La honte! La honte! J'ai été hameçonné

Auteur: Roger Grimes de KnowBe4

Je ne peux pas être hameçonné. Du moins c'est ce que je croyais.

Je suis un professionnel de la sécurité informatique depuis 33 ans. J'ai écrit 12 livres et plus de 1 000 articles de magazines sur la sécurité informatique. Pour cette raison, je suis une cible constante pour les véritables tentatives d'hameçonnage et autres attaques de pirates. Je reconnais et élimine au moins deux ou trois escroqueries par hameçonnage par jour. Certains jours, les tentatives sont plus élevées que cela. Je suis très vigilant face aux escroqueries par hameçonnage depuis des décennies. Je travaille pour une entreprise dont la raison d'être est d'aider tout le monde à reconnaître et à vaincre l'ingénierie sociale et l'hameçonnage. Je suis quotidiennement exposé aux dernières escroqueries par hameçonnage. Je me mettais dans le bas de l'échelle de crédule et haut sur l'échelle de l'intelligence de la rue. Il n'y a pas beaucoup d'escroqueries dont je n'ai pas entendu parler.

J'ai longtemps cru que je ne pouvais pas être hameçonné.

Il s'avère que ce n'est pas vrai. J'ai vécu avec un faux sentiment accru de préparation. Pour aggraver les choses, j'ai été victime d'hameçonnage plusieurs fois au cours des trois dernières années. La seule bonne chose à laquelle je puisse penser, c'est que je pense qu'il s'agit toutes d'attaques d'hameçonnage simulées amicales. Du moins je l'espère.

J'ai aussi longtemps cru que l'une des meilleures choses qu'une organisation puisse faire est d'avoir ses propres personnes hautement respectées et de confiance, qui partagent quand elles ont été victimes d'un hameçonnage réel ou simulé. Cela aide à montrer que même les plus brillants et les plus avertis peuvent également être victimes. Je suis ici pour prendre ma pénitence. Mais au lieu de dire mon Je vous salue Marie, je partage ma honte. Laissez-moi expliquer.

Je savais en venant à KnowBe4 il y a trois ans que je serais plus fréquemment testé par des tests d'hameçonnage simulés. Et c'est vrai. Je suis sûr que les employés de KnowBe4 sont parmi les employés les plus fréquemment testés au monde. Ce serait étrange si nous ne l'étions pas. Nous voulons non seulement que nos employés soient fréquemment testés, mais nous sommes aussi vraiment, constamment inquiets des attaques réussies dans le monde réel. Le monde de la sécurité informatique regorge d'entreprises bien connues qui ont été hameçonné, à se faire pirater et à se retrouver dans l'actualité. Cela peut arriver à n'importe quelle organisation, quelle que soit votre compétence en matière de sécurité informatique et d'éducation anti-hameçonnage; mais nous faisons de notre mieux pour réduire nos chances.

Mon premier échec

Je pense que je ne travaillais que depuis un jour ou deux lorsque je suis tombé pour mon premier hameçonnage simulé. Cela venait de mon patron, le PDG. L'e-mail contenait un article de presse relatif à une enquête informatique qui aurait révélé que les logiciels non corrigés étaient la principale raison des violations de données malveillantes. J'avais récemment écrit ce que je considère comme mon opus magnum, A Data-Driven Computer Defense. L'un des faits essentiels qu'il enseigne est qu'à l'heure actuelle, dans cette période de temps particulière, l'ingénierie sociale est responsable de la grande majorité des violations de données malveillantes. En fait, il est impliqué dans 70% à 90% de toutes les violations

Ce courriel de mon PDG à tout le personnel de KnowBe4 affirmant qu'une enquête avait prouvé que les logiciels non corrigés étaient la menace numéro un a vraiment suscité ma juste indignation. Je veux dire que j'avais passé dix ans de recherche prouvant que l'ingénierie sociale était le problème numéro un. Le courriel s'est terminé par une phrase disant quelque chose du genre "Si vous voulez voir les données derrière cette enquête, cliquez ICI". Je ne pouvais pas cliquer assez vite pour voir quelles mauvaises données ou méthodes d'enquête étaient utilisées pour créer ce mensonge qu'une organisation idiote et biaisée essayait de répandre. Boom! J'ai cliqué sur le lien et j'ai été présenté à mon premier message contextuel «Vous avez été hameçonné».

