«L’email n’est pas mort, il est juste en mode zombie» pourrait être le slogan des pirates informatiques de cette décennie. Depuis des années, on prédit la fin de l’email, mais il continue de prospérer, surtout dans le monde du piratage.
Les emails avec des liens malveillants déguisés en adresses légitimes sont des attaques très fructueuses pour les hackers, provoquant des brèches majeures, comme celle de Twilio en 2022 et le piratage de Reddit l’année dernière. Malgré quelques signes avant-coureurs comme les fautes d’orthographe évidentes, ces emails deviennent de plus en plus sophistiqués.
Un des stratagèmes les plus redoutables est le « Business Email Compromise » (BEC), où les hackers se font passer pour des collègues ou des partenaires d’affaires pour soutirer de l’argent ou des informations sensibles. Les entreprises de toutes tailles se retrouvent souvent démunies face à ces attaques.
Les pertes liées aux BEC ont atteint près de 3 milliards de dollars aux États-Unis l’année dernière.
Les cibles potentielles doivent donc développer une vigilance accrue. Repérer des drapeaux rouges comme des envois en dehors des heures de bureau, des noms mal orthographiés, des adresses email divergentes ou des pièces jointes inhabituelles peut faire la différence. Et si un email paraît suspect, la meilleure initiative est de contacter directement l’expéditeur via un autre canal de communication.
Une autre méthode de protection est l’authentification à multiples facteurs et le passage à des technologies sans mot de passe comme les clés de sécurité matérielles. Cela rend l’accès plus difficile pour les cybercriminels. De plus, des processus de paiement plus stricts peuvent également réduire les risques de transfert d’argent frauduleux.
La mode récente chez les cybercriminels est aussi de faire des appels téléphoniques frauduleux, comme lors du piratage de la chaîne hôtelière MGM Resorts. Toujours vérifier l’identité de l’appelant et ne pas divulguer d’informations confidentielles par téléphone sont des pratiques cruciales.
Enfin, vous pouvez simplement ignorer toute tentative suspecte et la signaler à votre équipe de sécurité. Si votre patron vous demande soudainement de acheter une montagne de cartes cadeaux par email, il vaut mieux vérifier avant de cliquer. Mieux vaut prévenir que guérir, ou dans ce cas, plutôt prévenir que cliquer!
Source : Techcrunch