Cette saison des impôts, ne vous concentrez pas uniquement sur les économies, mais soyez également plus vigilant car vous pourriez être la prochaine victime du Spear Phishing. Les cybercriminels profitent de notre concentration sur les économies d'impôt et de notre espoir de récupérer de l'argent du gouvernement.
Les attaquants envoient un e-mail aux employés, imitant de manière convaincante l'adresse e-mail du PDG de l'entreprise leur demandant de partager le formulaire W-2 des employés. Cela donne aux attaquants l'accès aux données personnelles des employés, les aidant à produire de faux retours et à obtenir des remboursements.
Si vous vivez au Royaume-Uni, vous pouvez voir des attaques de phishing se faisant passer pour HM Revenue & Customs, promettant des remboursements. En cliquant sur un lien, présent dans l'e-mail, vous serez redirigé vers un site légitime vous demandant votre nom, adresse, téléphone, détails de carte de crédit, nom de jeune fille de la mère et numéros d'identification. Ainsi, donner aux attaquants l'accès à toutes les informations confidentielles, conduisant à un vol d'identité à part entière.
Voir aussi : Gmail est la dernière victime des attaques de phishing !
Des leurres similaires ont été signalés en France, en Australie et en Amérique.
De nombreuses entreprises et leurs employés tombent dans le piège de cette attaque de spear-phishing. Il incite un employé du service des ressources humaines ou des finances à envoyer le formulaire W-2 de l'entreprise au PDG ou au cadre supérieur, qui demande le formulaire en expliquant qu'il s'agit d'une urgence financière.
Formulaire W-2s
Qu'est-ce que le formulaire W-2s ?
Le formulaire W-2s est un formulaire fiscal fédéral des États-Unis émis par les employeurs indiquant le montant d'impôt qu'un employé paie par an. Il se compose du nom de l'employé, des SSN et d'autres données confidentielles. On l'appelle aussi une déclaration d'information.
Seul le personnel autorisé, le service RH ou financier a accès à ces données.
Qu'est-ce que le Spear Phishing ?
Le Spear phishing est une attaque d'usurpation de courrier électronique ciblant des organisations ou des individus spécifiques, cherchant à accéder à des informations confidentielles. Il utilise des tactiques intelligentes pour attirer l'attention des victimes, telles que : l'usurpation d'identité, les techniques de contournement du contrôle d'accès.
Comment fonctionne le Spear Phishing ?
Le spear phishing se concentre sur des individus ou des employés sélectifs. Dans la plupart des cas, les attaquants n'ont pas à travailler beaucoup, car la plupart des entreprises affichent le nom complet, le titre et l'adresse e-mail de leurs dirigeants, il devient plus facile d'accéder aux données. Ainsi, s'avérer être un trésor pour les méchants, envoyer des mails de phishing et usurper l'identité d'une personne.
Voir aussi : Cybermenaces qui vont devenir une tendance dans les années à venir !
Se défendre contre le Spear Phishing
Toute forme de phishing conduit finalement à la compromission de données sensibles. Si elle est ignorée, une entreprise sera témoin d'une violation de données, d'un vol d'identité. Peu d'incidents notables où les entreprises ont perdu des millions de dollars et doivent compromettre les dossiers des clients sont : JP Morgan, Home Depot et Target.
Les attaquants ciblent non seulement les grandes entreprises, mais se concentrent également sur les petites et moyennes entreprises. Les petites entreprises ont moins d'infrastructure de sécurité en raison de moins de personnel, elles sont donc facilement ciblées.
Étant donné que le courrier électronique est le moyen de communication le plus courant dans les organisations, il est important de le protéger contre les attaques probables de spear phishing. Les employés doivent recevoir une formation pour lutter contre les différentes techniques de phishing.
Ils doivent savoir faire la différence entre un e-mail authentique et un e-mail de phishing.
Voici quelques conseils qui peuvent vous protéger, vous et les autres, de cette arnaque :
1. La première chose et la plus courante à remarquer dans un e-mail suspect, c'est qu'il aura du texte mal orthographié, un vocabulaire étrange.
- Il devrait y avoir un réseau de sécurité solide afin que personne ne puisse le contourner.
- Si vous recevez un e-mail demandant des informations confidentielles, confirmez-le d'abord en contactant la personne qui aurait demandé les informations. N'essayez jamais de contacter la personne via le numéro de téléphone ou l'e-mail fourni dans le courrier suspect. Au lieu de cela, vérifiez la même chose avec une source de confiance.
- Ne pas partager / envoyer des informations confidentielles par courrier électronique non crypté.
- Produisez vos déclarations de revenus et n'enregistrez pas les données sur votre machine.
- N'enregistrez pas le nom d'utilisateur ou le mot de passe sur les systèmes publics/officiels.
- Enfin, réfléchissez avant de cliquer !