook et Instagram.


Commentaires

En soumettant un commentaire, vous acceptez que Sécurité publique Canada recueille le commentaire et le publie sur ce site (politique sur les commentaires du carnet Web).



Commentaires

Il n'y a pas encore de commentaires pour cette entrée.

Date de modification :