#
Pas de phishing !
Chaque jour, près de 60 000 sites web sont créés dans le seul but d’hameçonner les internautes peu méfiants. Il n’est pas nécessaire d’être une banque ou un détaillant international pour attirer l’attention des hameçonneurs, car ils investissent désormais le secteur des petites entreprises, qui constitue un terrain fertile et largement non sécurisé.
Vous n’êtes pas impuissants face aux hameçonneurs. Il existe différents services qui peuvent agir en votre nom pour aider à sécuriser le site web de votre petite entreprise contre les attaques de phishing et poursuivre les criminels en cas de tentative. Il s’agit notamment de :
- BrandProtect
- Cyveillance
- MarkMonitor
- RSA VeriSign
…et bien d’autres. Ces services peuvent identifier les activités frauduleuses ciblées, notamment les sites d’usurpation, les leurres d’hameçonnage, les sites de distribution de logiciels malveillants, et peuvent même mettre en évidence les enregistrements de domaines suspects au fur et à mesure qu’ils se produisent.
Appliquer ces cinq principales façons de stopper les hameçonneurs dans leur élan contribuera non seulement à rassurer vos clients sur le fait que vous prenez leurs données personnelles très au sérieux, mais elles peuvent empêcher les attaques de se produire en premier lieu.
1. Obtenez toute l’authentification que vous pouvez
Il existe différentes formes d’authentification en ligne telles que :
- L’authentification forte basée sur le logiciel
- Authentification à 2 facteurs basée sur le matériel
- Authentification mutuelle
Les détails techniques du fonctionnement de ces systèmes sont plutôt impliqués, mais le meilleur conseil est d’intégrer tout ce que vous pouvez dans votre site web en matière d’authentification. Discuter des besoins spécifiques de votre entreprise avec le fournisseur d’authentification de votre choix est la meilleure façon de commencer.
2. Arrêter les domaines cousins
Près d’un tiers des attaques de sites web frauduleux sont basées sur un Cousin Domain qui substituera un seul caractère afin de tromper vos clients en leur faisant croire qu’ils ont réellement atteint votre site.
Ces modifications peuvent être très subtiles et peu de vos clients pourraient remarquer que l’URL de votre nicestore.com est en fait nicÒ½store.com ou niÒ « estore.com. Les tirets sont souvent utilisés par les hameçonneurs également, s’appuyant sur le fait que la plupart des gens n’y réfléchiraient pas à deux fois avant de cliquer sur nice-store.com.
3. Obtenir tous les principaux TLD
Avec la prolifération des TLD (domaines de premier niveau), cela peut sembler être un cauchemar logistique et une douleur totale d’enregistrer toutes les permutations possibles qui se produisent après le point dans votre nom de domaine et de mettre en place des redirections à partir d’elles.
Cependant, pour votre sécurité et celle de vos clients, en plus de votre .com standard, vous devriez aussi sérieusement envisager d’enregistrer :
.biz .info .jobs .mobi .name .net .org
4. Bulletproof votre email
Si votre fournisseur de services d’email n’offre pas déjà diverses formes d’authentification des emails, vous pouvez vous tourner vers ces services pour faire passer votre email d’une passoire à un réservoir. Voici quelques-unes des principales façons d’authentifier vos bulletins d’information par courriel sortants :
- Domain Keys Identified Mail (DKIM)
- Sender Policy Framework (SPF)
- Sender ID
Bien qu’il soit facile d’écrire des volumes entiers sur chacune de ces normes, DKIM génère un ensemble correspondant de clés privées et publiques qui sont vérifiées par les FAI lors du routage des e-mails ; SPF est un moyen de vérifier si un e-mail a été envoyé par l’une des IP à partir desquelles un site web a historiquement envoyé des e-mails ; et Sender ID applique un algorithme pour déterminer l’adresse responsable présumée, pour arriver à une conclusion similaire au processus SPF (optez pour l’externalisation des processus d’affaires ou BPO !).
5. Permettre l’application de la loi
Si un site de phishing est établi, il existe des ensembles d’actions que ces services peuvent mettre en œuvre pour en limiter l’accès et finalement forcer la mise hors ligne du contenu frauduleux. RSA affirme en fait avoir mis fin à plus de 300 000 attaques en ligne, et tous les principaux services ont entretenu des relations avec les principaux fournisseurs d’accès à Internet dans le monde pour faciliter le blocage des sites.
Le hameçonnage est une menace réelle et présente pour tous les sites Web des petites entreprises, alors prenez des mesures dès maintenant avant que vos clients ne soient » accrochés ! «