Le phishing devient plus furtif : 4 façons de défendre votre marque

Publié: 2023-02-06

Il y a quelques années à peine, il était facile de repérer le phishing. Si un e-mail ou un SMS semblait provenir d'une vraie marque, mais contenait des fautes d'orthographe, une mauvaise grammaire ou des logos flous, vous pourriez parier que quelqu'un essayait de vous inciter à cliquer sur un lien dans le cadre d'une campagne visant à voler vos données, votre argent , ou identité.

Aujourd'hui, cependant, repérer les communications illégitimes n'est pas si facile. La plupart des cybercriminels réussissent bien mieux à dissimuler leur identité grâce à des outils de piratage puissants et peu coûteux ou à des kits de phishing en tant que service sur le dark web. Ces outils, dont beaucoup utilisent l'intelligence artificielle, peuvent rendre professionnelles les communications des escrocs, même les plus analphabètes.

De plus, avec les progrès rapides de ChatGPT d'Open AI, un programme de chatbot d'IA gratuit conçu avec des capacités de traitement du langage naturel (NLP), les pirates disposent désormais d'un moyen plus rapide, meilleur et moins cher de créer des communications qui imitent la personnalité ou le ton d'une marque.

Avec toutes ces innovations, il n'est pas étonnant que les pirates aient pu lancer 255 millions d'attaques de phishing en 2022, en hausse de 61 % par rapport à l'année précédente.

Les observateurs disent que si cette tendance persiste – ce qui est probable – cela pourrait amener les consommateurs à ignorer la plupart des communications marketing légitimes.

Pourquoi la sécurité des données est essentielle pour l'avenir de CX

data_security_cx.jpg Aucune technologie ne peut surmonter le fait que l'expérience client est une entreprise humaine. Découvrez pourquoi la sécurité des données est essentielle pour l'avenir de CX.

Fini le phishing : 10 marques les plus usurpées

Toutes les marques risquent d'être usurpées, mais les fraudeurs ciblent souvent les grandes entreprises technologiques, les expéditeurs et les réseaux sociaux.

Voici le top 10 des marques les plus imitées au T4 2022, classées selon leur apparence générale dans les tentatives de phishing de marque, selon Check Point Software :

  1. Yahoo (20%)
  2. DHL (16 %)
  3. Microsoft (11 %)
  4. Google (5,8 %)
  5. LinkedIn (5,7 %)
  6. WeTransfer (5,3 %)
  7. Netflix (4,4 %)
  8. Fedex (2,5 %)
  9. HSBC (2,3 %)
  10. Whatsapp (2,2 %)

4 façons de protéger votre marque

Le phishing représente un risque énorme pour les marques, leur marketing et leur réputation.

"Toute cette activité de phishing peut saper la valeur de la marque, car lorsque ces e-mails sortent et que les consommateurs ne savent pas s'ils sont valides ou non, nous associons parfois nos expériences négatives à l'usurpation d'identité de l'entreprise", explique Frank Dickson, un analyste du secteur de la cybersécurité chez IDC.

"Mais la vérité est que même les grandes entreprises comme Microsoft ou Google ne peuvent pas faire grand-chose pour contrecarrer le phishing de manière significative."

Donc, si le phishing est si difficile à battre, que pouvez-vous faire pour minimiser son effet sur votre bonne marque ? Voici quelques suggestions d'experts de l'industrie :
  1. Adoptez les protocoles de sécurité des e-mails
  2. Maîtrisez vos domaines
  3. Défendez vos canaux de médias sociaux
  4. Éduquez vos clients

Avec des fuites de données partout, la gestion des données clients devient cruciale

Image d'un collage de différentes sources d'identification client : pièce d'identité, carte de crédit, téléphone intelligent, localisation. Bonnes pratiques de gestion des données clients Les meilleures pratiques de gestion des données clients permettent aux entreprises de renforcer leur engagement envers des relations positives. Le potentiel de croissance, dans le commerce et la confiance, est énorme.

Déjouer la menace avec la sécurité des e-mails

Bien que le phishing soit difficile à vaincre, les entreprises peuvent au moins ralentir sa progression en mettant en œuvre des protocoles de sécurité clés au niveau du serveur de messagerie.

