Les 5 plus grandes attaques de phishing de l'histoire mondiale
Vous pensez peut-être que l’hameçonnage ne concerne que les petites entreprises, car elles sont beaucoup plus vulnérables que les grandes entreprises technologiques comme Facebook et Google. Cependant, vous ne pourriez pas être plus loin de la vérité. Les grandes entreprises technologiques sont tout aussi vulnérables au phishing que les petites entreprises. Voici cinq exemples classiques des plus grandes attaques de phishing à ce jour :
Facebook et Google ont été hameçonnés pour 100 millions de dollars chacun
De 2013 à 2015, les deux mastodontes Google et Facebook ont chacun été hameçonnés pour au moins 100 millions de dollars. "Comment", demandez-vous ? Un Lituanien a mis au point un système frauduleux pour tromper ces entreprises. Il s'est fait passer pour une grande entreprise asiatique appelée Quanta et a exploité le fait que Facebook et Google étaient tous deux des clients de Quanta. Il a envoyé de fausses factures et des contrats falsifiés qui étaient ensuite signés par des cadres. Il a réussi à s'en tirer pendant deux ans. Le phisher a été arrêté en 2017 et extradé aux États-Unis, où il a été condamné à 5 ans dans une prison fédérale.
Sony Pictures a perdu plus de 100 millions de dollars en données volées
À l'automne 2014, des pirates informatiques ont infiltré Sony Pictures Entertainment. On a d'abord pensé que l'entreprise avait été compromise par des attaques d'hameçonnage visant les ingénieurs systèmes et les administrateurs de réseaux, leur demandant de vérifier leurs comptes Apple. On a alors soupçonné que les hameçonneurs tentaient d'infiltrer des employés utilisant le même mot de passe pour leurs comptes d'entreprise (ce qui n'est pas inhabituel). Toutefois, il a été découvert par la suite que les attaquants étaient d'abord entrés par le biais du spear phishing, puis par les faux e-mails d'Apple. Les auteurs ont volé plus de 100 téraoctets de données et ont ensuite endommagé les PC avec un logiciel malveillant qui a effacé les disques durs des machines. La perte est estimée à plus de 100 millions de dollars.
Blackout par hameçonnage
Oui, même les coupures de courant peuvent résulter d'une attaque de phishing sophistiquée contre une entreprise. En 2015, des centrales électriques ukrainiennes ont été victimes d'emails spear phishing. Les cybercriminels ont ensuite eu accès aux systèmes et ont téléchargé des logiciels malveillants. Ce logiciel malveillant, appelé "KillDisk", a eu un impact énorme sur les systèmes de contrôle industriels, provoquant non seulement des pannes de courant mais ralentissant également le processus de récupération. L'entreprise en question n'a pas pris à l'avance les mesures adéquates contre le phishing. Les conséquences que l'entreprise a dû supporter sont tellement inimaginables qu'elles ont été considérées comme fictives avant cette attaque.
Brèche dans le réseau électrique américain
Même s'il n'y a pas eu de dégâts - contrairement à l'attaque ukrainienne - cet exemple est un avertissement pour tous. En 2016, selon un rapport du département américain de Homeland Security, plusieurs organisations des secteurs de l'énergie, de l'aviation, de la construction, du nucléaire... ont été frappées par une attaque orchestrée par des hackers russes. Toutefois, ces attaques n'étaient pas dirigées par les Russes, mais par de petites entreprises qui faisaient confiance à ces grandes entreprises. Les pirates avaient infiltré les petites entreprises par le biais du phishing, puis utilisé cette confiance pour hameçonner les grandes entreprises.
Doubler votre argent, à un prix sérieux
Cette dernière attaque aurait pu avoir un impact énorme. La cybersécurité de Twitter est généralement très forte, puisqu'ils surveillent de près les incohérences, notamment celles des célébrités. Pourtant, Twitter a également subi une attaque de phishing l'année dernière. Une personne se serait fait passer pour un employé et lui aurait demandé de nouvelles données de connexion parce qu'il avait oublié les siennes. Une fois entré, l'attaquant a pu accéder à des comptes Twitter populaires, tels que ceux de Barack Obama et de Kanye West, et publier un message demandant à leurs abonnés de lui envoyer des bitcoins. L'imposteur a promis de les doubler si les Twittereurs accédiez à sa demande. Twitter a dû prendre des mesures drastiques et fermer temporairement tous les comptes vérifiés jusqu'à ce que le compte de l'employé exposé soit retrouvé. Depuis cet incident, Twitter a amélioré ses politiques de sécurité et d'autorisation. En plus, l’entreprise forme ses employés à reconnaître et à stopper le phishing.
Du pickpocket au cybercriminel moderne
Au fur et à mesure que les criminels ont dépassé les limites du vol à la tire et d'autres délits physiques, ils se sont familiarisés avec le monde numérique. Ils ont commencé à exploiter les failles des systèmes opérationnels et d'autres développements technologiques. Aujourd'hui, cependant, ces vulnérabilités ont été découvertes et elles sont rares. Ils ont donc dû faire preuve de créativité et revenir à leurs anciennes méthodes de manipulation des victimes involontaires pour accéder à leur capital. Et c'est ainsi que le phishing est né. Les attaques mentionnées ci-dessus sont les plus grandes attaques de phishing de l'histoire et ne sont que la partie visible de l'iceberg. Nous avons parlé du phishing ordinaire et du spear phishing, qui sont les formes les plus populaires de phishing. D'autre part, nous devons parfois faire face à la fraude aux PDG, au whale-phishing, au smishing, au vishing et à bien d'autres phénomènes qui se terminent par -ishing. Le cœur de toute attaque sera toujours d'essayer de s'emparer de vos données personnelles.
Voici comment éviter que cela n'arrive à votre entreprise
Améliorez votre sécurité. Même pour les petites entreprises, la cybersécurité est primordiale. Il existe plusieurs façons d'empêcher ce genre de choses de se produire, mais la plus efficace est de former vos collègues. Il est beaucoup plus facile que vous ne le pensez d'être la proie du phishing. Informez vos employés des dangers du phishing et de la manière de les reconnaître. Nous pouvons vous aider. Nous proposons un programme de formation aux attaques de phishing dans le cadre duquel nous formons votre personnel en leur envoyant des simulations d'e-mails de phishing et en leur apprenant ce qu'ils doivent faire s'ils deviennent une victime du phishing.