Parmi les escroqueries les plus courantes sur Facebook Messenger, citons les demandes de codes d'authentification, les fausses pages caritatives demandant des dons, les messages offrant des
Une attaque par prise de contrôle de compte est un type d’usurpation d’identité qui se produit lorsqu’un cybercriminel accède à votre compte en ligne et modifie vos identifiants de connexion pour vous verrouiller à l’extérieur. Une fois que vous ne pouvez plus vous connecter, un cybercriminel utilisera votre identité pour voler des informations privées ou même escroquer les autres. Vous pouvez prévenir les attaques par prise de contrôle de compte en utilisant des mots de passe forts, en activant l’authentification multifacteur (MFA) et en investissant dans la surveillance du Dark Web. Selon un rapport récent, plus de 77 millions d’adultes ont subi des suppressions de compte, les comptes de réseaux sociaux étant les plus couramment hacked.
Lisez la suite pour découvrir pourquoi les prises de contrôles de comptes sont si dangereuses et comment vous en protéger, en tant qu’individu ou organisation.
Qu’est-ce qui rend les prises de contrôles de compte si dangereuses ?
Les prises de contrôles de compte sont très dangereuses pour les individus et les organisations, car elles peuvent entraîner :
- Informations personnelles volées
- Perte d’argent
- Vulnérabilité à l’usurpation d’identité
- Réputation endommagée
- Données compromises
Si un cybercriminel accède à un compte en ligne contenant des informations clients ou personnelles, il peut utiliser ce qu’il trouve pour se connecter à des comptes supplémentaires ou vendre les données à d’autres cybercriminels sur le dark Web. La prise de contrôle de compte verrouille la victime hors de son compte, il devient donc difficile pour une personne ou une entreprise d’en retrouver l’accès, de récupérer des données, de récupérer des finances et de réparer sa réputation.
Comment les individus peuvent prévenir les prises de contrôle de compte
En tant qu’individu, vous pouvez protéger vos informations et empêcher la prise de contrôle de votre compte en suivant ces conseils.
Utiliser des mots de passe forts pour chaque compte
Créez un mot de passe fort et unique pour chacun de vos comptes en ligne. Un mot de passe fort contient plus de 16 caractères et une combinaison de lettres majuscules et minuscules, de chiffres et de symboles. Plus un mot de passe est long et aléatoire, plus votre compte sera protégé contre les cyberattaques. Lorsque vous créez un mot de passe fort, évitez d’utiliser des mots ou des phrases courants, des informations personnelles ou des numéros séquentiels.
Activez l’authentification multifacteur (MFA) chaque fois qu’elle est disponible
L’authentification multifacteur (MFA) est une mesure de sécurité supplémentaire qui exige des utilisateurs qu’ils fournissent une preuve d’identité supplémentaire au-delà d’un nom d’utilisateur et d’un mot de passe. Lorsque vous activez la MFA, vous êtes tenu de saisir une vérification supplémentaire comme un code PIN, un code provenant d’une application d’authentification ou votre empreinte digitale. L’activation de la MFA rend complique l’accès à vos comptes pour les cybercriminels, car elle les obligera non seulement à connaître votre nom d’utilisateur et votre mot de passe, mais aussi un moyen supplémentaire de prouver votre identité, auquel vous seul devriez avoir accès.
Apprenez à repérer les tentatives de phishing
De nombreuses prises de contrôles de compte résultent de personnes tombées dans le piège des attaques de phishing. Le phishing se produit lorsqu’un cybercriminel se fait passer pour une personne ou une entreprise que la victime connaît pour la persuader de partager des informations privées. La plupart des tentatives de phishing utilisent un langage d’urgence, vous persuadant d’agir rapidement ou vous menaçant si vous ne suivez pas les instructions immédiatement. Souvent, les messages de phishing contiennent des fautes d’orthographe et de grammaire, que vous devriez être en mesure de repérer facilement, en sachant que la plupart des entreprises examinent les e-mails plusieurs fois avant de les envoyer. Vérifiez l’adresse e-mail de l’expéditeur pour vérifier que le domaine correspond à une entreprise réputée avant de croire l’identité de l’expéditeur.
