E-mails de phishing - Comment protéger vos clients lors de l'utilisation de la signature électronique

Dilani Silva, août 11, 2019

Selon un Rapport PhishLabs 2019 , le volume des attaques de phishing contre des cibles américaines a augmenté de plus de 40% en 2018. Le phishing continue d'être l'un des programmes d'ingénierie sociale les plus courants et les plus réussis au monde, sans aucun signe de ralentissement. Le phishing incite les gens à cliquer sur des liens malveillants pour télécharger des logiciels malveillants ou fournir des informations confidentielles à des criminels. La montée des attaques par usurpation d'identité de service Web, un type d'attaque de phishing utilisant une marque reconnue , implique de faux sites Web et e-mails qui invitent les gens à se connecter et à donner leurs informations d'identification à des criminels. Avec les informations d'identification volées, les attaquants peuvent se connecter à d'autres services et usurper l'identité de la victime pour voler des fonds.

Les escrocs et les hameçonneurs s'adaptent à l'actualité et à l'activité commerciale saisonnière. L'année dernière, nous avons vu des opportunistes E-mails de phishing liés au RGPD et escroqueries à l'impôt sur le revenu . Une tactique consiste à masquer les logiciels malveillants avec quelque chose d'aussi courant qu'une facture ou un avis d'expédition. Le détournement de marque, où les e-mails malveillants usurpent l'identité de marques reconnues, reste également une tactique populaire pour les hameçonneurs. Des fournisseurs comme DocuSign sont constamment attaqués par des escrocs ( 2017 , 2018 , 2019 , 2020 ), qui envoient des e-mails frauduleux prétendument à partir du service de signature électronique du fournisseur. DocuSign est une cible de choix pour les attaques de phishing malveillantes et volumineuses en raison de l'utilisation généralisée de sa marque dans son service de signature électronique et ses notifications par e-mail. Si ces types de techniques d'usurpation d'identité finissent par atteindre vos clients finaux, cela pourrait entraîner des téléchargements de logiciels malveillants (tels que des ransomwares) et des pirates informatiques exploitant l'identité et les informations personnelles des clients.

Il en va de même pour les partenaires commerciaux et les employés. Selon un Rapport sur les menaces 2018 de eSentire Threat Intelligence, la compromission des identifiants Facebook aura un impact sur votre vie personnelle plus que tout; mais "le vol d'informations d'identification DocuSign ou Dropbox pourrait avoir un impact sérieux sur une entreprise." Lorsque les informations d'identification sont réutilisées pour plusieurs comptes dans une organisation, la compromission de ces informations d'identification peut avoir des implications encore plus graves.


Protégez votre marque et vos clients contre les e-mails de phishing

En tant qu'entreprise, vous avez investi beaucoup d'argent pour développer et promouvoir votre marque. Votre marque compte, car elle représente l'essence même de ce que représente votre entreprise. Une expérience négative liée à votre marque peut rapidement entraîner une perte d'activité, une rotation des clients et un impact négatif sur les résultats de votre entreprise. Le rapport sur le facteur humain décrit les cyberattaques avancées qui se concentrent sur l'exploitation des informations d'identification. La figure ci-dessous extraite de ce rapport décrit l'efficacité des e-mails de phishing basés sur des services Web tels que DocuSign, OneDrive et DropBox. Les taux de clics sur les e-mails sont alarmants. Chaque clic signifie que l'attaquant est un pas de plus vers l'obtention et l'exploitation des informations confidentielles des clients.

phishing docusign

Alors, que peut faire une entreprise pour protéger ses clients et sa réputation? En tant qu'entreprise de sécurité numérique qui a évité des milliards de dollars de fraude potentielle, nous comprenons l'importance de garantir à vos consommateurs un parcours de confiance tout au long de la transaction numérique. Le conseil que nous donnons à nos clients est de mettre en marque blanche toute l'expérience de signature électronique. Vous devriez pouvoir mettre en avant votre marque pour assurer une transition ininterrompue entre votre application de marque et l'application de signature électronique. Les meilleures pratiques de l'industrie ont montré qu'une transaction transparente et entièrement personnalisée renforce la confiance des clients et encourage des taux d'adoption élevés.

