En 2015, un cadre supérieur de Mattel a reçu un e-mail du nouveau PDG de l'entreprise. La note demandait le traitement d'un paiement en souffrance à un fabricant familier. En agissant sur l'e-mail, l'exécutif a déclenché une erreur de 3 millions de dollars.
Les cyberattaques de ce type sont connues sous le nom d'e-mails de « baleine » qui, plutôt que la méthode de « copier-coller » des messages de phishing, familière à toute personne disposant d'une adresse e-mail, utilisent un mimétisme très spécifique et ultra-réaliste pour cibler les cadres supérieurs.
Les e-mails de chasse à la baleine peuvent inclure divers éléments néfastes, tels que des liens vers des logiciels malveillants ou des demandes de transfert de fonds ou de données sensibles. Indépendamment de l'approche particulière de l'attaquant, le succès des tentatives de chasse à la baleine dépend des lacunes dans les connaissances numériques de la cible.
Les préoccupations concernant la cybersécurité sont particulièrement à l'ordre du jour dans le secteur des services financiers, la Banque d'Angleterre et la Banque centrale européenne ayant récemment demandé aux principaux prêteurs de fournir des plans détaillés sur la manière dont ils répondraient à une cyber-violation dans le cadre d'un appel plus large à la répression. sur la cybersécurité dans le secteur. Dans le cadre de leur approche pour résoudre le problème, les organisations de services financiers doivent s'assurer que le personnel à tous les niveaux est qualifié pour identifier et répondre à une violation de la cybersécurité.
À la hausse
45 % des experts en sécurité et en informatique récemment interrogées par PwC a prédit une augmentation des attaques de ransomwares, et l'IA permet aux pirates utilisant la chasse à la baleine de commettre des escroqueries avec une précision jamais vue auparavant. Plus de 60 cyberattaques "d'importance nationale" ont eu lieu au Royaume-Uni en 2022,
selon le Centre national de cybersécurité
Même lorsque des programmes de cybersécurité sont en place, les employés individuels sont souvent la faille dans l'armure d'une entreprise. Les pare-feu, les filtres anti-hameçonnage et les logiciels antivirus sont importants, mais la présence d'une bonne formation et de compétences en cybersécurité au sein d'un effectif est une ligne de défense cruciale contre une grave violation de données entraînant la perte de millions de dollars.
Bien que les outils utilisés pour faciliter les attaques telles que la chasse à la baleine puissent être sophistiqués, il existe des processus simples mais très efficaces auxquels les individus peuvent être formés pour protéger une entreprise contre la chasse à la baleine et d'autres types de cyberattaques.
Des compétences en cybersécurité pour tous
La littératie numérique est une condition préalable à tout rôle impliquant de travailler avec la technologie, qui couvre la grande majorité des postes dans les services financiers. La sensibilisation à la cybersécurité en est un élément crucial. Les entreprises sont largement conscientes du besoin de systèmes de cybersécurité de haut niveau, mais négligent souvent le rôle des capacités numériques des individus dans le maintien d'un écosystème numérique sécurisé.
La cybersécurité ne doit donc pas être considérée comme une fonction autonome sous la seule responsabilité du département technique, mais comme un ensemble de compétences qui doit être présent dans toute une organisation. Le personnel doit être régulièrement formé à la cybersécurité afin de tenir les employés informés du protocole et d'assurer une sensibilisation à l'échelle de l'entreprise aux menaces potentielles et aux meilleures pratiques.
Par exemple, savoir identifier les adresses e-mail frauduleuses, veiller à ne pas ouvrir de pièces jointes non sollicitées et connaître les canaux appropriés pour signaler des attaques présumées sont des compétences de base mais à fort impact auxquelles tous les employés doivent être formés. Il est également important que tous les employés sont formés aux mesures immédiates à prendre si leurs appareils ont été infectés par des logiciels malveillants ou si un faux e-mail a réussi, afin de s'assurer que l'impact de l'attaque est atténué au mieux.
Diligence à tous les niveaux
La force des baleiniers réside dans leur capacité à imiter de près un employé en utilisant une adresse e-mail à une lettre de l'adresse authentique, un langage conforme à la voix typique de l'expéditeur authentique et des détails sur de véritables transactions ou événements familiers à la cible. Que la communication soit rédigée via l'IA ou par une personne, la chasse à la baleine s'appuie sur des données sources à imiter.