Vous devez aimer le logiciel de KnowBe4. Lorsque vous cliquez sur un message d'hameçonnage simulé, nous vous disons immédiatement que vous vous trompez, puis nous vous signalons immédiatement les «signaux d'alarme de l'ingénierie sociale» que tout destinataire aurait dû voir et pouvoir utiliser pour déterminer que le courriel ils pensaient réel était en fait un hameçonnage (simulé). Je dois admettre que la rétroaction immédiate et l'éducation sont assez impressionnantes.

OK, leçon apprise. S'il est suffisamment motivé sur un sujet qui lui tient à cœur, n'importe qui peut tomber dans le hameçon. Même moi. Mais tu ne me feras pas tomber deux fois dans le même piège. Je suis mordu et prévenu. Je ne peux plus être hameçonné.

Mon deuxième échec

Mon deuxième échec a eu lieu plus d'un an plus tard et je n'ai vraiment aucune excuse. C'était une fausse notification de correctif régulière et pas trop sophistiquée. Je suis l'une des rares personnes de mon entreprise à utiliser Microsoft Windows. À tort ou à raison, les ordinateurs Windows sont considérés comme à haut risque. En plus de cela, de nombreux jeunes enfants souhaitent utiliser d'autres plateformes. Je suis un grand défenseur de Windows, mais ce Patch Tuesday particulier, j'étais inquiet parce que Microsoft et les médias avaient annoncé qu'il y avait un zero day actif qui était maintenant actif et que ce correctif devait être immédiatement appliqué.

Un courriel est arrivé dans ma boîte de réception de notre équipe informatique interne, y compris une notification du correctif nécessaire, me demandant de l'appliquer immédiatement, et ils ont fourni un lien de téléchargement. Bam! J'ai été dupé à nouveau. Cette fois, je n'avais aucune excuse. Le courriel provenait d'une adresse inhabituelle qui n'était pas l'adresse courriel interne normale de notre équipe informatique. Il y avait toutes sortes d'autres signaux d'alarme que j'aurais dû remarquer, y compris le lien URL contenant les mots «Ne cliquez pas sur ce lien, c'est un test d'hameçonnage». Je n'avais aucune excuse. J'étais pressé, j'attendais le correctif et je suis ravi que mon équipe informatique soit proactive dessus, et la seule chose dans mon esprit était «Dépêchez-vous d'appliquer ce correctif et redémarrez pour que vous puissiez continuer votre vrai travail!»

Ma leçon apprise cette fois-ci était qu'être pressé peut vous mordre. Chaque fois que vous êtes invité à cliquer sur un lien ou à télécharger un logiciel, quelle que soit votre activité, reconnaissez-le pour les événements à haut risque et vérifiez-les d'abord. Nous avons un mantra de marque dont vous avez peut-être entendu parler avant «STOP. PENSEZ AVANT DE CLIQUER." Cela a vraiment commencé à résonner avec moi d'une manière qu'il n'avait pas avant.

Mon troisième échec

Le troisième faux hameçonnage auquel je suis tombé est celui d'un ami bien intentionné et souvent humoristique sur Spiceworks , un forum informatique très utile. Si vous avez l'esprit informatique et que vous recherchez souvent des réponses auxquelles les chaînes standard ne peuvent pas répondre, Spiceworks est un endroit idéal pour sortir.

Je discutais d'une prochaine conférence anti-hameçonnage avec un groupe d'amis en ligne lorsque le type que j'aime le plus sur le forum a publié une réponse qui disait: "Cliquez ici pour voir une liste de personnes qui ont succombé à mes tentatives de hameçonnage simulées et pour en savoir plus sur quel faux message d'hameçonnage ils sont tombés amoureux. » J'ai cliqué sur le lien. C'était un hameçonnage simulé. J'étais la victime.