Il y en a trois que les entreprises ont tendance à utiliser en tandem les unes avec les autres :

  • Domain-based Message Authentication , Reporting and Conformance (DMARC) est un système de validation des e-mails conçu pour protéger le domaine de messagerie de votre entreprise contre l'usurpation d'identité, les escroqueries par hameçonnage et autres cybercrimes. DMARC utilise des techniques d'authentification des e-mails telles que Sender Policy Framework (SPF) et Domain Keys Identified Mail (DKIM).
  • Sender Policy Framework (SPF) est une technique d'authentification des e-mails qui empêche les spammeurs d'envoyer des messages au nom de votre domaine. Cela vous donne la possibilité de spécifier quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom de votre domaine.
  • DomainKeys Identified Mail (DKIM) est une technique d'authentification des e-mails basée sur la signature impliquant une signature numérique qui permet au destinataire de vérifier qu'un e-mail a été envoyé et autorisé par le propriétaire de ce domaine.

Avant ces normes, les pirates pouvaient essentiellement envoyer des e-mails avec exactement les mêmes domaines que les marques elles-mêmes, explique Roger Grimes, un évangéliste de la défense pour KnowBe4, une plate-forme de formation à la sensibilisation à la sécurité. En utilisant ces protocoles pour authentifier les e-mails avant qu'ils ne puissent être livrés, de nombreuses grandes entreprises ont arrêté cela.

"Les normes ont connu un tel succès que les hameçonneurs ont presque abandonné l'utilisation de domaines de marque réels et légitimes", déclare Grimes.

Ce ne sont pas les fichiers de données que vous recherchez : La cybersécurité dans cette galaxie

data_files.jpg Les rebelles ont piraté l'Etoile de la Mort. Votre organisation est-elle la prochaine ? La protection des données des clients est essentielle à la mission. Renseignez-vous sur les mesures de cybersécurité que vous devez prendre maintenant.

Maîtrisez vos domaines pour vaincre les forces obscures

Les protocoles de sécurité des e-mails réussissant si bien à bloquer une ligne d'attaques, les pirates se sont tournés vers la création de leurs propres domaines. Vous les avez probablement vus. Ils ressemblent souvent étroitement à la réalité, mais s'écartent très légèrement, glissant un chiffre, une lettre ou un symbole dans des endroits non évidents.

La plupart des pirates informatiques ne se soucient pas de le faire manuellement car il existe de nombreux outils qui leur permettent de créer des dizaines voire des centaines de fausses dérivations. Et il est presque impossible de tous les retrouver une fois qu'ils ont été générés, dit Grimes.

Une solution technologique consiste à déployer un outil automatisé pour identifier les domaines similaires associés à votre domaine d'entreprise, explique Dickson d'IDC. Ceux-ci rechercheront essentiellement à la fois le Web accessible au public ainsi que les sites Web sombres et profonds pour voir qui pourrait usurper votre marque.

Une considération supplémentaire pour devenir le maître de votre domaine est de souscrire à un service de réputation. Ceux-ci impliquent également généralement un outil de recherche pour voir qui, le cas échéant, se fait passer pour vous.

Mais ils peuvent aussi avoir des centaines de personnes qui effectuent la recherche ainsi que des services de soutien, comme travailler avec les forces de l'ordre pour supprimer les domaines illégaux, explique Tony Sabaj, un porte-parole de Check Point.

Relations publiques pour Internet : gestion de la réputation en ligne

Image d'icônes de mégaphone et d'e-mail, représentant la gestion de la réputation en ligne La gestion de la réputation en ligne signifie surveiller et s'engager dans des activités en ligne pour comprendre et améliorer l'impression publique d'une entreprise. En d'autres termes, les relations publiques pour Internet.

Renforcez la sécurité des réseaux sociaux

Les marques doivent également protéger leurs réseaux sociaux contre les attaques. S'ils sont compromis, ces canaux peuvent alors devenir des outils pour lancer des attaques de phishing, explique Grimes.

"Il est très courant qu'un pirate informatique s'introduit dans une entreprise, fouille dans les boîtes de réception des comptes fournisseurs et des comptes clients, puis envoie de fausses factures et des modifications d'informations bancaires aux gens", dit-il, faisant référence à la compromission des e-mails professionnels.

