Le smishing et le vishing sont des types d’attaques de phishing qui tentent d’attirer les victimes par SMS et appels vocaux. Les deux s’appuient sur les mêmes appels émotionnels que ceux utilisés dans les escroqueries de phishing traditionnelles et sont conçus pour vous pousser à agir de manière urgente. La différence est la méthode de livraison.

«Les cyberespions peuvent appliquer des techniques de manipulation à de nombreuses formes de communication car les principes sous-jacents restent constants», explique Stu Sjouwerman, responsable de la sensibilisation à la sécurité, chef de la direction de KnowBe4. Attirez les victimes avec des appâts puis attrapez-les avec des hameçons.

Qu’est-ce que smishing?

Définition du smishing: le smishing (smishing par phishing) est un type d’attaque de phishing par SMS (service de messagerie instantanée) sur un téléphone cellulaire.

Tout comme les escroqueries par phishing par courrier électronique, les messages de smishing incluent généralement une menace ou une incitation à cliquer sur un lien ou à appeler un numéro et à transmettre des informations sensibles. Parfois, ils peuvent vous suggérer d’installer un logiciel de sécurité, qui s’avère être un malware.

Exemple de smishing: un SMS typique peut dire quelque chose comme: «Votre compte ABC Bank a été suspendu. Pour déverrouiller votre compte, appuyez ici: https://…….. ”et le lien fourni téléchargera un programme malveillant sur votre téléphone. Les arnaqueurs savent également s’adapter au support qu’ils utilisent, vous pouvez donc recevoir un message texte indiquant: «Est-ce vraiment une photo de vous? https://……… ”et si vous appuyez sur ce lien pour le savoir, vous êtes à nouveau en train de télécharger des logiciels malveillants.

Qu’est ce que vishing?

Définition du vishing: Le phishing (phishing) est un type d’attaque de phishing par téléphone qui cible souvent les utilisateurs de services de voix sur IP (VoIP) tels que Skype.

Il est facile pour les escrocs de simuler l’identité de l’appelant afin qu’ils puissent sembler appeler à partir d’un indicatif local ou même d’une organisation que vous connaissez. Si vous ne répondez pas, ils laisseront un message vocal vous invitant à rappeler. Parfois, ce type d’escroquerie emploie un service de réponse téléphonique ou même un centre d’appel qui n’est pas au courant du crime commis.

Encore une fois, l’objectif est d’obtenir les détails de la carte de crédit, les dates de naissance, les ouvertures de session sur les comptes ou parfois simplement de récupérer les numéros de téléphone de vos contacts. Si vous répondez et rappelez, il se peut qu’un message automatisé vous invite à transmettre les données et beaucoup de personnes ne le contestent pas, car elles acceptent les systèmes téléphoniques automatisés dans le quotidien.

Comment prévenir le smishing et le vishing

Nous sommes un peu plus vigilants avec le courrier électronique, car nous sommes habitués à recevoir du spam et des escroqueries sont monnaie courante, mais les SMS et les appels peuvent toujours sembler plus légitimes à beaucoup de gens. Au fur et à mesure que nous faisons de plus en plus nos achats, nos opérations bancaires et nos autres activités en ligne via notre téléphone, les opportunités pour les fraudeurs se multiplient. Pour éviter de devenir une victime, vous devez vous arrêter et réfléchir.

«Le bon sens est une pratique exemplaire et devrait constituer la première ligne de défense d’un individu contre la fraude en ligne ou par téléphone», déclare Sjouwerman.

Bien que le conseil sur la façon d’éviter de devenir victime d’escroqueries par hameçonnage ait été conçu dans l’optique d’escroqueries par courrier électronique, il s’applique également à ces nouvelles formes d’hameçonnage. Au fond, ne faire confiance à personne est un bon point de départ. Ne jamais appuyer ou cliquer sur des liens dans des messages, rechercher des numéros et des adresses de sites Web et les saisir vous-même. Ne donnez aucune information à un appelant sauf si vous êtes certain qu’il est légitime – vous pouvez toujours le rappeler.

Mieux vaut prévenir que guérir, alors privilégiez toujours la prudence. Aucune organisation ne vous reprochera d’avoir raccroché puis de les appeler directement (après avoir consulté le numéro vous-même) pour vous assurer qu’elles sont bien ce qu’elles prétendent être.

