Anon: Bien, Phish, voyons si ma campagne d’hameçonnage ciblé fonctionne. J’ai écrit un courriel à Cindy contenant un fichier qui contient une adresse URL malveillante. Si elle clique sur le fichier, un logiciel malveillant sera diffusé sur son ordinateur. J’ai nommé le fichier « Planification de l’année fiscale », et j’espère qu’elle n’y réfléchira pas à deux fois étant donné qu’elle travaille dans le service des finances. Encore mieux, j’utiliserai le nom d’un cadre de l’établissement de santé comme expéditeur pour que ça ait l’air plus légitime. Je suis sûr que nous allons l’attraper maintenant!

Narratrice: Alors qu’elle travaille à son bureau, Cindy reçoit une notification de courriel de son directeur. Il est intitulé « Demande urgente », ce qui fait paniquer Cindy. Elle ouvre immédiatement le courriel, remarquant un fichier intitulé « États financiers » Alors qu’elle s’apprête à cliquer sur le lien du fichier, elle s’arrête et se rappelle des quelques conseils les plus importants qui lui ont été donnés lors de sa formation de sensibilisation à la cybersécurité.

Cindy: Hum... ça semble très suspect.

Narratrice: Le directeur de Cindy n’aurait jamais envoyé quelque chose avec un titre aussi urgent, surtout sans lui en parler d’abord. De plus, ce courriel ne provient pas du domaine de l’entreprise, même si son nom figure dans le corps du courriel. Il y a également un certain nombre de fautes d’orthographe dans le courriel. Après le courriel suspect qu’elle a reçu ce matin, Cindy décide qu’il vaut mieux prévenir que guérir et signale le message comme pourriel.

Anon: Oh, Phish. Cela fait quelques heures et Cindy n’a toujours pas cliqué sur l’adresse URL malveillante du courriel d’hameçonnage ciblé. Ai-je perdu la main? Tu as raison, je ne peux pas me laisser abattre.Je vais juste essayer quelque chose de différent. Cindy ne le verra jamais venir. Je vais lui envoyer un SMS malveillant qui contient un lien pour un virement électronique. Je suis certain que ce SMS sera la prise du jour.

Narratrice: Cindy a travaillé sans relâche toute l’après-midi, essayant de respecter toutes ses échéances à venir. Soudain, le téléphone de Cindy vibre, lui indiquant qu’elle a un nouveau message. Cindy lit le texto, mais ne reconnaît pas le numéro de téléphone. Le message lui indique qu’elle a un virement électronique qui attend d’être réclamé. Cindy regarde l’adresse URL du lien et fait une pause. Le nom de sa banque est mal orthographié dans l’adresse URL. Elle décide de supprimer le message, car elle ne connaît pas le numéro, elle n’attend pas d’argent de qui que ce soit et le lien ne lui semble pas sûr.

Anon: Pas de chance avec l’attaque d’hameçonnage par SMS non plus. La seule chose qu’il me reste à essayer est l’hameçonnage par téléphone. Je vais appeler son numéro de téléphone au travail et me faire passer pour le service informatique de son entreprise. J’espère qu’elle me fera suffisamment confiance pour me donner son mot de passe, que je pourrai ensuite utiliser pour accéder à des renseignements plus sensibles de l’entreprise.

Bonjour. C'est le service informatique, George... Oui, George. J’appelle juste parce que mes dossiers montrent que vous devez mettre à jour votre ordinateur. On ne voudrait pas qu’il y ait des bogues ou quoi que ce soit, n’est-ce pas? J’ai juste besoin de votre mot de passe et je peux le faire tout de suite pour vous

Narratrice: Cindy est surprise par l’appel téléphonique et trouve étrange que le service informatique l’appelle directement pour lui rappeler la mise à jour. De plus, l’agent veut son mot de passe. Se souvenant de sa formation de sensibilisation à la cybersécurité et se fiant à son instinct, Cindy décide de raccrocher le téléphone.

Après avoir raccroché le téléphone, Cindy se sent mal à l’aise face aux courriels, textes et appels suspects qu’elle a reçus. Cindy décide que le meilleur choix est de dire à l’équipe informatique et de sécurité ce qui s’est passé. Elle se rappelle également qu’elle doit suivre le plan de réponse aux incidents créé par le service de la sécurité. Ne voulant pas que ses collègues se laissent prendre à des messages suspects, elle décide d’envoyer un message à tous ses collègues pour leur rappeler de rester à l’affût de tout courriel, texto ou appel téléphonique bizarre.

Cindy: Ouah! Ça fait du bien de mettre en pratique ce que Cindy a appris dans la formation de sensibilisation à la cybersécurité.

Anon: Eh bien, Phish, il s’avère que ces employés des établissements de santé sont beaucoup plus cybersécurisés que je ne le pensais. Mais je ne me laisserai pas décourager, je suis toujours déterminé à infiltrer leur organisme! Il est temps d’imaginer encore plus de cyberattaques...