Le cybercriminel qui vole des informations ou de l'argent à une petite entreprise est probablement un maître de la tromperie et de la manipulation ainsi qu'un techno-expert.

Lorsque Nancy Butler a reçu un appel d'une personne prétendant être de son service informatique il y a deux ans, elle a supposé qu'il s'agissait d'un examen de routine effectué par un membre du personnel légitime. Donc, comme elle l'avait fait plusieurs fois lors de tels appels, Butler a demandé à l'appelant de confirmer son numéro de compte et d'autres informations afin que "je puisse être sûr qu'ils étaient bien ceux qu'ils prétendaient être".

"Une fois que tout a été confirmé, je les ai laissés entrer dans l'ordinateur pour constater qu'ils m'ont immédiatement verrouillé hors de mon ordinateur, consulté et volé sur un compte bancaire, carte de crédit et plusieurs comptes en ligne, " dit Butler, un coach d'affaires et un conférencier motivateur basé à Waterford, Connecticut. Les voleurs ont également exigé le paiement avant de la laisser revenir dans son ordinateur - elle n'a pas payé, et elle a trouvé une entreprise de technologie de l'information qui pourrait le débloquer.

Alors que les cybercriminels intensifient leurs attaques contre les entreprises ainsi que les utilisateurs d'ordinateurs individuels, ils s'appuient davantage sur l'ingénierie sociale, la pratique de tromper ou de manipuler quelqu'un, souvent par e-mail mais aussi par téléphone, pour obtenir des informations personnelles ou financières. Lorsqu'une entreprise est attaquée, les données des clients et des fournisseurs sont menacées. Les experts en cybersécurité affirment que les petites entreprises sont de plus en plus ciblées.

Les escroqueries par phishing utilisent souvent l'ingénierie sociale. Les escroqueries sont généralement déguisées en e-mails d'apparence réaliste qui encouragent le destinataire à cliquer sur un lien ou une pièce jointe; ce clic télécharge un logiciel malveillant appelé malware capable de capturer des informations et de les renvoyer au criminel. Les e-mails peuvent sembler provenir de la banque d'une entreprise ou d'une autre entreprise. Le phishing est également un moyen pour les ransomwares, logiciels malveillants qui bloquent les ordinateurs, à planter sur un appareil. Alors que certains cybercriminels ciblent les petites entreprises, des logiciels malveillants peuvent également être implantés lorsqu'un employé clique sur un e-mail personnel sur un ordinateur de l'entreprise.

Lorsqu'il s'agit de pirater des sites Web, les cybercriminels recherchent toujours des vulnérabilités qu'ils peuvent exploiter, mais c'est leur capacité à arnaquer les entreprises qui cause de nombreux problèmes, dit Terry Kasdan, propriétaire d'atCommunications, une société de développement de sites Web basée à Northbrook, Illinois.

Le genre d'expérience que Butler a eu est de plus en plus courant avec les attaques de sites Web.

"Un pirate peut appeler une entreprise, dire quelque chose à l'effet de, 'Je travaille pour votre hébergeur, ' et ajoutez le nom du véritable hôte pour donner de la crédibilité à l'appel, ", explique Kasdan. Les pirates peuvent obtenir des informations sur un site Web et sa société d'hébergement à partir d'annuaires en ligne. s'ils sont capables de manipuler un employé pour qu'il donne un mot de passe, ils peuvent entrer sur le site, voler des informations et les endommager ou les désactiver.

Une entreprise peut devenir une victime indirectement :ses propres systèmes n'ont pas besoin d'être attaqués pour qu'un cybervoleur vole des informations ou de l'argent.

Tjernlund Products a envoyé une nouvelle commande par courrier électronique à l'un de ses fournisseurs en Chine et a reçu un courrier électronique indiquant que la société avait une nouvelle banque à laquelle Tjernlund Products devrait effectuer ses paiements. Ce n'était pas une situation inhabituelle; les vendeurs de l'entreprise en Chine changent souvent de banque, dit Andrew Tjernlund, directeur marketing du White Bear Lake, Fabricant basé au Minnesota du fabricant de composants pour systèmes de ventilation.

Des mois plus tard, après que l'expédition n'est jamais arrivée, Tjernlund Products a contacté le fournisseur, qui a enquêté et a découvert que son courrier électronique avait été piraté. Tjernlund Products était sorti à environ 20 $, 000, bien que son fournisseur ait accordé à l'entreprise une pause importante lors de sa prochaine commande pour compenser une partie de la perte.

Andrew Tjernlund dit que lui et ses collègues managers ont réalisé qu'ils étaient des victimes indirectes d'un piratage, et qu'ils étaient trop confiants que le changement de banque était légitime. Ils sont plus méfiants maintenant.

"Nous testons nos fournisseurs lorsqu'ils changent de banque, demandez-leur quelle couleur de cheveux nous avons ou quand nous nous sommes rencontrés pour la dernière fois en personne, des choses comme ça, " dit Tjernlund.

Le gouvernement et certaines entreprises privées comme les assureurs comptabilisent le nombre de cyberattaques signalées, y compris celles qui utilisent l'ingénierie sociale, but many companies don't tell authorities when they've been attacked. Business owners don't want to publicize the fact that their systems or websites have been hacked; they worry about losing customers and being shunned by vendors who fear their systems could also be compromised. Cybercriminals are able to hack into one company's system through another's—when discount retailer Target had a data breach in 2013 hackers first invaded the system of a Target supplier.

The more employees and devices a company has, the more vulnerable it is, says Tyler Olson, owner of Shyld, a cybersecurity startup based in Minneapolis.

"There's an unlimited offensive capability and defense is really hard, " Olson says. "It takes only one entry point in the organization."

The entry point could be the employee who clicks on an email. "Once they're inside the network, they can potentially find additional vulnerabilities. They can sit and wait or they can do some destruction immediately, " Olson says

Olson, who also owns an information technology company, got the inspiration for his cybersecurity firm from his experience working on the technology team for the 2008 re-election campaign of then-Sen. Norm Coleman (R-Minn.). A video posted on YouTube showed how to hack into the campaign database; a hacker did that and the personal and credit card information of thousands of contributors to Coleman's campaign were posted on the internet, with Wikileaks claiming responsibility for disseminating the data.

© 2019 La Presse Associée. Tous les droits sont réservés.