Les informations personnelles telles que les anniversaires et les passe-temps tirés des profils de médias sociaux peuvent ajouter des détails convaincants aux communications falsifiées, et les pirates sont même connus pour utiliser les données de calendrier des documents rejetés pour éviter de contacter une victime lorsqu'elle est en réunion avec la personne usurpée.
La formation continue en cybersécurité devrait être le fondement de la mise en place d'une culture de sensibilisation à la sécurité opérationnelle. Développer une idée des informations qui peuvent présenter un risque et savoir comment protéger correctement les informations garantira que les individus peuvent identifier et arrêter les activités apparemment anodines qui alimentent les pirates. Les membres de l'équipe doivent être formés sur la manière de s'assurer que leur présence personnelle en ligne n'autorise pas les pirates en connaissant les paramètres de confidentialité, en configurant des pare-feu, des logiciels antivirus et en utilisant le cryptage.
Deux est un nombre magique
Bien que la mise en œuvre d'une sensibilisation à la cybersécurité au sein d'un effectif puisse fournir un puissant bouclier contre de nombreux piratages, un deuxième filtre pour la vérification de toute action sensible, telle que le transfert de fonds ou de données, est également essentiel.
Les attaques baleinières dépendent fortement de l'autorité de l'individu ciblé. Même pour les cadres supérieurs, un protocole doit être en place pour empêcher toute personne de vérifier une action sans clarification secondaire.
La vérification en deux étapes peut être un processus automatisé intégré dans le logiciel de l'entreprise ou des processus manuels. Que la deuxième étape de la vérification provienne d'une personne distincte ou de la même personne, mais sur une plate-forme différente, l'entreprise doit s'assurer que le personnel maîtrise parfaitement les bonnes pratiques de vérification en deux étapes, et une formation régulière à la cybersécurité rend cette pratique habituelle.
Les compétences en cybersécurité ne sont pas un luxe
Même les systèmes de cybersécurité automatisés les plus robustes peuvent être rendus redondants par des pirates capables de mobiliser le personnel d'une organisation contre eux. Des efforts continus et une formation à jour sur les pratiques sécurisées sont essentiels pour prévenir la chasse à la baleine et d'autres types de cyberattaques.
Les entreprises doivent procéder à des évaluations régulières de leur infrastructure de cybersécurité, de leurs politiques et des compétences de leur personnel afin de s'assurer que tous travaillent efficacement pour se défendre contre toute la gamme d'attaques possibles. Cela nécessite que les personnes soient formées pour effectuer correctement ces évaluations et maintenir les meilleures pratiques, ou les entreprises peuvent envisager d'investir dans un soutien externe en matière de cybersécurité.
L'investissement dans les compétences en cybersécurité n'est pas un luxe, mais une nécessité, et ceux qui ne parviennent pas à mettre en place et à maintenir correctement les systèmes et protocoles pour se défendre contre les pirates s'exposent à la fraude ou aux violations de données. Les régulateurs et les organismes gouvernementaux accordant une attention particulière à la vulnérabilité du secteur des services financiers aux cyberattaques, c'est un problème qui ne peut se permettre d'attendre.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- La source: https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs
- :possède
- :est
- :ne pas
- $3
- $UP
- 2015
- 2022
- a
- capacité
- Capable
- Selon
- à travers
- Action
- activité
- ajouter
- propos
- adresses
- à opposer à
- ordre du jour
- AI
- Tous
- aussi
- Au milieu de
- an
- ainsi que le
- antivirus
- tous
- chacun.e
- nommé
- une approche
- SONT
- AS
- évaluations
- At
- attaquer
- Attaques
- Tentatives
- précaution
- Les Authentiques
- autorité
- Automatisation
- éviter
- et
- Banque
- Banque d'Angleterre
- Essentiel
- BE
- était
- before
- va
- LES MEILLEURS
- les meilleures pratiques
- planche
- corps
- tous les deux
- violation
- infractions
- la performance des entreprises