Ne cliquez jamais sur des liens ou des pièces jointes non sollicités
Si vous recevez un e-mail ou un SMS non sollicité qui contient des liens ou des pièces jointes, ne cliquez pas dessus ou ne les téléchargez pas. Même si un message semble provenir d’une entreprise avec laquelle vous avez un compte, vous devriez aller sur le site Web ou l’application officielle de l’entreprise et vous connectez à votre compte de cette façon. Un lien ou une pièce jointe non sollicités peut contenir un logiciel malveillant conçu par un cybercriminel pour voler vos données privées une fois installé sur votre appareil.
Vous pouvez vérifier qu’un lien est sûr en survolant le lien, ce qui vous donnera un aperçu de l’URL, ou en copiant et collant le lien dans un vérificateur d’URL. Vérifiez qu’une pièce jointe est sûre en vérifiant l’adresse e-mail de l’expéditeur et en utilisant un logiciel antivirus pour analyser les pièces jointes.
Utilisez un outil de surveillance du Dark Web
Vous pouvez utiliser un outil de surveillance du Dark Web pour voir si vos informations personnelles se trouvent sur le dark Web, une partie d’Internet où les cybercriminels peuvent acheter et vendre toutes les informations obtenues par le biais d’activités malveillantes. Certains gestionnaires de mots de passe, comme Keeper®, proposent un outil de surveillance du Dark Web en tant que fonctionnalité complémentaire pour analyser le dark Web à la recherche des identifiants de connexion que vous avez enregistrés dans votre coffre-fort.
Essayez l’outil d’analyse du dark Web gratuit de Keeper pour voir si vos identifiants de connexion se trouvent sur le dark Web.
Comment les organisations peuvent prévenir les prises de contrôle de compte
Il existe plusieurs façons dont vous et votre organisation pouvez empêcher les prises de contrôle de compte de compromettre les données et d’endommager la réputation de votre entreprise.
Utiliser un gestionnaire de mots de passe professionnel
Si votre organisation n’utilise pas déjà un gestionnaire de mots de passe professionnel, c’est le signe que vous devriez commencer. Un gestionnaire de mots de passe professionnel permet à vos employés de gérer et de stocker leurs mots de passe en toute sécurité dans un coffre-fort numérique. L’obligation d’utiliser un gestionnaire de mots de passe au sein de votre entreprise garantit qu’ils suivent les bonnes pratiques en matière de mots de passe. Un gestionnaire de mots de passe professionnel permet également aux employés de partager en toute sécurité des mots de passe chiffrés pour collaborer en toute sécurité. Cela garantit que les mots de passe ne sont pas interceptés par des utilisateurs non autorisés et que les identifiants de connexion restent sécurisés dans le coffre-fort numérique chiffré de chaque employé. Les gestionnaires de mots de passe peuvent également aider à appliquer la MFA en stockant les codes MFA dans un dossier enregistré et en les remplissant automatiquement lorsqu’un utilisateur doit saisir un code MFA sur un site Web ou un compte. Les gestionnaires de mots de passe professionnels rendent le stockage et le partage des mots de passe sécurisé et pratique pour tout employé et organisation.
Investir dans la surveillance du Dark Web
Votre organisation doit investir dans la surveillance du Dark Web pour prévenir les prises de contrôle de compte. Le meilleur outil de surveillance du Dark Web que votre organisation peut utiliser est BreachWatch® de Keeper Security. Il s’agit d’une fonctionnalité complémentaire de Keeper Password Manager qui analyse en permanence le dark Web pour voir si les enregistrements stockés dans les coffres-forts des employés correspondent à ceux sur le dark Web. Si BreachWatch détecte une correspondance, l’employé sera immédiatement averti afin qu’il puisse modifier son mot de passe compromis, et le mettre à jour directement dans son gestionnaire de mots de passe.
