Alors que nous nous retranchons dans nos bureaux à domicile et que nous nous efforçons de nous protéger, nous et nos communautés, contre les ravages du COVID-19, il est bon de rappeler qu'outre les menaces posées par le virus, nous sommes également de plus en plus exposés aux escrocs et aux pirates informatiques qui cherchent à exploiter les failles existantes en matière de cybersécurité (et notre sentiment général de panique) par le biais de divers efforts d'hameçonnage, de campagnes de spear phishing et d'escroqueries aux logiciels malveillants.
Exploiter les faiblesses des utilisateurs en matière de cybersécurité n'est pas nouveau. Ce qui est différent aujourd'hui, c'est que de nombreux employés sont des travailleurs à distance novices qui n'ont peut-être pas eu le temps ou la capacité de sécuriser leur environnement de travail à domicile. Dans leur empressement à se conformer aux exigences municipales, provinciales, étatiques et fédérales en matière d'isolement ou de maintien à domicile, certaines entreprises se sont empressées de fournir à leurs employés le matériel adéquat et nécessaire, mais n'ont peut-être pas eu l'occasion d'examiner attentivement les menaces à la sécurité et de s'en protéger, c'est-à-dire de s'assurer que les systèmes essentiels et les logiciels d'entreprise ont été entièrement mis à jour et corrigés. Les employés n'ont pas reçu de formation complémentaire en matière de sécurité. Dans certains cas, le besoin de rapidité - pour assurer la continuité des activités et la capacité à servir les clients - a entraîné une mauvaise cyberhygiène, alors même que les travailleurs s'efforcent de se débrouiller avec une combinaison d'appareils personnels fournis par l'entreprise et non vérifiés et de réseaux WiFi vulnérables.
Il n'est pas non plus très surprenant que les employés stressés soient beaucoup plus susceptibles d'être victimes de cybercriminels. Les tensions sont fortes, l'anxiété est élevée et les travailleurs essaient de se concentrer tout en étant entourés de leur famille, également préoccupée, ce qui crée un environnement sous pression propice aux erreurs de jugement. Les employés qui essaient de montrer à leur entreprise qu'ils sont toujours des travailleurs assidus peuvent facilement être trompés par des pirates qui se font passer pour leur patron ou leurs collègues et qui leur envoient des courriels d'apparence authentique, mais faux, à partir de prétendus "comptes personnels", leur demandant de faire quelque chose, comme fournir des identifiants de réseau essentiels ou des informations confidentielles/privées. Pris sur le vif, ces courriels peuvent tromper des employés peu méfiants, en particulier ceux qui utilisent des technologies nouvelles ou peu familières, comme des ordinateurs portables avec des écrans plus petits.
Jusqu'à présent, une grande partie de l'activité néfaste de COVID-19 en ligne a consisté en du phishing, du spear phishing et en l'introduction de logiciels malveillants. "L'hameçonnage - défini par le Centre canadien de cybersécurité (CCC) - est une tentative par un tiers de solliciter des informations confidentielles auprès d'une personne, d'un groupe ou d'une organisation en imitant ou en usurpant une marque spécifique, généralement bien connue, généralement dans un but lucratif. Il s'agit généralement de tenter de tromper les utilisateurs pour qu'ils divulguent des données personnelles, telles que des numéros de carte de crédit, des identifiants bancaires en ligne et d'autres informations sensibles, que les fraudeurs peuvent ensuite utiliser pour commettre des actes frauduleux. En revanche, le "spear phishing" consiste à utiliser des courriers électroniques usurpés pour persuader des personnes au sein d'une organisation de révéler leur nom d'utilisateur ou leur mot de passe. Contrairement au hameçonnage, qui implique un envoi massif d'e-mails, le spear phishing est une opération à petite échelle et ciblée. Les pirates utilisent également le courrier électronique pour diffuser des "malwares", des logiciels malveillants conçus pour infiltrer ou endommager un système informatique, sans le consentement de son propriétaire. Les formes courantes de logiciels malveillants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires.
