La fraude au président est une technique désormais bien ancrée chez les cybercriminels. Elle cible avant tout l’équipe finance d’une entreprise, qui pourtant peut être assez facilement sensibilisée. Il suffit de le vouloir…
gentil le conseil mais…
« Définir un mot de passe ou une question secrète, connue uniquement des employés, et ne jamais la consigner par écrit. »
Et
« il ne suffit que d’un e-mail ou de quelques secondes pour la transmettre à ses équipes. »
Bonjour la sécurité je défini un mot de passe que je n’écris pas pour le mettre dans un mail que je vais reproduire dans toutes les boites mail de mes employés plus con que ça comme conseil on ne peut pas mieux faire.
Si une seule boite d’un seul employé est corrompue vous venez de donner gratuitement et sans effort la clé pour détruire votre boite définitivement.
Et en plus vous venez d’informer vos employés qu’il est parfaitement normal d’échanger des mots de passe par mail puisque le patron le fait.
BRAVO MERVEILLEUX CONSEIL
3 « J'aime »
Le mot de passe partagé avec tout le monde est une ânerie.
Ce qu’il faut c’est en premier lieu que toutes les demandes de ce genre doivent obligatoirement passer par un mail signé électroniquement. Dans l’écrasante majorité des arnaques au président, c’est suffisant, car l’attaque ne repose pas sur une intrusion technique, mais uniquement sur du social engineering.
Ensuite, il faut imposer des contraintes techniques non contournables, pour éviter qu’un coup de pression sur le salarié le pousse à contourner. Par exemple, il faudrait pouvoir demander aux banques d’imposer un délai de 48h entre l’ajout d’un destinataire de virement et la possibilité de faire un virement vers ce destinataire. Ainsi pas de pression possible sur l’employé pour qu’il fasse le virement immédiatement, et ça lui laisse le temps de se poser, de réfléchir et de vérifier la demande qu’il a reçue.
Pour authentifier les échanges de vive voix, plutôt que de se reposer sur des mots de passe pré-échangés et partagés par tous, mieux vaut jouer avec les anecdotes communes, ou au contraire les fausses anecdotes.
Par exemple, inventer un truc « ah, maintenant que je vous ai en ligne, il y a un problème avec la note de frais que vous m’avez envoyé pour le restaurant avec Dupont, vous avez oublié de la signer. ». S’il répond qu’il va la renvoyer, alors qu’en fait cette note de frais n’a jamais existé, y a un problème. Ou encore lui demander le montant d’une certaine opération, dont on sait qu’il le connait ou peut le retrouver facilement, mais qu’un attaquant à peu de chances de connaître.
@MattS32 Comme le cas récent chez Ferrari :
Pourtant, des sons métalliques et un rythme d’élocution inhabituel intriguent un des cadres concernés. Ce dernier décide de poser une question à laquelle seul le DG peut répondre. Il lui demande de lui rappeler le titre du livre qu’il lui a récemment recommandé. Résultat : aucune réponse et interruption de l’échange. Le pirate est démasqué. Ferrrari a bien failli être victime d’un deepfake sonore, une version dopée à l’IA de la fraude au président. Et c’est la connaissance du sujet et la prudence d’un de ses cadres qui l’a probablement sauvée d’une arnaque.