Mettez à jour votre formation de sensibilisation

Bien que rester sur ses gardes soit un conseil solide pour les individus dans la vie quotidienne, la réalité est que les personnes sur le lieu de travail sont souvent négligentes. Ils peuvent être distraits, sous pression et avoir envie de travailler, et les escroqueries peuvent être extrêmement intelligentes. Que se passe-t-il si le SMS semble provenir du PDG, ou si l’appel semble provenir d’un responsable des ressources humaines? Vous pouvez renforcer vos employés et renforcer vos défenses avec une formation adéquate et des politiques claires.

Chaque entreprise devrait avoir une sorte de programme de formation obligatoire et régulier de sensibilisation à la sécurité. Cela peut inclure les meilleures pratiques pour la sécurité générale, mais également définir des règles, telles que les personnes à contacter en cas de doute, ou des règles sur la manière dont certaines communications sensibles seront traitées, facilitant la détection des tentatives de tromperie.

Si vous subissez une forme quelconque d’attaque par hameçonnage, apportez des modifications pour que cela ne se reproduise plus jamais. Cela devrait également informer votre formation en matière de sécurité.

La majorité des attaques de smishing et de vishing ne sont pas signalées, ce qui fait le jeu des cybercriminels. Même si vous êtes assez intelligent pour ignorer les derniers SMS ou appels suspects, Marge en comptabilité ou Dave en ressources humaines en seront peut-être victimes. Si vous avez mis en place un système permettant aux personnes de signaler ces tentatives d’attaques, et même éventuellement une petite récompense, vous avez alors la possibilité de prévenir les autres.

Alors que le phishing continue d’évoluer et de trouver de nouveaux vecteurs d’attaque, nous devons être vigilants et constamment mettre à jour nos stratégies pour le combattre.

L’article Smishing et vishing: comment fonctionnent ces cyberattaques et comment les prévenir est apparu en premier sur TTCgroupe.

Il ne faut pas s’étonner que l’IdO se soit étendu aux réseaux gouvernementaux, en particulier à ceux gérés par le ministère de la Défense (MdD). Au MdD, tout, des moteurs aux capteurs de champ de bataille, en passant par les lecteurs d’accès de porte, peut être fourni avec une connexion réseau nécessaire à l’exécution de la tâche qui lui est attribuée. Outre cet équipement de base, le MdD propose également une multitude de périphériques grand public fonctionnant sur ses réseaux, des imprimantes aux moniteurs vidéo, aux caméras en passant par les réfrigérateurs. Ces appareils communiquent continuellement les uns avec les autres, ainsi qu’avec les quartiers généraux plus élevés jusqu’au Pentagone. Le résultat que certains observateurs appellent «l’Internet of Battlefield Things» (IOBT). Il existe un consensus général parmi les experts sur le fait que les forces armées qui ont créé l’IOBT en premier auront un avantage décisif sur ses concurrents.

Si l’évolution d’Internet vers l’IdO et l’IOBT est généralement positive, son arrivée pose un défi majeur en matière de cybersécurité. En termes simples, plus il y a d’appareils sur un réseau, plus les chances qu’un adversaire soit capable de pénétrer sont grandes. Les nouvelles sur la manière dont les adversaires cherchent à pénétrer les infrastructures critiques des États-Unis, y compris le réseau électrique, les réseaux gouvernementaux et les systèmes électoraux, ne manquent pas. Dans de nombreux cas, les pirates informatiques recherchent des solutions simples pour accéder aux réseaux via des appareils connectés. En 2016, il a été découvert que les dispositifs cardiaques implantables utilisés par l’Hôpital St. Jude étaient vulnérables au piratage. Les moniteurs pour bébé se sont révélés extrêmement vulnérables au piratage.

Les adversaires de cette nation tentent agressivement de pénétrer les réseaux, les systèmes et même les armes individuelles du MdD. Un nombre croissant d’informations critiques et classifiées sont générées par la masse de périphériques présents sur le réseau. Récemment, l’armée a découvert que les mouvements des troupes pouvaient être compromis en accédant aux appareils de suivi de la condition physique que portaient de nombreux membres du personnel. Au fur et à mesure que de nouveaux appareils sont ajoutés à l’IOBT, avec ou sans autorisation, le risque de pénétration et la compromission d’informations confidentielles critiques augmentent.

