Les humains ne sont pas infaillibles, autant que nous aimerions l’être. Cela comprend des experts en sécurité, comme Troy Hunt l’a révélé hier. Il s’avère que la légende derrière Heebeenpwned (un site qui vous permet de voir dans quelle violation de données dans lesquelles vous avez été) a été phisé lorsque vous essayez de se connecter à MailChimp.
Dans un article intitulé «Un phish sournois vient de saisir ma liste de diffusion MailChimp», Hunt court la situation, en commençant par la façon dont cela a commencé (décalage horaire et fatigue en voyage) et comment cela s’est terminé (le Phisher capturant ses références, se connectant, puis exportant les 16 000 adresses e-mail associées à son bulletin d’information). Si vous avez été affecté, Hunt a déjà chargé ces adresses e-mail dans la base de données HeebeenPwned. La liste comprend des personnes qui se sont déjà désabondantes de la newsletter – Mailchimp ne supprime pas ces adresses e-mail de ses bases de données.
Vous pouvez lire tous les détails de ce qui s’est passé dans le post, mais j’ai été le plus frappé par les leçons à retirer du récit clair de Hunt de l’incident. Pas seulement les choses à surveiller, mais aussi comment configurer votre vie numérique afin que vous soyez toujours en sécurité si vous glissez. Discutons:
Ne comptez pas sur des panneaux d’avertissement
En marchant dans le conte de Hunt, vous pouvez voir que les escroqueries signalent ce qu’elles sont. Dans le cas de Hunt, plusieurs petits signes d’avertissement existaient:
- Fausse urgence dans l’e-mail
- L’expéditeur de l’e-mail était faux
- Autofill de 1Password n’a pas déclenché sur le site illégitime
Un expert en sécurité du niveau de Hunt serait normalement sensible à ces détails. Mais il était fatigué en voyageant – une situation dans laquelle d’entre nous pouvait se retrouver.
La leçon ici: si vous recevez un e-mail ou un message urgent, sautez le lien fourni – au lieu, connectez-vous directement à vos comptes. (De même, retournez les appels téléphoniques en utilisant les numéros de téléphone officiels à partir d’un relevé bancaire ou à l’arrière de votre carte bancaire – ou à tout le moins, Google le numéro fourni pour vérifier son authenticité.) Cette stratégie donne un peu de coussin pour avoir à être à 100% tranchant sur la repérage des escroqueries, 24/7.
Passkeys est également la meilleure méthode pour se connecter, car ils sont résistants au phishing. Il en va de même pour les méthodes plus fortes de 2FA, comme les clés matérielles (par exemple, Yubikeys ou une clé de sécurité Google Titan).
Laisser un service ne vous protégera pas des violations de données
Comme Hunt l’a découvert en analysant ses données perdues, toutes les entreprises ne suppriment pas vos données si vous les laissez. En fait, dans le cas de MailChimp, ils semblent conserver délibérément les adresses e-mail des désabonnements afin qu’ils ne puissent pas être dispensés à une liste.
La plupart des services ont un moyen de vous supprimer de leurs bases de données. (Divers gouvernements des États et nationaux ont des lois exigeant un moyen facile d’être supprimé – également connu comme le droit d’être oublié.) À moins que vous ne fassiez cette demande, cependant, vous pourriez faire partie de n’importe quel nombre de troves massives de données, mûres pour avoir volé par de mauvais acteurs.
Et plus il y a de données que les pirates ont sur vous (quels sont vos intérêts, où vous magasinez, etc.), plus il est facile pour eux de vous cibler.
La leçon ici: Pour vraiment séparer une relation avec un site Web, vous devez demander la suppression de vos données. Une telle étape peut être utile pour des données extrêmement sensibles, comme les tests de génétique. Pour tout le reste, envisagez d’utiliser des masques par e-mail à la place. Vous aurez un alias par e-mail unique pour chaque service, donc si quelqu’un d’entre eux est violé, les données ne peuvent pas être facilement utilisées pour créer un profil de vous.
Ça peut arriver à n’importe qui
L’expérience de Hunt rappelle que les escroqueries peuvent s’attaquer à n’importe qui – et que si vous le faites, ce n’est pas parce que vous êtes stupide. Parfois, vous êtes juste occupé, stressé ou autrement trop préoccupé pour réaliser ce qui est devant vous.
Mais vous ne devriez pas arrêter d’être vigilant. Un gourou de la sécurité tombant dans une arnaque de phishing ne signifie pas que nous sommes tous condamnés. Au contraire, vous avez autant de chances d’éviter avec succès des schémas que tout le monde. Lorsque j’écris sur la sécurité, ce n’est pas dans un lieu d’expertise faisant autorité. Je sais que je suis aussi sensible que tout le monde – et donc je partage les informations utiles que j’ai, afin que nous puissions tous regarder nos queues.
