HackSocial

Campagne d’hameçonnage (Phishing) : Ne nous laissez plus piéger par ces campagnes

Offre

Nos campagnes de test permettent de protéger les organisations contre les malwares,ransomwares et mails frauduleux.

HackGates s’occupe de mener vos campagnes de test afin de :

  • Sensibiliser vos collaborateurs aux mails frauduleux.
  • Valider les bonnes pratiques de votre entreprise face au phishing.
  • Connaître l’attitude de vos salariés face à des emails non légitimes, les invitants à saisir leurs identifiants.
  • Assurer que vos accès ne soient pas révélés à la première page de phishing reçu.

Pour cela, HackGates vous propose d’envoyer à vos salariés de faux emails afin de vérifier leurs bons réflexes.

Création de pages WEB aux standard de l’entreprise afin de tester vos employés en introduisant des Backdoor

Contexte

Les crypto-monnaies ont permis aux pirates de mettre au goût du jour le principe du cryptolocker. Le défaut historique de ce dernier, à savoir la difficulté de récupérer la rançon de manière anonyme, est désormais résolue grâce aux crypto-monnaies.
L’ultra-rentabilité des rançongiciels de type cryptolocker a éclipsé tous les autres modes d’attaque en termes de volumétrie.
Cela s’accompagne d’efforts considérables de personnalisation de ces messages. Si hier, les particuliers étaient les plus ciblés via des campagnes de« pêche au gros » pathétiques et peu convaincantes, aujourd’hui les pear-phishing est devenu la règle. Tout est bon pour imiter au mieux un mail légitime avec des innovations importantes : faux message de répondeur VoIP, fausse newsletter avec un lien « se désabonner » malveillant, etc.
Les utilisateurs du système d’information doivent donc être régulièrement challengés au niveau de leur vigilance.

1 – Campagnes sur mesure

HackGates conçoit des modèles d’attaques sur mesure, inspirés de l’actualité et/ou des spécificités de l’entreprise. L’objectif est de laisser assez d’indices suspicieux aux utilisateurs sans pour autant commettre d’erreur flagrante, les obligeant ainsi à recouper plusieurs détails (liens réécris en html, typosquatting dans l’adresse source, champ reply-to différent, etc.).

2 – Gestion et suivi de projet:

  • Validation et conseil sur la communication interne préalable.
  • Validation des templates (et prise en compte des demandes des modifications du client).
  • Validation du message d’avertissement (qui s’affiche quand la victime a cliqué sur le lien ou ouvert le document malveillant).
  • Définition des actions respectives et d’un planning.
  • Transmission et traitement des listes de cibles.
  • Accompagnement sur les mesures techniques côté client pour permettre le bon déroulement (whitelist d’adresse IP, …).
  • Tests préalables sur un pool réduit pour vérifier que toute la chaîne fonctionne.

3 – Envoi d’e-mails

4 – Rédaction du rapport et analyse :

  • Consolidation des résultats et présentation sous diverses formes.
  • Interprétation des résultats (comparaison avec les moyennes observées chez d’autres clients).
  • Justifications des modèles et de la page d’avertissement.
  • Éléments de sensibilisation à transmettre au personnel.
  • Reporting décisionnel et statistiques des résultats.