La croissance exponentielle d’IOT et d’IOBT crée de nouvelles vulnérabilités aux cyberattaques à un rythme alarmant. Les appareils IOT / IOBT compromis sont de plus en plus le moyen “facile” pour les attaquants de s’implanter sur le réseau d’une entreprise. Aujourd’hui, un périphérique est généralement ajouté à la liste blanche sur le réseau, ce qui signifie qu’il est identifié comme étant «approuvé». Cet appareil approuvé peut ensuite être utilisé pour exécuter des commandes à l’intérieur de votre pare-feu, ce qui peut aider les pirates informatiques à effectuer des reconnaissances et, éventuellement, à accéder à d’autres parties plus importantes d’un réseau. En outre, de nombreux périphériques non autorisés ou non enregistrés sont ajoutés à un réseau, augmentant ainsi les chances de pénétration. Les adversaires peuvent attaquer des périphériques vulnérables non seulement pour accéder à des informations sensibles, mais également pour compromettre physiquement des parties de votre système dont vous dépendez, par exemple, en temps de guerre. Au fur et à mesure que l’IOT / IOBT se développe, le problème de la vulnérabilité des périphériques augmente également.

Que fait le MdD face à cette vulnérabilité croissante?

Il y a sept ans, le ministère de la Défense (MdD) avait créé Comply to Connect (C2C) afin de sécuriser sa gamme croissante de points de terminaison réseau. C2C est un système formel pour 1) identifier et valider les nouveaux appareils connectés à un réseau; 2) évaluer leur conformité aux politiques de sécurité du MdD; 3) effectuer une surveillance continue de ces dispositifs, et; 4) résoudre automatiquement les problèmes liés aux appareils, réduisant ainsi le besoin de maintenir cyber hygiène sur les administrateurs de cybersécurité.

L’approche C2C combine les technologies de cybersécurité existantes et les technologies plus récentes pour faire face à la nature changeante de l’architecture réseau du ministère de la Défense (MdD). Le principe de base de C2C est de comprendre quels périphériques et quelles personnes se connectent aux réseaux MdD et quelle est leur sécurité. Avec cette connaissance, les commandants peuvent prendre des décisions de risque informées concernant ces connexions et les contrôler automatiquement en fonction de règles de sécurité. C2C fournit également au MdD un moyen de surveiller en permanence l’état des réseaux et des périphériques, qu’ils soient en réseau ou non, avec un degré de fidélité élevé. Les informations fournies par C2C alimenteront une console centralisée qui fournira à ces dirigeants une connaissance complète de la situation des principaux domaines de risque, ce qui, à son tour, éclairera la définition des politiques et l’allocation des ressources.

Sans C2C, le ministère de la Défense ne sait pas combien d’imprimantes, de contrôleurs industriels ou de réfrigérateurs il a sur ses réseaux. Il ne saura pas où ses outils de gestion des correctifs Windows ont cessé de fonctionner. On ne saura pas si les équipements fabriqués par Kaspersky et Huawei ont été retirés des systèmes, comme demandé par le Congrès. Il n’est pas possible de canaliser l’information réseau vers le leadership pour la prise de décision. En l’absence de ces capacités fondamentales, le MdD ne sera pas en mesure d’assumer les responsabilités fondamentales liées à la sécurisation de ses réseaux.

Le Congrès américain a ordonné à deux reprises au ministère de la Défense de mettre en œuvre la fonctionnalité C2C à deux reprises ces dernières années. Alors que le US Marine Corps et la US Navy, ainsi que quelques autres composants du MdD, ont avancé dans la mise en œuvre de ce programme, la plupart de ceux-ci ne l’ont pas encore fait. Le Congrès ne doit pas hésiter à demander au MdD s’il envisage de mettre pleinement en œuvre le C2C pour sécuriser ses systèmes et ses réseaux contre des ministère de la Défense de plus en plus sophistiqués.

L’article Les USA sont-ils prêts pour la nouvelle ère de cyberguerre? est apparu en premier sur TTCgroupe.