jeudi, décembre 26, 2024

L’échec retentissant du phishing

0 commentaire

En 2021, les attaques de phishing ou hameçonnage ont connu une augmentation de 7,3 % conformément au rapport sur les menaces d’ESET, et le rapport portant sur les tendances des menaces de cybersécurité en 2021 a dévoilé qu’environ 86 % des organisations comptaient au moins une personne ayant cliqué sur un lien de phishing. Ces chiffres font écho aux conclusions d’une étude récente de KnowBe4 sur la sensibilisation à la sécurité , dans laquelle on constate que les gens ne cessent de cliquer – sur de faux courriels provenant des RH, de l’entreprise et de l’informatique. Comme le fait remarquer Anna Collard, Vice-présidente senior chargée de la stratégie de contenu et de l’évangélisation chez KnowBe4 Africa, la majorité des catégories d’e-mails les plus prisées sont celles qui font partie de la vie quotidienne : factures, bons de commande, fichiers partagés et sujets liés au COVID-19.

 » Comme en témoigne notre rapport trimestriel sur les tests de phishing les plus cliqués , les e-mails qui attirent les gens sont ceux auxquels ils sont le plus habitués et qu’ils s’attendent à recevoir », ajoute-t-elle.  » Ils se classent dans les catégories suivantes : RH, entreprises, loisirs, informatique et services en ligne. Ce sont de faux rappels de paiement de factures, des offres d’achat, des changements de mot de passe et des messages de pandémie, et leur conception est souvent si bien faite qu’il est difficile de les distinguer des vrais. »

Il est facile de comprendre pourquoi les gens tombent dans le piège de l’hameçonnage et pourquoi la formation est aléatoire. Les gens sont occupés, ils ont des vies, des patrons et des échéances. S’ils reçoivent un e-mail dont le titre est HR et qui leur demande de remplir un nouveau formulaire pour la réglementation COVID-19, il est facile de penser qu’il s’agit d’un e-mail de bureau standard, surtout après avoir été programmé pendant deux ans pour remplir des formulaires pour cette raison précise.

« En nous appuyant sur l’AIDA de KnowBe4, notre dispositif de phishing d’agent piloté par l’intelligence artificielle, nous tirons désormais parti de l’apprentissage automatique pour recommander et proposer des campagnes de phishing personnalisées en fonction de la formation des utilisateurs et de leur historique de phishing. Imaginez qu’il s’agit de votre propre assistant d’hameçonnage IA qui choisit automatiquement le meilleur test d’hameçonnage pour chaque utilisateur, personnalisé à ce moment-là à son niveau individuel. Le taux de réussite moyen des simulations de phishing basées sur AIDA est de 8 %, ce qui est environ deux fois plus efficace qu’une campagne de phishing aléatoire moyenne. Cela montre comment l’IA et les algorithmes peuvent rendre le phishing plus intelligent. Le seul problème, c’est que l’autre partie l’a aussi », ajoute M. Collard.

Aux États-Unis, les courriels relatifs aux RH et aux changements de mot de passe sont les plus réussis, tandis qu’en Afrique, la forme la plus courante de courriel de phishing est « Autoriser une transaction en attente sur votre portefeuille », suivie de près par « Inscription à l’étude COVID-19 » et « Politique de mot de passe de fin d’année de l’informatique ».

« Il est intéressant de noter que les courriels des RH sont la forme la plus dominante de phishing aux États-Unis et ont tendance à couvrir non seulement la pandémie, mais aussi les vacances, les changements de code vestimentaire et les évaluations de performance », explique Collard. « Au niveau mondial, le phishing se concentre sur les portefeuilles électroniques, les comptes de prestations et les changements de mot de passe. »

Les fêtes de fin d’année sont toutefois celles qui présentent le plus de risques pour les utilisateurs. Noël, la Saint-Valentin, la fête des mères – ces occasions déclenchent une avalanche d’e-mails de phishing qui incitent les gens à cliquer sur des offres spéciales, des cartes, des rappels et de fausses promotions. Il est très facile de les confondre avec les vrais messages – Quelqu’un de spécial vous a envoyé une carte électronique pour la Saint-Valentin ! – et peuvent causer des dommages incalculables à l’entreprise et aux particuliers lorsque les utilisateurs saisissent par erreur leurs informations d’identification pour accéder à leur cadeau ou à leur carte gratuite.

 » Par conséquent, il importe de plus en plus que les organisations consacrent des fonds à des simulations de formation au hameçonnage », explique M. Collard. « À l’aide d’algorithmes intelligents et d’arnaques récentes au hameçonnage comme point de départ, ces simulations génèrent de faux e-mails conçus spécifiquement pour inciter les utilisateurs à faire le clic fatal. C’est un moyen exceptionnel de détecter les domaines dans lesquels les gens devront être mieux formés et les personnes qui ont tendance à se laisser prendre à ces courriels le plus souvent. Pratiquée régulièrement, cette approche permet également à l’entreprise de gamifier sa formation afin d’inoculer aux gens la conscience nécessaire pour détecter les e-mails de phishing. »

Il est certes facile de comprendre pourquoi un courriel provenant des RH est susceptible de réussir à escroquer les gens, cependant il est également important de faire connaître les risques aux gens aussi souvent que possible. Les répercussions d’une tentative d’hameçonnage réussie sont potentiellement catastrophiques : l’entreprise perd des données, sa réputation, de l’argent et risque de se mettre en infraction. Les répercussions sur un compte personnel sont aussi graves, et dans bien des cas, les gens n’ont pas les ressources nécessaires pour remédier à la situation. En fin de compte, une formation et une sensibilisation constantes constituent la clé pour donner aux gens les connaissances et l’expertise dont ils ont besoin pour déceler un courriel de phishing et éviter de cliquer sur ce lien néfaste.

Par Anna Collard