Courriels d'hameçonnage - Comment protéger vos clients lors de l'utilisation de la signature électronique

Dilani Silva, août 11, 2019
Phishing Emails

Selon un rapport PhishLabs 2019, le volume d'attaques d'hameçonnage contre les États-Unis. ont augmenté de plus de 40 % en 2018. L'hameçonnage continue d'être l'un des systèmes d'ingénierie sociale les plus courants et les plus réussis à l'échelle mondiale, sans aucun signe de ralentissement. L'hameçonnage incite les gens à cliquer sur des liens malveillants pour télécharger des logiciels malveillants ou fournir des informations confidentielles aux criminels. La montée des attaques d'usurpation d'identité de service Web, un type d'attaque d'hameçonnage utilisant une marque reconnue,implique de faux sites Web et des e-mails qui incitent les gens à se connecter et à renoncer à leurs informations d'identification aux criminels. Avec les informations d'identification volées, les attaquants peuvent se connecter à d'autres services et se faire passer pour la victime pour voler des fonds. 

Les fraudeurs et les hameçonneurs s'adaptent à l'actualité et à l'activité commerciale saisonnière. L'année dernière, nous avons vu opportuniste s'il y avait des courriels d'hameçonnage liés au GDPR et des escroqueries fiscales. Une tactique consiste à masquer les logiciels malveillants avec quelque chose d'aussi routinier qu'une facture ou un avis d'expédition. Brandjacking, où les e-mails malveillants se font passer pour des marques reconnues, reste également une tactique populaire pour les hameçonneurs. Des fournisseurs comme DocuSign sont constamment attaqués par des escrocs (2017, 2018, 2019), qui envoient des courriels frauduleux prétendument à partir du service de signature électronique du fournisseur. DocuSign est une cible de choix pour les attaques d'hameçonnage malveillantes et volumineuses en raison de l'utilisation généralisée de sa marque à travers son service de signature électronique et les notifications par e-mail. Si ces types de techniques d'usurpation finissent par atteindre vos clients finaux, il pourrait conduire à des téléchargements de logiciels malveillants (tels que ransomware) et les pirates d'exploiter l'identité des clients et des informations personnelles.

Il en va de même pour les partenaires commerciaux et les employés. Selon un rapport de menace 2018 d'eSentire Threat Intelligence, avoir des informations d'identification Facebook compromiseaura plus que tout; mais « le vol des informations d'identification docuSign ou Dropbox pourrait avoir un impact sérieux sur une entreprise. » Lorsque les informations d'identification sont réutilisées pour plusieurs comptes dans une organisation, le compromis de ces informations d'identification peut avoir des implications encore plus graves.


Protégez votre marque et vos clients contre les e-mails d'hameçonnage

En tant qu'entreprise, vous avez investi beaucoup d'argent pour construire et promouvoir votre marque. Votre marque est importante, car elle représente l'essence de ce que votre entreprise représente. Une expérience négative liée à votre marque peut rapidement entraîner une perte d'affaires, un taux de désabonnement des clients et un impact négatif sur les résultats de votre entreprise. Le Rapport sur les facteurs humains décrit les cyberattaques avancées qui mettent l'accent sur l'exploitation des informations d'identification. La figure ci-dessous extraite de ce rapport décrit l'efficacité des e-mails d'hameçonnage qui étaient basés sur des services Web tels que DocuSign, OneDrive et DropBox. Les taux de clics par courriel sont alarmants. Chaque clic signifie que l'attaquant est un pas de plus vers l'obtention et l'exploitation des informations confidentielles des clients. 

docusign d'hameçonnage

Alors, que peut faire une entreprise pour protéger ses clients et sa réputation? En tant que société de sécurité numérique qui a empêché des milliards de dollars de fraude potentielle, nous comprenons l'importance de s'assurer que vos consommateurs ont un voyage de confiance à travers l'ensemble de la transaction numérique. Le conseil que nous donnons à nos clients est de blanchir toute l'expérience e-signature. Vous devriez être en mesure de mettre l'accent sur votre marque pour assurer une transition ininterrompue entre votre application de marque et l'application de signe électronique. Les meilleures pratiques de l'industrie ont montré qu'une transaction transparente et entièrement marquée renforce la confiance des clients et encourage des taux d'adoption élevés. 