- entreprises
- mais
- by
- Appelez-nous
- CAN
- ne peut pas
- capacités
- porter
- causer
- central
- Banque centrale
- CEO
- Voies
- Fermer
- étroitement
- vient
- commettre
- Communication
- Communications
- Société
- De l'entreprise
- Conduire
- conscient
- Housses
- fissure
- crucial
- Culture
- cyber
- Cyber-attaques
- la cyber-sécurité
- cyber-attaques
- Cybersécurité
- données
- violation de données
- Infractions aux données
- Date
- Offres
- la défense
- Département
- dépend
- détaillé
- détails
- développement
- Compatibles
- différent
- numérique
- écosystème numérique
- INSTITUTIONNELS
- dollars
- down
- rédigé
- risque numérique
- Éducation
- Efficace
- de manière efficace
- efforts
- éléments
- emails
- intégré
- Employés
- employés
- permettre
- permettant
- chiffrement
- de l'Angleterre
- assurer
- notamment
- essential
- du
- Banque centrale européenne
- Pourtant, la
- événements
- exemple
- exécutif
- cadres
- de santé
- externe
- faciliter
- FAIL
- faux
- falsifié
- familier
- une fonction filtre
- filtres
- la traduction de documents financiers
- services financiers
- Finextra
- pare-feu
- entreprises
- Pour
- Fondation
- fraude
- fraudeurs
- frauduleux
- fréquemment
- de
- Carburant
- plein
- d’étiquettes électroniques entièrement
- fonction
- fonds
- véritable
- Bien
- Gouvernement
- les pirates
- hacks
- Vous avez
- fortement
- Haute
- de haut niveau
- très
- Comment
- How To
- HTTPS
- identifier
- identifier
- if
- Immédiat
- Impact
- la mise en œuvre
- important
- in
- comprendre
- Améliore
- individuel
- individus
- industrie
- d'information
- Infrastructure
- développement
- Investir
- aide
- IT
- jpg
- XNUMX éléments à
- Genre
- connaissance
- connu
- langue
- principalement
- Laisser
- prêteurs
- lettre
- Niveau
- niveaux
- se trouve
- Gamme
- Gauche
- alphabétisation
- Style
- perte
- Luxury
- la magie
- maintenir
- Maintenir
- majeur
- Majorité
- FAIT DU
- malware
- Manuel
- Fabricants
- de nombreuses
- Mattel
- Mai..
- Médias
- réunion
- Membres
- messages
- méthode
- million
- des millions
- erreur
- (en fait, presque toutes)
- mouvement
- must
- Nationales
- nationalement
- Besoin
- n'allons jamais
- of
- de rabais
- souvent
- on
- ONE
- en cours
- en ligne
- ouvert
- ouverture
- opérationnel
- or
- de commander
- organisation
- Institution
- Autre
- ande
- plus de
- partie
- particulier
- particulièrement
- payant
- Paiement
- Personnes
- personne
- personnel
- phishing
- Place
- plans
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- politiques
- positions
- possible
- défaillances
- solide
- pratique
- pratiques
- La précision
- prédit
- présence
- représentent
- empêcher
- prévention
- la confidentialité
- processus
- les process
- traitement
- Profils
- programmes
- correct
- correctement
- protéger
- protocole
- protocoles
- fournir
- fournit
- PWC
- gamme
- ransomware
- Attaques de ransomware
- plutôt
- reçu
- récemment
- Indépendamment
- Standard
- régulièrement
- Régulateurs
- rapport
- demandes
- a besoin
- Réagir
- répondre
- responsabilité
- Analyse
- robuste
- Rôle
- même
- les escroqueries
- calendrier
- Deuxièmement
- secondaire
- secteur
- sécurisé
- sécurité
- Sensibilisation à la sécurité
- vu
- supérieur
- sens
- sensible
- séparé
- grave
- Services
- set
- mise
- Paramétres
- bouclier
- devrait
- étapes
- qualifié
- compétences
- ensemble de compétences
- Sky
- Réseaux sociaux
- réseaux sociaux
- Logiciels
- quelques
- sophistiqué
- Identifier
- groupe de neurones
- L'équipe
- autonome
- étapes
- Étapes
- Arrêter
- force
- succès
- réussi
- tel
- Support
- Système
- Prenez
- Target
- des campagnes marketing ciblées,
- équipe
- Membres de l'équipe
- technologie
- que
- qui
- Les
- au Royaume-Uni
- leur
- Les
- se
- Là.
- donc
- Ces
- l'ont
- this
- ceux
- des menaces
- Avec
- tout au long de
- à
- a
- les outils
- qualifié
- Formation
- transférer
- types
- débutante
- Uk
- sous
- Non sollicité
- mise à jour
- utilisé
- d'utiliser
- en utilisant
- divers
- Vaste
- Vérification
- vérifier
- via
- Victime
- Voix
- vulnérabilité
- attendez
- WELL
- Quoi
- quand
- que
- qui
- plus large
- sera
- comprenant
- sans
- Nos inspecteurs
- de travail
- pourra
- encore
- zéphyrnet