Si vous utilisez une solution de signature électronique où le logo et la marque du fournisseur sont une partie importante de l'expérience de signature électronique, votre consommateur créera logiquement une association entre votre entreprise et le fournisseur de signature électronique. Si le fournisseur subit une violation de sécurité ou de données telle que Violation de DocuSign , même si elle n'a aucun lien avec votre entreprise, elle peut avoir un effet d'entraînement qui affecte votre entreprise par association. De plus, une expérience de signature électronique de marque de fournisseur met vos signataires en danger. Lorsqu'un de vos clients est destinataire d'une escroquerie par hameçonnage, son objectif principal est d'exploiter son identité et ses informations personnelles. En cas de succès, cela aura un impact sur leur confiance dans votre entreprise et peut les amener à repenser leur relation avec vous.

Autorisation de transaction Cronto

Combattre les attaques d'ingénierie sociale et atténuer le risque humain dans les transactions bancaires

Découvrez les dernières attaques d'ingénierie sociale et comment les cybercriminels exploitent les vulnérabilités dans le processus d'autorisation de transaction pour la prise de contrôle de compte. Minimisez les risques grâce aux meilleures pratiques de l'industrie et aux recommandations technologiques.

Téléchargez le livre électronique sur l'ingénierie sociale

Diminuez la vulnérabilité des attaques avec le marquage blanc

Lorsque vous évaluez des solutions de signature électronique, assurez-vous que votre fournisseur a vos meilleurs intérêts à cœur et est investi dans votre réussite. Si un fournisseur ne vous permet pas de rester concentré sur votre marque, considérez cela comme un signal d'alarme. Contrairement à d'autres fournisseurs de signature électronique qui insistent sur le fait que leur marque est au centre de votre application, OneSpan Sign vous permet de marquer l'expérience en marque blanche, en vous concentrant entièrement sur le renforcement de votre marque. Que votre expérience de signature soit initiée via une notification par e-mail ou directement dans un portail Web ou une application mobile, OneSpan Sign vous permet de mettre en marque blanche tous les aspects du processus de signature électronique. C'est la première chose que vous puissiez faire pour protéger votre marque et vos clients, et dissuader les escrocs sophistiqués de faire de vous leur prochaine cible. Recherchez un fournisseur de signature électronique qui vous permet de:

  • Intégrez-vous à vos propres serveurs de messagerie pour permettre l'envoi d'e-mails à partir de votre domaine (par exemple,@yourbank .com) au lieu du leur (par exemple, envoyé via [insérer le nom du fournisseur])
  • Personnalisez le contenu et l'apparence des notifications par e-mail
  • Personnalisez les couleurs, le logo et la visibilité des éléments tels que les en-têtes, les barres de navigation, les pieds de page, etc.
  • Personnaliser les boîtes de dialogue et les messages d'erreur

Authentification multifacteur (MFA)

En plus de l'étiquetage blanc, les entreprises ne doivent jamais négliger les mesures de sécurité telles que l'authentification multifacteur. Selon un Google enquête, c'est l'un des meilleurs moyens par lesquels les experts en sécurité se protègent en ligne. L'authentification multifacteur exige que les utilisateurs prouvent leur identité à l'aide d'au moins deux méthodes de vérification avant de pouvoir être authentifiés et avoir accès. De cette manière, si un facteur est compromis ou cassé, l'attaquant a toujours au moins une barrière supplémentaire à franchir avant de pénétrer dans la cible. En ce qui concerne le phishing, les méthodes MFA correctement mises en œuvre sont un moyen beaucoup plus dissuasif que le nom d'utilisateur et le mot de passe à facteur unique.

Aujourd'hui, il existe de nombreuses options MFA qui établissent un équilibre entre sécurité et convivialité. En plus des jetons matériels traditionnels de mot de passe à usage unique (OTP), des options mobiles telles que scan d'empreintes digitales et la reconnaissance faciale sont faciles à utiliser, ce qui rend l'expérience d'authentification sans friction. Les autres méthodes MFA pour mobile incluent les mots de passe à usage unique fournis via un application d'authentification mobile ou SMS. Comme un leader du marché de l'authentification multifacteur , nous pouvons vous aider à comprendre quelles sont les meilleures options pour vos besoins et utilisateurs uniques.

Pour en savoir plus sur la sécurité des signatures électroniques, lisez notre rapport sur Sécurité et confiance: meilleures pratiques pour la mise en œuvre de signatures électroniques.

 

 

Dilani Silva est responsable du marketing produit chez OneSpan. Dans son rôle, elle gère et exécute la stratégie de mise sur le marché, le positionnement, la messagerie et l'activation des ventes pour la solution de signature électronique de OneSpan, OneSpan Sign.