Saisissez votre adresse e-mail dans le scanner du dark Web de Keeper pour les entreprises pour voir si vous et les employés de votre entreprise êtes exposés sur le dark Web.
Limiter le nombre de tentatives de connexion
Définissez une limite au nombre de tentatives de connexion que quelqu’un peut faire pour essayer d’accéder à son compte. Les attaques par force brute se produisent lorsqu’un cybercriminel devine les identifiants de connexion par essais et erreurs. Ainsi, si quelqu’un peut avoir des tentatives de connexion illimitées, il peut éventuellement accéder au compte d’un employé. Comme les attaques par force brute reposent sur plusieurs tentatives de connexion, la limitation du nombre de tentatives à trois ou quatre suppositions donnera aux employés suffisamment d’essais au cas où ils auraient fait une faute de frappe, mais empêchera les cybercriminels potentiels d’accéder à un compte.
Mettre en place un pare-feu d’application Web (WAF)
Votre organisation peut mettre en place un pare-feu d’application Web (WAF), qui permet de filtrer le trafic entre une application Web et Internet. En utilisant une WAF, votre organisation protège toutes les applications Web contre les cyberattaques potentielles, y compris les prises de contrôle de compte. Les WAF identifient et bloquent les demandes provenant du trafic non autorisé et peuvent même détecter les bots des cybercriminels tentent d’infiltrer vos comptes.
Mettez en œuvre le Zero-Trust
Le Zero-Trust est un cadre de sécurité qui suppose que chaque appareil et chaque compte peut être compromis. Pour combattre ce problème, chaque utilisateur, à la fois humain et machine, doit vérifier en permanence son identité au sein d’une organisation par le biais de plusieurs processus d’authentification. Les trois principes de base du Zero-Trust sont d’imaginer que les violations se produiront, d’exiger que tout le monde vérifie son identité pour accéder au réseau et aux données de l’organisation et de s’assurer que les utilisateurs ont un accès au moindre privilège. Tous les appareils des employés utilisés sur le réseau d’une organisation doivent être enregistrés et gérés pour garder une trace des personnes autorisées à y accéder.
Un aspect important des solutions Zero-Trust est l’accès au moindre privilège, qui n’accorde aux employés uniquement l’accès nécessaire pour faire leur travail, ce qui permet de prévenir la violation de données de se propager. De cette façon, si le compte d’un employé subit une prise de contrôle, son accès limité ne donnera pas à un cybercriminel autant d’accès au reste de l’organisation. Par exemple, si un employé dont le compte a subit une prise de contrôle avait accès non seulement à des données marketing, mais aussi aux informations des clients, aux transactions et aux comptes de réseaux sociaux, le cybercriminel aurait accès à des données beaucoup plus précieuses.
Éduquer les employés quant à la sensibilisation à la sécurité
Sensibilisez vos employés aux risques et aux menaces de sécurité potentiels en exécutant des tests de phishing, qui sont des e-mails de phishing simulés envoyés à l’échelle de l’entreprise pour voir comment les employés réagissent. Ces tests peuvent vous aider à déterminer si votre organisation est préparée pour les attaques de phishing ou si les employés ont besoin d’une formation supplémentaire sur les mesures de sécurité. La formation de vos employés aux menaces de sécurité vous protégera, vous et votre organisation, contre les cyberattaques à l’avenir.
Restez protégé contre les prises de contrôle de compte avec Keeper
Que vous soyez une personne ou une organisation, tout le monde a besoin d’une protection contre les prises de contrôle de compte et d’autres cyberattaques. Keeper peut vous protéger, vous et votre organisation, avec nos outils de surveillance du Dark Web et notre gestionnaire de mots de passe.
Commencez dès aujourd’hui un essai gratuit de Keeper Password Manager pour vos comptes personnels et professionnels.