"Ils pourraient dire quelque chose comme" hé, nous voulons juste vous faire savoir que nous changeons de banque et que vous devriez envoyer vos paiements à ce nouveau routage bancaire et numéro de compte "."

Croissance du commerce social : une question de confiance

FCEE_Social_Commerce_1200x375 Les achats sur les plateformes de médias sociaux devraient augmenter trois fois plus vite que le commerce électronique traditionnel, mais les marques doivent renforcer la confiance des clients pour stimuler l'adoption.

Éduquez vos clients (et tous ceux qui écouteront)

L'une des choses les plus importantes qu'une entreprise puisse faire pour protéger sa marque est d'informer les clients de la menace posée par les attaques de phishing et de ce qu'ils peuvent faire à ce sujet.

Informez-les des tendances actuelles en matière de phishing, comme les pirates qui envoient des e-mails non sollicités disant qu'ils ont gagné quelque chose ou qu'un envoi de quelque chose qu'ils n'ont jamais commandé a été retardé, ou que leur compte a été piraté et nécessite une assistance technique.

Informez également régulièrement les clients de la manière dont vous travaillez de manière proactive pour lutter contre le phishing. Enfin, profitez de chaque occasion pour rappeler aux clients qu'ils doivent jouer un rôle dans leur protection.

Offrez des conseils de bon sens tels que :

  • Communication numérique suspecte avec des noms de domaine, des polices, des fautes d'orthographe, de grammaire ou des images étranges . Ces "dits" ne sont plus aussi courants qu'ils l'étaient autrefois, mais ils existent toujours.
  • Recherchez les incompatibilités entre les expéditeurs supposés, les adresses e-mail, les lignes d'objet et le message lui-même. Par exemple, j'ai récemment reçu un e-mail mal conçu qui provenait soi-disant de Lowe's affirmant que j'avais gagné un Dewalt Heater. L'adresse e-mail de l'expéditeur n'incluait pas le nom de la quincaillerie. Le corps du message était surmonté d'un logo d'EA, la société de jeux vidéo. Et au lieu de me dire comment obtenir mon radiateur, il a dit que j'avais demandé un changement de mot de passe et que je pouvais cliquer sur un lien pour que cela se produise.
  • Méfiez-vous des communications qui semblent sortir de nulle part ou qui vous demandent de faire quelque chose que vous n'avez jamais fait auparavant avec l'expéditeur supposé, comme partager des informations financières ou personnellement identifiables (PII).
  • Ne cliquez jamais sur des liens provenant de personnes que vous ne connaissez pas ou en qui vous ne faites pas confiance, surtout si elles vous demandent de choisir un nouveau mot de passe.
  • Faites également attention aux éventuelles vidéos deepfake , qui sont utilisées pour le phishing. Bien qu'ils deviennent plus lisses, vous pouvez généralement les repérer en recherchant des distorsions visuelles telles que des mouvements inhabituels de la tête ou du torse et des problèmes de synchronisation entre le visage, les lèvres et l'audio, écrit Stu Sjouwerman, fondateur et PDG de KnowBe4.

Critique de la mission : pourquoi les CMO se concentrent sur la protection des données des clients

CMOs_are_focusing_on_protecting_customer_data_FTR.jpg Dans la course à la conformité, la confiance des clients est la ligne d'arrivée. Une violation de données peut entraîner des pertes massives, c'est pourquoi les CMO se concentrent sur la protection des données des clients.

Une bataille sans fin

En fin de compte, les entreprises doivent faire face au fait que la lutte contre les hameçonneurs est une bataille de va-et-vient. Pour chaque contre-mesure lancée par les marques, les cybercriminels trouveront un autre vecteur d'attaque. C'est pourquoi il est si essentiel de rester attentif à l'évolution des menaces et de se concentrer sur les personnes, les processus et la technologie.

"C'est un jeu du chat et de la souris", déclare Sabaj de Check Point. "Mais il y a beaucoup de choses que les organisations peuvent faire pour empêcher le phishing, et elles doivent le faire pour protéger la valeur de leur marque."

Vous voulez perdre des clients à un rythme effarant ?
 Ne respectez pas la confidentialité de leurs données.
 Au lieu de cela, gagnez confiance + fidélité
 avec une grande stratégie de données .