Ajoutez la sécurité de la marque à votre charge de travail

Le mois dernier dans ce colonnej’ai écrit sur la façon dont les entreprises doivent « verrouiller la porte d’entrée » de leurs systèmes pour empêcher les attaques de phishing et adopter une approche à plusieurs niveaux pour repenser l’identité de leurs employés, partenaires et clients.

Et pendant que nous tapons sur ce tambour depuis un certain temps, un nouveau méchant a fait son apparition. Au cours des dernières semaines, nous avons vu des exemples flagrants du tort que de mauvais acteurs ont causé à la viabilité financière d’une entreprise et à la réputation de ses produits en raison de la confusion causée par le nouveau propriétaire et les nouvelles politiques de Twitter.

La sécurité des médias sociaux vient de devenir une priorité absolue non seulement pour les RSSI, mais aussi pour les directeurs marketing, les directeurs financiers et les PDG. En conséquence, nous pouvons nous attendre à ce qu’il joue un rôle plus important dans les attaques de logiciels malveillants, les failles de sécurité et les canulars de vérification d’identité.

Problèmes de vérification Twitter

Vous avez peut-être entendu parler du compte Twitter « vérifié » de la société pharmaceutique Eli Lilly and Co. qui a partagé un tweet annonçant : « Nous sommes ravis d’annoncer que l’insuline est désormais gratuite ».

Ouah! Le vrai Eli Lilly & Company l’a-t-il annoncé sur Twitter ? Et bien non. En fait, le compte qui a tweeté s’est avéré être un compte imposteur. Mais les abonnés de Twitter, les investisseurs, les médias et d’autres ont été immédiatement dupés. Ils pensaient que la société pharmaceutique s’inclinait devant les demandes des utilisateurs de faire baisser les prix de l’insuline.

Lorsque le vrai Eli Lilly & Co. a appris l’existence du faux tweet, il a répondu sur son compte officiel : « Nous nous excusons auprès de ceux qui ont reçu un message trompeur d’un faux compte Lilly. Notre compte Twitter officiel est @LillyPad.”

Dupé par des systèmes inappropriés en place

Pourquoi le tweet a-t-il trompé tant de gens ? Selon Le Washington Post, le tweet portait une coche bleue « vérifié ». Cette marque garantissait que le compte Twitter d’une marque était légitime, conformément au système de vérification Twitter en place depuis des années.

Mais à la suite du changement de propriété de Twitter au profit d’Elon Musk ces dernières semaines, l’ancien système de vérification a été abandonné et remplacé par un nouveau système de vérification appelé Gazouillement Bleu. Pour des frais de 8 $/mois, les utilisateurs pouvaient obtenir la marque vérifiée alors que Musk essayait de trouver de nouvelles sources de revenus.

Mais la vraie vérification d’identité n’était pas en haut de la liste des priorités. Twitter ne vérifiait pas l’identité de qui payait 8 $/mois pour la nouvelle coche. Cela signifiait quelqu’un pourrait acheter une coche « vérifié ».

C’est ainsi que la marque Twitter d’Eli Lilly et d’autres ont été attaquées. Les escrocs ont créé des comptes « faux vérifiés » pour les politiciens, les athlètes sportifs, les célébrités et d’autres entreprises en payant les frais de coche de 8 $/mois. Malheureusement, le système de vérification d’identité défectueux causait déjà de gros problèmes, a écrit Wired dans son article « Twitter d’Elon Musk est le paradis des escrocs.”

En raison de la confusion temporaire, le cours de l’action d’Eli Lilly a été impacté, passant de 368 $/action à environ 348 $/action (bien qu’il ait depuis rebondi). Mais le faux tweet a également attiré l’attention sur le prix élevé de l’insuline par l’entreprise, créant un impact plus important Problème de relations publiques pour Eli Lilly.

Les acteurs / farceurs de Black Hat Twitter avaient trouvé une porte grande ouverte pour la fraude d’identité et ont commencé à abuser du plan de marque vérifié à des fins néfastes. Cette « attaque » de Twitter contre l’identité a rendu la gravité du phishing et de la vérification d’identité au grand public.

Ceux d’entre nous qui travaillent dans l’industrie de la sécurité et du renseignement parlons depuis des années de l’hameçonnage par des mauvais acteurs, mais maintenant c’est devenu un problème beaucoup plus important. Les entreprises prendront-elles des mesures plus strictes pour établir une plus grande sécurité de vérification d’identité, en particulier dans les médias sociaux ?

Renforcer l’identité sur les réseaux sociaux

D’autres de ces attaques pourraient se produire. Avec l’incertitude qui entoure Twitter et ses orientations pour les utilisateurs, les mauvais acteurs pourraient ressentir un jeu facile pour infliger un préjudice similaire à une autre grande marque. Et les faux messages sur les prix des produits ne sont que la pointe de l’iceberg. D’autres messages frauduleux ou escroqueries pourraient créer un appel à l’action, où les clients ou même les employés sont dupés pour partager leurs informations d’identification, ce qui donnerait accès à la porte d’entrée de l’organisation.

Maintenant que nous avons vu avec quelle facilité les marques peuvent être attaquées, il semble inévitable que davantage de ces exploits deviennent la norme. Qu’adviendra-t-il dans les semaines à venir des autres entités majeures si ce plan de vérification de Twitter Blue n’est pas étroitement organisé ? Et au-delà de Twitter Blue, des contrefaçons peuvent être perpétrées sur d’autres sites de médias sociaux et en créant de faux sites Web avec le même aspect et la même convivialité que l’original appartenant à la marque. Comment ceux-ci seront-ils exploités ? Le problème Twitter Blue a rendu les parodies simples à réaliser pour tout attaquant de base, mais tout pirate informatique avec un niveau de sophistication plus élevé peut tirer parti de méthodes plus élaborées. Comment les marques et les entreprises peuvent-elles défendre au mieux l’ensemble de ces canaux ?

Alors que l’équipe Twitter serait en train de se rééquiper pour la rendre « solide comme un roc », avec des plans pour relancer Twitter bleu fin novembre, les RSSI doivent mettre en place des protections pour prévenir la fraude avant que les attaquants ne puissent nuire à votre marque, modifier le cours de votre action et peut-être même trouver un moyen de voler les données de votre organisation.

Ces garanties devraient s’étendre aux plateformes de médias sociaux et au Web. Ce n’est pas seulement un problème de Twitter, malgré l’attention des médias. Twitter a fait la une des journaux, mais c’est un problème beaucoup plus large pour l’industrie.