Jusqu'à présent, il y a eu une myriade d'exemples d'escrocs qui ont essayé de tromper le public sans méfiance en utilisant l'hameçonnage, le harponnage et les logiciels malveillants. Comme l'a récemment rapporté la CBC le 30 mars, le fournisseur de réseau privé virtuel Atlas VPN a déterminé que le nombre de sites Web actifs utilisés pour le phishing a augmenté de 350 % entre janvier et mars, juste au moment où la crise du COVID-19 a éclaté. Barracuda Networks, basé en Californie, a signalé une augmentation de 667 % des courriels de phishing entre fin février et fin mars.
Le Centre de la sécurité des télécommunications (CST) du Canada, l'agence mère du CCC, a été très occupé à identifier et à supprimer les sites Web malveillants usurpant les sites Web du gouvernement du Canada (c'est-à-dire l'Agence de la santé publique du Canada et l'Agence du revenu du Canada) qui diffusaient des informations erronées sur le COVID-19. Le CST a également signalé des cas de cartes COVID-19 qui ont infecté des appareils avec des logiciels malveillants, des courriels d'hameçonnage avec des liens et des pièces jointes malveillants, et des sites Web COVID-19 usurpés. L'alerte du 23 mars du CSE a relevé plusieurs exemples de ces tentatives de hameçonnage du COVID-19, avec des sujets d'e-mails alléchants tels que :
Annulation de l'expédition en raison du virus Corona _ Détails du nouveau calendrier d'expédition
Corona échappe à tout contrôle
Vous vous sentez impuissant face à Corona ?
Une source militaire révèle une VÉRITÉ choquante sur le coronavirus.
Le virus Corona est là, êtes-vous prêt ? (Apprenez comment survivre)
Procurez-vous des provisions pour le coronavirus pendant qu'il en reste.
Les Canadiens sont invités à prendre quelques mesures simples pour se protéger, non seulement pendant la période d'isolement du COVID-19, mais en tout temps.
La société de sécurité Forcepoint a récemment constaté que les faux spams relatifs au coronavirus tentent d'inciter les personnes à cliquer sur des liens vers des sites Web douteux et des services frauduleux ou d'encourager les gens à acheter un (faux) produit spécifique censé les protéger contre le COVID-19. Récemment, certaines personnes ont reçu un courriel censé provenir de l'Organisation mondiale de la santé (OMS) et contenant un enregistrement décrivant les précautions nécessaires contre le COVID-19. Cet e-mail contenait en fait un petit fichier HTML qui dirigeait les utilisateurs vers une page de connexion Microsoft Outlook usurpée, où il leur était demandé de se connecter pour accéder à l'enregistrement. Bien entendu, les pirates récupéraient ensuite les mots de passe des utilisateurs. Un autre faux courriel de l'OMS en provenance d'Italie était un "dropper de logiciels malveillants" conçu pour éviter les logiciels de sécurité, car il ne contenait aucun logiciel malveillant, mais un simple script qui s'exécutait sur l'ordinateur de la victime afin d'installer d'autres logiciels malveillants.
