Campagne d’hameçonnage – Phishing 2019-01-21T17:11:16+02:00

Campagne d’hameçonnage
Phishing

Ne vous laissez plus piéger par ces campagnes frauduleuses visant à récolter des informations et protégez-vous contre ces pratiques de plus en plus répandues.
Nos campagnes de test permettent de protéger les organisations contre les malwares, ransomwares et emails frauduleux. Pour cela, ITrust vous propose, entre autre, d’envoyer à vos salariés un faux email afin de vérifier leurs bons réflexes.

Obtenir un devis
phishing

ITrust s’occupe de mener vos campagnes de test afin de :

  • Sensibiliser vos collaborateurs aux emails frauduleux
  • Valider les bonnes pratiques de votre entreprise face au phishing
  • Connaître l’attitude de vos salariés face à des emails non légitimes, les invitants à saisir leurs identifiants
  • Assurer que vos accès entreprise ne soient pas révélés a la première page de phishing reçu

Contexte

Le bitcoin a permis aux pirates de remettre au goût du jour le principe du cryptolocker. Le défaut historique de ce dernier, à savoir la difficulté à récupérer la rançon de manière anonyme, est désormais résolu grâce aux crypto-monnaies décentralisées.
L’ultra-rentabilité des rançongiciels de type cryptolocker a éclipsé tous les autres modes d’attaque en termes de volumétrie.
Cela s’accompagne d’efforts considérables de personnalisation de ces messages. Si hier, les particuliers étaient les plus ciblés via des campagnes de « pêche au gros » pathétiques et peu convaincantes, aujourd’hui le spear-phishing est devenu la règle. Tout est bon pour imiter au mieux un mail légitime avec des innovations importantes : faux messages de répondeur VoIP, fausses newsletters avec un lien « se désabonner » malveillant, etc.
Les utilisateurs du système d’information doivent donc être régulièrement challengés au niveau de leur vigilance.

  • 1 – Campagnes sur mesure

    ITrust conçoit des modèles d’attaques sur mesure, inspirés de l’actualité et/ou des spécificités de l’entreprise. L’objectif est de laisser assez d’indices suspicieux aux utilisateurs sans pour autant commettre d’erreur flagrante, les obligeant ainsi à recouper plusieurs détails (liens réécris en html, typo squatting dans l’adresse source, champ reply-to différent, etc.).

  • 2 – Gestion et suivi de projet

    • Validation et conseil sur la communication interne préalable
    • Validation des templates (et prise en compte des demandes de modifications du client)
    • Validation du message d’avertissement (qui s’affiche quand la victime a cliqué sur le lien ou ouvert le document malveillant)
    • Définition des actions respectives et d’un rétroplanning
    • Transmission et traitement des listes de cibles
    • Accompagnement sur les mesures techniques nécessaire à mettre en place côté client pour assurer le bon déroulement (whitelist d’adresse IP, …)
    • Tests préalables sur un pool réduit pour vérifier que toute la chaîne fonctionne
  • 3 – Envoi des emails

  • 4 – Rédaction du rapport et analyse

    • Consolidation des résultats et présentation sous diverses formes
    • Interprétation des résultats (comparaison avec les moyennes observées chez d’autres clients)
    • Justifications des modèles ainsi que de la page d’avertissement
    • Livraison d’éléments de sensibilisation à destination du personnel
    • Élaboration du reporting décisionnel et statistiques des résultats