Blog

Qu’est-ce que le phishing W2 ?

Qu



Hameçonnage est une méchante entreprise qui fonctionne 24 heures sur 24, 7 jours sur 7 et 365 jours par an. Pendant la période des impôts, un type particulier d’attaque de phishing tente d’accéder aux fichiers W2 d’une entreprise pour tous les employés actuels et/ou passés.

Le véritable danger ici est que l’attaquant a fait ses devoirs à l’avance afin de créer un message crédible qui a beaucoup de poids et qui ressemble à une demande raisonnable émanant d’une source faisant autorité.



Avec quelques recherches, un attaquant peut découvrir :

  • Le nom, l'intitulé du poste, les coordonnées et éventuellement certaines données personnelles de la victime choisie, généralement un membre du service comptable
  • Le nom, le titre du poste et les coordonnées d'au moins un membre de la haute direction de l'entreprise cible
  • La taille de l'entreprise (combien d'employés)

En utilisant seulement ce petit bout d’informations, un attaquant peut créer un compte de messagerie auprès de n’importe quel fournisseur de messagerie gratuit, rendant le nom d’affichage identique à celui de l’un des dirigeants de l’entreprise. Ils peuvent même enregistrer un nom de domaine similaire au domaine de l’entreprise, mais décalé d’un seul caractère. Cela fonctionne particulièrement bien s'ils remplacent un chiffre zéro à la lettre « o », un « I » majuscule pour un « l » minuscule, ou remplacent la lettre « m » par les lettres « rn », par exemple :



  • Personne importante
  • Personne très importante

Ils rédigent ensuite leur e-mail demandant à peu près n'importe quelle information à la cible choisie et attendent une réponse immédiate. Comme l’e-mail est adressé directement à la victime choisie et semble provenir soit du patron de cette personne, soit d’une personne encore plus haut placée dans l’entreprise, ils peuvent également s’attendre à un taux de réussite beaucoup plus élevé qu’une attaque de phishing normale.

Le but est d'accéder aux dossiers du personnel, notamment aux documents fiscaux : formulaire IRS W2 pour tous les salariés actuels et passés. Non seulement l’attaquant aura accès aux informations personnelles identifiables (PII) de chaque employé, comme le nom légal complet, l’adresse physique et le numéro de sécurité sociale, mais il obtiendra également l’EIN de l’entreprise, le nom de l’entité juridique et l’adresse.

Ils peuvent même étendre la demande pour inclure tous les W9 de tous les sous-traitants qui ont été employés par l'entreprise, passés ou présents. Alors que la plupart des entités professionnelles fournissent un EIN sur le W9 qu'elles soumettent, de nombreux entrepreneurs indépendants exercent leurs activités en tant qu'eux-mêmes au lieu d'une société constituée en société et fournissent toujours leur numéro de sécurité sociale au lieu d'un EIN.

Ce qui est effrayant, c’est que ces types d’attaques sont généralement bien plus efficaces que les attaques de phishing normales. La quantité de recherche nécessaire n’est pas si grande et, selon le blog Bloomberg Payroll, le taux de réussite peut atteindre 23 % pour une attaque bien documentée. La plupart des informations dont un fraudeur aurait besoin sont accessibles au public via le site Web de l’entreprise ou sa présence sur les réseaux sociaux.

En rapport:
Méfiez-vous de cette arnaque très convaincante à la déclaration de revenus de l'IRS
Escroqueries par phishing courantes et comment les reconnaître et les éviter

Comment repérer un email de phishing W2 ?

En raison des recherches menées sur ce type d’attaque, il devient beaucoup plus difficile de repérer une tentative de phishing W2.

  • L'attaquant tentera de se faire passer pour quelqu'un qui a le pouvoir de faire la demande.
  • La personne usurpée est généralement quelqu’un que la cible ne penserait pas à interroger.
  • La cible a été sélectionnée par l'attaquant car il a accès aux dossiers des employés dans le cadre de son travail normal.
  • L'e-mail spécialement conçu est adressé directement à la cible plutôt qu'à une adresse e-mail générique, comme « [email protected] ».
  • La demande elle-même semble aussi anodine qu’une demande de dépenses quotidiennes

Tout cela rend le phishing très difficile à détecter, en particulier pour quelqu'un qui ne considère pas une telle demande comme suspecte. La principale défense ici sera l’éducation. Les principales personnes qui ont besoin de cette formation sont les cibles potentielles de ce type d’attaque : les employés de la comptabilité et de la paie. Mais n'oublions pas les autres personnes impliquées dans ce type d'arnaque, les mandataires sociaux qui pourraient être usurpés.