Quelles mesures les entreprises peuvent-elles prendre pour que leurs employés soient mieux protégés contre ces cyberpirates ? Et comment les employés peuvent-ils se protéger eux-mêmes ? Voici quelques recommandations :
Les entreprises doivent s'assurer que leurs employés utilisent des appareils de l'entreprise (et non les leurs !) qui accèdent aux réseaux de l'entreprise en utilisant des VPN (réseaux privés virtuels) sécurisés ou d'autres portails sécurisés. Les réseaux de l'entreprise ne devraient être accessibles qu'en utilisant une authentification multifactorielle. Les organisations doivent déployer rapidement tous les correctifs et mises à jour de sécurité requis pour leurs logiciels d'entreprise essentiels et mettre en œuvre des logiciels antivirus ou anti-malware à jour sur les ordinateurs/réseaux. Les ordinateurs, les microprogrammes des routeurs et les logiciels de navigation sur Internet doivent être mis à jour et les anciens logiciels doivent être remplacés par des versions actuellement prises en charge. Envisagez d'utiliser un logiciel qui analyse les courriels pour détecter les liens et les pièces jointes malveillants. Les entreprises doivent veiller à ce que l'accès aux documents sensibles soit limité aux personnes qui en ont particulièrement besoin, et tous les employés doivent recevoir une formation de base en matière de cybersécurité, renforcée par des politiques internes et des tests périodiques. Les entreprises doivent conseiller à leurs employés de ne pas télécharger de documents propriétaires confidentiels sur leurs appareils personnels et les employés doivent être tenus d'utiliser des mots de passe sophistiqués (pas de "Mot de passe !") différents de ceux de leurs comptes personnels. Aussi occupées qu'elles soient à essayer de garder les lumières allumées, les entreprises devraient rappeler périodiquement à leurs employés les risques accrus pendant cette pandémie, notamment en étant à l'affût des tentatives de hameçonnage pas si évidentes.
Les employés doivent se réveiller et reconnaître qu'ils ont la responsabilité personnelle d'être particulièrement vigilants maintenant, étant donné l'augmentation incroyable des escroqueries au coronavirus. Comme le recommande le CCC, pour se protéger contre les courriels malveillants, les utilisateurs doivent s'assurer que l'adresse ou la pièce jointe est pertinente par rapport au contenu du courriel. Il est essentiel de prendre le temps de s'assurer que vous connaissez réellement l'expéditeur du courriel et que celui-ci est légitime - les fautes de frappe sont un signe évident qu'il ne l'est pas. Personne ne devrait ouvrir les pièces jointes d'un courriel provenant de sources dont il n'est pas sûr.
Pour se protéger contre les pièces jointes malveillantes, les employés doivent s'assurer que l'adresse électronique de l'expéditeur comporte un nom d'utilisateur et un nom de domaine valides, et faire preuve d'une prudence accrue si le ton du courriel semble "urgent" ou s'il n'est pas normal. Il n'y a pas de mal à vérifier un courriel inattendu avec une pièce jointe en appelant l'expéditeur supposé. N'oubliez pas que les informations soi-disant essentielles qui arrivent par le biais de pièces jointes peuvent aussi être des escroqueries - la plupart des e-mails légitimes placent les informations essentielles dans le corps du message.
Pour vous protéger des sites web malveillants, assurez-vous que les URL proposées sont correctement orthographiées. Il est plus sûr de taper directement l'URL dans la barre de recherche plutôt que de cliquer sur un lien fourni, juste pour être sûr. Si vous devez cliquer sur un lien hypertexte, passez votre souris sur le lien pour vérifier s'il mène au bon site web et essayez d'éviter de cliquer sur les liens contenus dans les adresses électroniques qui vous demandent de vous connecter à un site web. Prenez le temps de chercher et de trouver vous-même la page de connexion à l'aide de votre propre navigateur web et connectez-vous de cette façon.
Ne " mordez jamais à l'hameçon " - si vous pensez intuitivement qu'il y a une raison de mettre en doute la légitimité d'un message que vous recevez, il vaut mieux l'ignorer et essayer de contacter l'expéditeur pour le vérifier. Ne répondez pas aux demandes d'informations sensibles, même s'il s'agit soi-disant de mettre à jour les informations de paiement d'un compte.
Enfin, si vous faites une erreur et tombez dans le piège de ces escroqueries, rappelez-vous que vous n'êtes qu'un être humain. Toutefois, si vos erreurs ont entraîné la divulgation non autorisée d'informations personnelles ou d'informations confidentielles, vous (ou votre entreprise) avez peut-être déclenché diverses obligations de signalement des violations de données en vertu de diverses lois étatiques et fédérales ainsi que d'autres obligations réglementaires de signalement. Il est préférable d'alerter votre entreprise dès que possible afin qu'elle puisse travailler rapidement pour remédier à la situation. Soyez prudent et restez en sécurité !