Dans le paysage actuel des cybermenaces, personne n’est à l’abri, et surtout pas les dirigeants d’entreprise. Les exemples de fraude au président sont encore monnaie courante. Les hackers continuent d’envoyer régulièrement des e-mails de phishing aux employés d’organisations en se faisant passer pour le PDG afin de les inciter à transférer de l’argent ou à leur fournir des informations confidentielles sur l’entreprise.
Depuis 2016, ce style d’attaques de type compromission d’e-mails professionnels (Business Email Compromise ou BEC) a coûté 43 milliards de dollars aux entreprises à travers le monde. En décembre 2021, le nombre d’attaques de phishing a atteint un record mensuel historique de 316 747. Des chiffres qui continuent d’augmenter.
Découvrez quelques-uns des exemples les plus courants d’attaques de fraude au président que les cybercriminels utilisent pour se faire passer pour des PDG, des directeurs financiers ou encore des cadres, et souligner ce que les responsables de la sécurité peuvent faire pour défendre l’entreprise contre ces attaques.
Exemples les plus courants de fraudes au président
Bien que les techniques utilisées par un attaquant puissent varier, il existe des exemples courants de fraudes au président que chacun devrait être en mesure d’identifier et de signaler :
1. Fraude par hameçonnage des PDG
Un pirate envoie de nombreux e-mails aux PDG de différentes entreprises pour les inciter à cliquer sur un lien vers un site web malveillant ou sur une pièce jointe contenant un malware. Le hacker peut ainsi avoir accès au compte et à la liste de contacts de ses victimes et envoyer des e-mails pour inciter des employés de l’entreprise à transférer des fonds ou des informations sensibles.
2. Le spear phishing
Dans ce type d’attaque, les hackers recueillent des informations en ligne sur leurs cibles avant de leur envoyer un e-mail soigneusement rédigé, imitant une entreprise ou une personne avec laquelle elles font des affaires. Ils peuvent également faire référence à des événements auxquels leurs victimes ont assisté ou des projets auxquels elles ont participé pour les amener là encore à fournir les informations demandées pour pouvoir commettre d’autres crimes.
3. Chasse aux cadres
La chasse aux cadres fait référence aux tentatives d’attaques lors desquelles un criminel se fait passer pour un dirigeant et tente de faire pression sur les employés pour qu’ils agissent rapidement en : transmettant des informations, téléchargeant des documents fiscaux ou transférant des fonds sans vérifier la demande auprès d’un autre collègue.
4. L’ingénierie sociale
Toutes les attaques de fraude au président reposent en partie sur l’ingénierie sociale. Les fraudeurs cherchent à gagner la confiance de leurs victimes par e-mail, SMS ou appel et tenter de les convaincre de transmettre des informations ou d’envoyer un virement bancaire.
Comment prévenir la fraude au président
Dans tous ces exemples de fraude au président, les attaquants cherchent à exploiter un manque général de sensibilisation. Par conséquent, les organisations peuvent prendre des mesures simples pour empêcher les utilisateurs d’être victimes de ce type de cybermenaces :
1. Sensibilisez les cadres et leurs équipes aux tactiques de fraude au président.
Utilisez des outils gratuits de simulation de phishing pour apprendre aux employés à identifier les tentatives de phishing, d’ingénierie sociale et de fraude au président. Ainsi, ils risquent moins de se faire piéger et de communiquer des informations personnelles ou privées.
2. Misez sur la formation en sensibilisation à la sécurité
Utilisez une combinaison de formations en sensibilisation à la sécurité et de plateformes de simulation d’hameçonnage pour que les risques de fraude au président soient toujours présents à l’esprit des employés. Nommez des ambassadeurs internes de la cybersécurité qui s’engagent à faire la promotion de la sécurité au sein de votre organisation.
3. Mesurez les connaissances en sensibilisation à la cybersécurité des employés
Contrôlez régulièrement le niveau de sensibilisation à la cybersécurité des employés à l’aide de simulations d’hameçonnage. Accompagnez les employés les moins sensibilisés grâce à des modules d’apprentissage sur la fraude pour les former et parvenir à long terme au développement de bonnes pratiques en sécurité.
4. Proposez des campagnes de sécurité permanentes
Proposez aux employés des campagnes de communication permanentes sur les différentes cybermenaces, l’ingénierie sociale, et les meilleures pratiques de sécurité telles que : la création de mots de passe forts et les risques de cliquer sur des URL et des pièces jointes suspectes.
5. Créez des règles d’accès au réseau pour limiter l’utilisation des appareils personnels
Établissez des règles d’accès au réseau pour limiter l’utilisation des appareils personnels dans votre environnement et contrôler la façon dont les employés partagent des informations en dehors de votre réseau d’entreprise.
6. Mettez vos infrastructures à jour
Assurez-vous que toutes les applications, les systèmes d’exploitation, les outils réseau et les logiciels internes sont à jour et sécurisés. Cela inclut l’installation d’une protection contre les malwares et d’un logiciel anti-spam sur les terminaux.
Votre outil numéro un : les simulations d’hameçonnage
Bien qu’il n’existe pas de solution miracle pour se défendre contre les attaques de phishing, les simulations d’hameçonnage font partie des éléments les plus importants de votre formation en sensibilisation à la sécurité, car elles mettent en évidence les dangers de faire automatiquement confiance aux autres utilisateurs en ligne.
Elles illustrent certaines des techniques réelles utilisées par les cybercriminels pour manipuler leurs victimes et les amener à fournir des informations, et vous permettent également de mesurer quels employés sont prêts à détecter ces menaces.
Une simulation de phishing démontre à quel point il est facile de cliquer sur des liens et des pièces jointes provenant d’expéditeurs inconnus et souligne l’importance de se tenir au courant des dernières bonnes pratiques en matière de cybersécurité.
Pour les responsables de la sécurité, les simulations de phishing constituent également un moyen fiable de mesurer la sensibilisation des employés à la sécurité. Elles déterminent s’ils risquent de divulguer des informations aux attaquants et permettent d’offrir aux employés moins performants un soutien supplémentaire et des possibilités de formation.
En bref
Avec de plus en plus d’exemples de fraude au président émergeant chaque jour, la sensibilisation aux menaces de phishing est plus importante que jamais pour prévenir les violations de données et contrer les techniques de manipulation que les cybercriminels utilisent pour accéder aux informations confidentielles des entreprises.
Il est essentiel d’élaborer un programme de formation en sensibilisation à la cybersécurité comprenant des simulations de phishing afin de s’assurer que les employés ne mettent pas à risque l’organisation en : cliquant sur une pièce jointe malveillante ou en donnant ses identifiants de connexion à des fraudeurs, qu’ils soient au bureau ou à la maison.
Pour en savoir plus sur comment une formation en sensibilisation à la sécurité peut aider vos cadres et vos employés à protéger les données confidentielles de votre entreprise ?
Voyez la plateforme de sensibilisation à la sécurité en action!