Le personnel comptable et de paie doit être conscient de la facilité avec laquelle un imposteur peut « usurper » n’importe quelle adresse e-mail, même celle du PDG de l’entreprise. Les dirigeants de l’entreprise doivent être conscients du fait que pratiquement n’importe qui peut usurper leur identité par courrier électronique. Même si ces dirigeants ne verront probablement pas ces courriels eux-mêmes, ils sont néanmoins impliqués dans le processus simplement parce qu’ils sont des dirigeants de la société.

Exemples d'e-mails de phishing W2

Les e-mails sont généralement très courts et précis. Après tout, ils sont construits pour donner l’impression qu’ils proviennent directement de quelqu’un de la haute direction, de quelqu’un qui ne perd pas de temps en bavardages ou en explications.

    • Veuillez m'envoyer le W-2 individuel 2017 (PDF) et le résumé des revenus de tous les W-2 du personnel de notre entreprise pour un examen rapide.
    • Pouvez-vous m'envoyer la liste mise à jour des employés avec tous les détails (nom, numéro de sécurité sociale, date de naissance, adresse du domicile, salaire)
    • Je souhaite que vous m'envoyiez la liste des copies W-2 des déclarations de salaire et d'impôt des employés pour 2017. J'en ai besoin au format PDF, vous pouvez l'envoyer en pièce jointe. Veuillez préparer les listes et me les envoyer par e-mail dès que possible

Comment puis-je éviter d'être victime d'un hameçonnage ?

L’astuce ici n’est pas de repérer l’arnaque, mais plutôt de mettre en place des systèmes qui empêchent ce type de violation. Heureusement, cela peut être beaucoup plus facile qu’on pourrait le penser. Tout d’abord, mettez en place des politiques appropriées. Des choses comme:

  • Tout document contenant des « informations personnellement identifiables » doit être classé comme information « sensible » ou « sécurisée ».
  • Seul un petit groupe de personnes aura accès à cette classification d'informations, sans exception
  • Le support de stockage de ces informations doit être crypté, conservé dans un endroit physiquement sécurisé et gardé avec zèle par l'équipe informatique de l'entreprise.
  • Les journaux d'accès doivent être conservés sur toutes les données sensibles

Le stockage de ces données ne nécessite aucune configuration spéciale ni aucun système de cryptage personnalisé, car le vecteur courant passe par ceux qui y ont normalement accès, plutôt que par une attaque directe contre le système de stockage de fichiers lui-même. En ce qui concerne le phishing W2, l’escroc ne tente aucunement de « s’introduire par effraction » pour accéder aux dossiers des employés. Ils demandent simplement à quelqu'un qui y a déjà accès de leur envoyer les fichiers par e-mail.

Ensuite, quelques nouvelles procédures doivent être mises en œuvre pour accéder aux données sécurisées. Voici quelques suggestions :

  • Les nouveaux droits d'accès doivent être approuvés par écrit par le directeur financier, le vice-président de la comptabilité ou le chef du service comptable.
  • L'accès réel ne peut être accordé que par l'administrateur informatique ou le responsable informatique.
  • Une formation obligatoire en matière de sécurité doit être suivie avant que l'accès ne soit accordé à des données sensibles.
  • Une formation continue en matière de sécurité doit être dispensée à tous les salariés bénéficiant d'un accès similaire, quelle que soit leur position dans l'entreprise.
  • Le plus simple de tous est la suggestion d'introduire un deuxième facteur d'authentification pour toute demande de ce type, où l'employé qui reçoit la demande effectue un suivi auprès du demandeur, soit par téléphone, soit en personne pour vérifier les détails.

Le principal avertissement est que les escrocs deviennent de plus en plus intelligents dans leurs tactiques. Ils sont compétents en ingénierie sociale et en recherche des cibles choisies. Les astuces et tactiques employées par ces personnes sont en constante évolution. Lorsqu’une astuce ne fonctionne plus, ils en développent une autre et continueront à le faire.

Le taux de réussite de ce type d'attaques est si élevé que le Le FBI a publié un avis de sécurité mettant en garde contre un pic d’attaques de phishing W2. En mars 2017, Jonathan Crowe a annoncé que les attaques de phishing W2 avaient déjà été utilisées avec succès contre plus de 100 entreprises comptant 120 000 employés.

C'est pourquoi une formation continue à la sécurité doit être incluse dans tout ensemble de procédures visant à lutter contre cette menace pour la sécurité de vos données. Pouvez-vous penser à d’autres outils pour protéger vos données ? Avez-vous vu un programme ou une application qui aide à protéger les données qui ne sont pas mentionnées ici ? Parle-nous-en dans les commentaires.

Regarde aussi:Meilleurs services de protection contre le vol d'identité

Source des images : Colin sur Wikimédia Commons sous licence CC BY SA 4.0

^