Pour être honnête, je ne me suis pas trop lancé. C'était un ami de confiance dans un forum de confiance, et il n'avait pas les drapeaux rouges normaux que je rechercherais. Du moins c'est ce que j'ai pensé au début. Il m'a fallu des semaines pour réaliser que c'était exactement le type de hameçonnage qui se produirait dans le monde réel. Combien d'hameçonnages sophistiqués commencent par la reprise du compte de quelqu'un par un hameçonneur, puis utilisé d'une manière qui ne serait pas trop suspectée par la plupart des relations de confiance de cette personne. J'ai réalisé que c'est exactement ce que ferait un vrai hameçonneur. Au lieu de le prendre à la légère, je devais le prendre pour l'avertissement sérieux que c'était. J'ai eu de la chance que ce ne soit pas un véritable hameçonnage.

Ma dernière honte

Je suis sûr que, comme votre organisation, le sujet du COVID-19 est un sujet de discussion clé chaque semaine. Comme la plupart des organisations, nous avons maintenant un nombre plus élevé que la normale de travailleurs à distance. Nous parlons et enseignons constamment les risques accrus des personnes travaillant à domicile. Nous parlons et enseignons constamment sur la très forte augmentation de l'hameçonnage dans son ensemble et dans quelle mesure elle est liée aux sujets COVID-19. Notre PDG a passé ces dernières semaines à partager sa conviction que les prochains vaccins COVID-19 allaient certainement être un sujet brûlant d'hameçonnage dans le monde entier. Il l'a dit à plusieurs reprises au cours des dernières semaines et nous a dit d'être au courant. «Ouais, pas de problème, je pensais! Vous ne nous avez pas dit cela. C'est ce que nous faisons dans la vie. Bien sûr, les vaccins COVID-19 seront un grand tirage au sort réussi! Pourquoi ce type perd-il notre temps? »

Je pense que c'est probablement moins de deux heures plus tard que j'ai de nouveau été dupé par une escroquerie d'hameçonnage simulée. Le sujet? Vaccins contre le covid19.

Cette fois, il est arrivé des RH (et a été co-marqué par notre compagnie d'assurance) nous disant que personne ne pouvait retourner au bureau sans vaccin COVID-19 et que nous pourrions nous inscrire à un vaccin dès le 1er janvier. Il comprenait un lien pour vous inscrire aux vaccins. J'étais consterné. Même si les États-Unis lancent leurs premiers vaccins COVID-19 publiés publiquement, il faudra probablement plusieurs mois, possiblement en mars ou plus tard, avant que la plupart d'entre nous obtiennent un vaccin. J'étais parfaitement conscient que les États-Unis, malgré toute leur rhétorique politique et leurs nouvelles, ne sont que 32e des vaccins COVID-19 achetés par habitant. Les 50 premiers millions de doses iront probablement aux personnes âgées, aux travailleurs de la santé, aux travailleurs de première ligne et à d'autres personnes à haut risque. Je suis assez confiant que je ne serai pas dans les premiers tours de vaccination, même si je veux vraiment l'être. Comme beaucoup de gens,

Pour être honnête, j'étais un peu en colère contre cette annonce. Comment HR pourrait-il penser qu'il était même possible de s'inscrire pour un vaccin COVID-19 le 1er janvier? Ils sont fous! Je voulais cliquer sur ouvrir le calendrier pour voir à quel point les dates étaient déjà éloignées du 1er janvier par rapport aux autres personnes sautant sur le lien de courrier électronique plus rapidement que moi. Je voulais m'inscrire le plus tôt possible. Et tout le temps, je me dis: «Qui pensent-ils avoir faussement espoir que nous recevrons même un vaccin dès le 1er janvier, alors que ce sera probablement mars ou plus tard? Eh bien, je vais m'inscrire le plus tôt possible afin que lorsque le vaccin sera disponible pour les gens ordinaires, je serai en haut de la liste. Hé, je me demande si les RH et la compagnie d’assurances vont aussi me laisser ma femme s’inscrire? »

C'est avec toutes ces pensées qui me traversent la tête que j'ai cliqué sur le lien inclus. Il va à une page de connexion d'authentification multifacteur (MFA) que j'ai l'habitude de voir, mais je me demandais pourquoi cela m'incitait à me reconnecter. Je venais de me connecter avec succès et cela signifie généralement que je n'ai pas à me connecter à chaque nouvelle session pendant au moins quelques minutes. Mais pas cette fois.

