Vous avez probablement un e-mail de phishing dans votre boîte de réception en ce moment.

C'est peut-être une arnaque évidente, mais il est plus probable qu'il s'agisse d'une note insidieusement amicale qui semble provenir d'un collègue ou d'un ami, vous demandant de cliquer sur ce lien ou d'ouvrir cette pièce jointe. Si tu fais, un pirate pourrait accéder à votre nom d'utilisateur et à votre mot de passe, potentiellement voler des trésors de données et compromettre toute votre organisation

« Les escroqueries par hameçonnage ont considérablement changé au cours des trois dernières années, " a déclaré Ryan Wright, le professeur de commerce C. Coleman McGehee à la McIntire School of Commerce de l'Université de Virginie. Hackers, il a dit, sont passés de l'envoi de millions d'e-mails bidons à un ciblage impitoyable d'utilisateurs individuels, utilisant souvent des informations provenant de comptes de médias sociaux pour se faire passer pour des collègues, amis ou membres de la famille.

Wright fait des recherches et enseigne sur la cybersécurité et travaille avec le responsable de la sécurité de l'information d'UVA, Jason Belford, pour améliorer la cybersécurité à l'Université. Il travaille également avec le vice-président des technologies de l'information Ronald R. Hutchins pour développer une nouvelle formation anti-hameçonnage pour tous les employés de l'État.

Voici ses conseils pour vous protéger et protéger votre organisation.

Comprendre comment fonctionnent réellement les escroqueries par hameçonnage

Les escroqueries par hameçonnage par e-mail sont la technique la plus couramment utilisée par les pirates pour accéder à des noms d'utilisateur et des mots de passe individuels et ainsi infiltrer des organisations entières.

Bien que nous considérions généralement les pirates comme des génies de l'informatique qui créent leurs propres programmes, Wright a déclaré que la plupart achètent simplement un logiciel de phishing sur le dark web et l'utilisent pour mettre en place une escroquerie par phishing par e-mail.

Si les utilisateurs cliquent sur un lien ou une pièce jointe dans l'e-mail de phishing, ils sont dirigés vers une page Web bidon, tels que les sites soutenus par la Russie découverts par Microsoft cette semaine. Les logiciels malveillants codés sur le site volent leurs informations, généralement leur nom d'utilisateur et leur mot de passe.

Les pirates peuvent alors se faire passer pour un utilisateur pour accéder aux informations d'une organisation. Un seul clic, d'un utilisateur, a déclenché des piratages majeurs dans des organisations de Target au gouvernement américain - malgré tous leurs efforts pour sécuriser leurs frontières techniques.

Selon Wright, la page Web d'hameçonnage dure en moyenne sept jours, parce que les taux de réponse à n'importe quel e-mail de phishing - tout comme un e-mail ordinaire - chutent considérablement après 24 à 36 heures.

"Les pirates savent qu'ils n'ont besoin d'un site que pour quelques jours, " Wright a dit. " Ils ont installé des millions d'entre eux. Les identifier, c'est un peu comme jouer à 'Whac-a-Mole' - vous ne pouvez pas les éliminer assez vite."

Comprenez que vous êtes la cible, pas ton ordinateur

« Nous avons tendance à considérer la cybersécurité comme un problème technique, mais c'est vraiment un problème humain, ", a déclaré Wright. "90 à 95 pour cent des attaques contre les organisations sont des attaques contre des individus."

Une étude récente pour la Cybersécurité au Travail, sorti ce mois-ci, ont constaté que les employés individuels sont le plus grand facteur de risque pour les organisations. Près de deux personnes interrogées sur cinq ont admis avoir cliqué sur un lien ou une pièce jointe douteux, soit environ 40 % de la main-d'œuvre.

Selon Wright, l'arnaque d'hameçonnage moyenne d'aujourd'hui cible environ neuf personnes, en utilisant les informations de leur LinkedIn, Facebook et autres comptes de médias sociaux pour personnaliser chaque message et se faire passer pour des membres de la famille, amis ou collègues.

"Ce sont très, des campagnes très ciblées, " dit-il. " Il est important de comprendre que vous êtes la cible, pas seulement votre ordinateur."

Pratiquer la pleine conscience technologique

Vous pensez probablement à la pleine conscience comme quelque chose de mieux adapté à votre tapis de yoga qu'à votre boîte de réception, mais les recherches de Wright montrent que la formation à la pleine conscience est 38 % plus efficace pour prévenir les piratages que la formation anti-hameçonnage traditionnelle.

Ce chiffre provient d'expériences sur le terrain que Wright et ses collègues ont menées dans une grande organisation, envoyer leurs propres e-mails de phishing à un groupe formé aux techniques de pleine conscience, un formé aux techniques traditionnelles basées sur les indices (c'est-à-dire la recherche de lignes d'objet suspectes, orthographe et autres indices) et un groupe témoin sans formation.

"L'entraînement basé sur les signaux est certainement mieux que rien, mais l'entraînement à la pleine conscience a amélioré les résultats d'environ 38 %, " a déclaré Wright. " Lorsque les pirates ne recherchent qu'un seul clic, c'est un nombre assez important."

Alors que la formation basée sur les repères enseigne aux utilisateurs à rechercher une longue liste de caractéristiques de courrier électronique qui change souvent, la formation à la pleine conscience vise à amener les utilisateurs à « arrêter, penser puis agir" avant de cliquer sur quelque chose, faire confiance à leur instinct si quelque chose ne va pas.

"Même la pause la plus brève alerte votre instinct, conduisant à une meilleure décision la plupart du temps, " Wright a déclaré. "Nous utilisons souvent la technologie assez inconsidérément; si vous faites une pause et êtes plus attentif pendant une seconde, alors vous avez déjà gagné."

Faites confiance à vos collègues

Wright l'appelle « le pare-feu humain » - le réseau de relations et d'interactions humaines qui peut rendre encore plus difficile pour les pirates de pénétrer dans une organisation. Il ne s'agit pas seulement de personnel informatique, mais de collègues qui comptent les uns sur les autres pour repérer les activités suspectes et communiquer avec le groupe.

« Notre recherche a montré que les gens sont beaucoup plus susceptibles d'aller voir leurs collègues avec une question de sécurité avant de se rendre à l'informatique, " a déclaré Wright. Les services informatiques devraient encourager ce comportement plutôt que le décourager, il a dit, et aidez les influenceurs clés des différents départements à diffuser des informations correctes.

« Si vous recevez un e-mail étrange et que vous vous adressez à quelqu'un dans la cabine suivante pour lui en parler, tu as déjà gagné, " a déclaré Wright. " Ce genre de sensibilisation diffuse des pratiques de sécurité positives dans toute l'organisation. "

Lisez un article d'actualité sur la cybersécurité chaque trimestre

Pour augmenter votre prise de conscience des risques de sécurité, Wright suggère de surveiller la presse populaire pour les articles d'actualité sur la cybersécurité et d'en lire au moins un chaque trimestre. Même ce peu de lecture vous aidera à rester au courant et informé des dernières escroqueries que vous êtes susceptible de voir dans votre boîte de réception, il a dit. Et plus votre conscience est élevée, plus votre risque est faible.

"Plus la sécurité est à l'esprit, les meilleures décisions que les gens prennent, " a déclaré Wright.

Comme point de départ, il recommande Krebs sur la sécurité, un site Web dirigé par le journaliste du Washington Post devenu le gourou de la cybersécurité Brian Krebs.