Actualités
07/11/2013

Sécurité : Les salariés sont la cibles d’attaques de sécurité au travers des réseaux sociaux

Le Spear Phishing est une des attaques de sécurité les plus efficaces pour parvenir à entrer dans un réseau d’entreprise. Les salariés peuvent être aisément trompés sur des médias sociaux et fournir à leur insu les éléments nécessaires au lancement des attaques.

Par exemple la société Websense Security Labs a trouvé récemment un profil linkedin contrefait permettant la collecte d’informations sensibles en vue d’une attaque.

Le faux profil avait plus de 400 connexions avec des membres légitimes du réseau Linkedin et collectait des informations sur les employeurs, les intitulés de postes, les connexions entre membres...

Ces informations seraient destinées à créer des graphs sociaux de personnes en vue afin de pouvoir lancer des attaques de type Spear Phishing contre elles.

La menace liée au phishing est sous estimée dans les entreprise : c’est ce qui ressort d’une étude réalisée auprès de 300 responsables et spécialistes IT. 60% d’entre eux la considère comme minime. (Source ThreatSim).

Un quart des répondants déclarent qu’ils ont subi une attaque de ce type et compare ses effets à ceux émanant des logiciels malveillants, avec des accès non autorisés et des données volées.

Lors d’une conférence sur la sécurité à Amsterdam, un spécialiste de la cyberdefense a décrit l’efficacité d’utiliser des faux profils linkedin ou facebook pour lancer une attaque.

Aamir Lakhani a décrit comment le faux profil d’une femme nommée Emily Williams a été utilisé pour attirer des salariés d’une agence gouvernementale américaine et les amener à cliquer sur un lien destiné à lancer un logiciel malveillant.

Le faux profil prétendait que Emily Williams était nouvellement embauchée dans cette agence, qu’elle possédait une dizaine d’années d’expérience, et un diplôme du MIT. Les pirates avaient décliné ces informations sur d’autres sites web  afin de le rendre plus crédible.

15 heures après la création de ce faux profil, il y avait 55 connexions Linkedin et 60 connexions Facebook avec des salariés de l’agence et des prestataires.

Cette expérience montre combien il est nécessaire de sensibiliser les salariés à ces nouveaux risques.

 


A LIRE AUSSI

 

News associées :