Par ANNE CUTLER, EXPERTE EN CYBERSÉCURITÉ, KEEPER SECURITY
Les consommateurs seront confrontés à un risque immédiat lié aux applications mobiles contenant des logiciels espions, mais les organisations sont également vulnérables à une menace secondaire, tout aussi grave, étant donné que ces mêmes appareils peuvent parfois donner accès aux systèmes et aux données de l’entreprise. À l’ère du travail hybride, où les environnements BYOD (Bring Your Own Device) sont monnaie courante, un seul appareil mobile compromis peut fournir aux pirates un point d’entrée vers des réseaux sensibles.
Les logiciels espions mobiles, tels que LumaSpy, se sont révélés capables de collecter les mots de passe stockés dans les navigateurs ou les gestionnaires de mots de passe non sécurisés. Cela permet aux pirates d’accéder directement aux e-mails d’entreprise, aux plateformes cloud et aux applications internes lorsque des appareils personnels sont utilisés à des fins professionnelles.
Les entreprises doivent s’assurer que leur personnel utilise un gestionnaire de mots de passe sécurisé et crypté pour stocker leurs identifiants, activer l’authentification multifactorielle dans la mesure du possible et restreindre le stockage des mots de passe dans les navigateurs. Les terminaux mobiles, même personnels, doivent être considérés comme faisant partie intégrante de l’écosystème de sécurité global. Les entreprises doivent mettre en œuvre une politique de gestion des appareils mobiles (MDM) qui renforce la sécurité en appliquant des mesures telles que la protection par mot de passe et le contrôle des applications, afin de minimiser les dommages qu’un seul appareil compromis peut causer.
Escroquerie par hameçonnage pendant la période fiscale
Les campagnes de phishing liées à des événements saisonniers peuvent être très efficaces pour les cybercriminels, car elles leur permettent d’opérer sous une apparence d’autorité tout en créant un sentiment d’urgence qui peut être exploité pour contourner plus facilement le bon sens d’une personne. Cela est particulièrement vrai lorsqu’il s’agit d’un événement tel que la date limite de déclaration d’impôts, qui implique intrinsèquement des données personnelles et financières sensibles.
Si ces escroqueries sont souvent présentées comme un problème touchant les consommateurs, les identifiants et les données personnelles volés peuvent également être utilisés dans des attaques contre des entreprises et des organismes gouvernementaux. Un seul compte compromis peut constituer une rampe de lancement efficace pour le spear phishing ou la compromission des e-mails professionnels.
Il est essentiel d’apprendre à reconnaître les signes d’une tentative d’hameçonnage, notamment les URL et les e-mails suspects, les fautes d’orthographe et de grammaire, les images de mauvaise qualité et le sentiment d’urgence dans le message. La défense nécessite non seulement une sensibilisation accrue des utilisateurs, mais aussi des mesures de sécurité multicouches telles que l’authentification multifactorielle, les contrôles d’accès basés sur les rôles et la surveillance des comportements de connexion inhabituels. Ces mesures peuvent transformer un mot de passe volé ou une infection par un logiciel malveillant, qui constituent des risques critiques, en un incident maîtrisé.