Si vous utilisez une solution de signature électronique où le logo et la marque du fournisseur sont une partie importante de l'expérience de signature électronique, votre consommateur va logiquement créer une association entre votre entreprise et le fournisseur de signature électronique. Si le fournisseur subit une faille de sécurité ou de données telle que la violation de DocuSign, même si elle n'a aucun rapport avec votre entreprise, elle peut avoir un effet de contagion qui affecte votre entreprise par association. De plus, une expérience de signe électronique de marque fournisseur met vos signataires en danger. Lorsqu'un de vos clients est le destinataire d'une escroquerie par hameçonnage, son objectif principal est d'exploiter son identité et ses renseignements personnels. En cas de succès, cela aura un impact sur leur confiance dans votre entreprise et peut les amener à repenser leur relation avec vous.

Combattre les attaques d'ingénierie sociale et atténuer les risques humains dans les transactions bancaires

Combattre les attaques d'ingénierie sociale et atténuer les risques humains dans les transactions bancaires

Renseignez-vous sur les dernières attaques d'ingénierie sociale et sur la façon dont les cybercriminels tirent parti des vulnérabilités dans le processus d'autorisation de transaction pour la prise de contrôle de compte. Réduire au minimum les risques liés aux pratiques exemplaires de l'industrie et aux recommandations technologiques.

Télécharger l'eBook d'ingénierie sociale

Diminuer la vulnérabilité des attaques avec white-Labeling

Lorsque vous évaluez les solutions de signature électronique, assurez-vous que votre fournisseur a vos meilleurs intérêts à cœur et est investi dans votre succès. Si un fournisseur ne vous permet pas de garder l'accent sur votre marque, considérez que c'est un signal d'alarme. Contrairement à d'autres fournisseurs de signature électronique qui insistent sur le fait que leur marque est au premier plan au sein de votre application, OneSpan Sign vous permet de porter entièrement l'expérience en blanc, en gardant l'accent sur le renforcement de votre marque. Que votre expérience de signature soit initiée par e-mail ou directement au sein d'un portail web ou d'une application mobile, OneSpan Sign vous permet de étiqueter tous les aspects du processus de signature électronique. C'est la #1 chose que vous pouvez faire pour protéger votre marque et vos clients, et dissuader les escrocs sophistiqués de faire de vous leur prochaine cible. Recherchez un fournisseur de signature électronique qui vous permet de :

  • Intégrez-vous à vos propres serveurs de messagerie pour permettre @yourbankl'envoi d'e-mails à partir de votre domaine (p. ex., .com) au lieu du leur (p. ex., envoyé par l'intermédiaire [insérer le nom du fournisseur])
  • Personnalisez le contenu et l'apparence des notifications par courriel
  • Personnalisez les couleurs, le logo et la visibilité d'éléments tels que les en-têtes, les barres de navigation, les pieds, etc.
  • Personnaliser les boîtes de dialogue et les messages d'erreur

Authentification multifacteur (MFA)

En plus de l'étiquetage blanc, les entreprises ne devraient jamais négliger les mesures de sécurité telles que l'authentification multifacteur. Selon un sondage Google, c'est l'un des meilleurs moyens que les experts en sécurité se protéger en ligne. L'AMF exige que les gens prouvent leur identité en utilisant deux méthodes de vérification ou plus avant d'être authentifiés et y avoir accès. De cette façon, si un facteur est compromis ou cassé, l'attaquant a encore au moins une barrière de plus à la violation avant de pénétrer dans la cible. Lorsqu'il s'agit d'hameçonnage, les méthodes mFA correctement mises en œuvre sont un moyen de dissuasion beaucoup plus fort que le nom d'utilisateur et le mot de passe à facteur unique. 

Aujourd'hui, il existe de nombreuses options d'AMF qui trouvent un équilibre entre la sécurité et la convivialité. En plus des jetons matériels traditionnels de mot de passe unique (OTP), les options mobiles telles que l'analyse des empreintes digitales et la reconnaissance faciale sont faciles à utiliser, ce qui rend l'expérience d'authentification sans friction. D'autres méthodes MFA pour mobile incluent des mots de passe ponctuels livrés via une application d'authentification mobile ou un message SMS. En tant que leader du marché de l'authentification multifacteur,nous pouvons vous aider à comprendre quelles options sont les meilleures pour vos besoins uniques et les utilisateurs. 

Pour en savoir plus sur la sécurité des signatures électroniques, lisez notre rapport sur la sécurité et la confiance : les meilleures pratiques pour la mise en œuvre des signatures électroniques.

 

 

Dilani Silva est chef de marketing produit chez OneSpan. Dans son rôle, elle gère et exécute la stratégie de mise sur le marché, le positionnement, la messagerie et l'assainissement des ventes pour la solution de signature électronique de OneSpan, OneSpan Sign.