«Parfois, je déteste la technologie.»

J'ai ouvert mon gestionnaire de mots de passe et cliqué sur le lien qui me permet d'accéder à la première partie de la connexion avant de devoir fournir mes liens MFA. Ça n'a pas marché.

«Putain de gestionnaire de mots de passe! Pourquoi ne travaillez-vous pas? »

J'ai recherché les informations dont j'avais besoin, y compris un mot de passe très long et complexe, et je les ai saisies manuellement. J'ai mis mes informations d'identification MFA sur demande. "Ça ne fonctionne pas. Je déteste la technologie. »

Je suis distrait par d'autres travaux. Quelques minutes plus tard, je suis retourné à ma session de connexion et j'ai vu un clip vidéo en cours de lecture depuis la sortie de la reine sur Game of Thrones et l'audio provient de la foule de ses sujets mécontents disant: «Honte! La honte!".

La honte. La honte. En effet. Ça m'a aussi pris quelques secondes pour réaliser ce qui s'était passé et puis ça m'a frappé comme une tonne de briques. J'avais encore été trompé par un courriel d'hameçonnage simulé; cette fois en utilisant le sujet pour lequel notre PDG a répété à maintes reprises qu'il fallait se préparer. L'e-mail était plein de drapeaux rouges. L'adresse d'envoi du courriel n'était pas la normale. Le lien URL disait littéralement: "Il s'agit d'un lien d'hameçonnage" Le nom de la marque d'assurance a été mal orthographié dans le message d'une manière dont vous savez que cela ne se produirait pas dans un courriel de la véritable compagnie d'assurance. Le pire de tout, il y avait un paragraphe de petit texte inclus au bas du courriel sous le lien, qui disait littéralement «Ceci est un faux courriel d'hameçonnage. Vous ne devez pas cliquer dessus. " Mais dans toute mon indignité des informations incorrectes sur le vaccin, j'avais été dupé. J'avais été dupé alors que j'étais l'une des personnes les mieux formées au monde sur ce sujet. J'avais été dupe malgré que mon PDG nous avertisse pendant des semaines pour être au courant des escroqueries au vaccin COVID-19.

La honte. La honte. Je n'ai plus de fausse dignité. Je suis une personne qui peut tomber dans de vraies escroqueries par hameçonnage. Cela a pris quelques années. Il a fallu quelques échecs. Mais la vérité est que si je suis suffisamment motivé par les problèmes qui me tiennent à cœur, je peux être dupe.

Le responsable de la sécurité de notre entreprise, un ami, m'a contacté et m'a raconté mes multiples échecs. Il a dit que je devais changer mes informations de connexion maintenant. Je pouvais dire qu'il connaissait mon embarras personnel. 

Je partage cela pour dire que non seulement j'avais une fausse croyance en moi que je ne pouvais pas être hameçonné, mais que toute tentative de ma part de croire le contraire n'est que de fausses fanfaronnades. Je suis honoré de manière appropriée.

Les tests simulés qui m'ont été envoyés par mon organisation ont prouvé que je suis hameçonnable! Malgré tous mes efforts, je peux être hameçonné! PENSEZ AVANT DE CLIQUER.

Je ne suis pas infaillible. Et si vous pensez que vous ne pouvez pas être hameçonné, vous êtes plus susceptible de tomber dans le piège d'un véritable hameçonnage. S'il y a un côté positif pour moi, mon échec est que je sais que je suis à risque, et j'essaie d'agir en conséquence.

Je me demande s'il y en a d'autres qui pensent qu'ils ne sont pas "hameçonnable", comme je le pensais...

Formez-vous, mais surtout appliquez en tout temps ce que vous aurez appris.

Laisser un commentaire

Veuillez noter que les commentaires doivent être approuvés avant d'être publiés