L’hameçonnage en 2020, selon Phished

Pour conclure cette année 2020 plutôt tumultueuse, la plate-forme anti-phishing belge Phished a été puiser dans sa base de données les principales tendances d’hameçonnage de l’année qui s’achève. Quelles en furent les plus dangereuses? Par quels soi-disant expéditeurs les gens se laissent-ils le plus souvent berner?

L’année fut en tout cas fructueuse pour les campagnes d’hameçonnage. Et la plate-forme de Phished le sait mieux que quiconque, elle qui envoie des simulations automatisées à des entreprises, institutions et organisations non marchandes. En tout, plus de trois millions de simulations ont ainsi été envoyées vers plus de trois cents organisations dans toute l’Europe. De ces données, Phished a tiré quelques conclusions.

Un sur cinq se fait piéger

En 2020, 22 pour cent de l’ensemble des destinataires ont été hameçonnés par la plate-forme de messages automatisés. Ces derniers les ont orientés vers des pages sécurisées finales leur indiquant qu’ils étaient tombés dans le piège. Lorsque ce genre de page finale se composait de champs à compléter avec des informations personnelles, comme une page de login contrefaite, quasiment 25 pour cent y ont saisi naïvement des données. Quiconque aboutissait sur un module contrefait d’authentification à deux facteurs (2FA), se laissait berner dans dix pour cent des cas.

‘Nous avons observé que plus le nombre de simulations expédiées augmentait, plus les tendances générales se confirmaient’, déclare Arnout Van de Meulebroucke, expert cybersecurity et fondateur de Phished. ‘Les chiffres démontrent que les gens sont encore et toujours le maillon le plus faible de la chaîne de sécurité d’une entreprise. Malgré les histoires qu’on entend toujours plus souvent de vastes fuites de données, d’attaques au rançongiciel (ransomware) et de fraudes bancaires, les organisations continuent de perdre bon an mal an des millions d’euros en raison d’erreurs humaines. La conscientisation au phishing y reste douloureusement absente.’

Ce qui est étonnant, c’est que les secteurs publics se sont en 2020 avérés plus vulnérables que les secteurs privés. En moyenne, les collaborateurs publics ont été cinq pour cent plus souvent hameçonnés.

Par qui nous laissons-nous attraper?

Qui dit courriels de ‘phishing’, dit souvent des imitations de mails bancaires, des criminels qui se font passer pour des services de livraison de colis ou d’imitations de magasins web connus. Même si ces simulations obtiennent effectivement de très bons scores, ce sont les imitations d’une marque, entreprise ou organisation propre qui ‘opèrent’ le mieux. Si un courriel semble provenir d’un ou d’une collègue – même un/une collègue que le destinataire ne connaît pas personnellement -, le risque que cela marche, est très grand.

‘C’est en recourant au domain squatting et au spoofing que les cybercriminels bernent le plus souvent et le plus facilement leur cible’, explique Van de Meulebroucke. ‘Ce n’est guère malaisé: si un message semble provenir d’un ou d’une collègue, il suscite aussitôt une grande crédibilité et légitimité. Les exemples de spear phishing sont nettement plus difficiles à identifier que la mise en oeuvre d’une vaste campagne sans cible spécifique. Assez ironiquement, il faut surtout se méfier de ses collègues.’

Les thèmes les plus populaires de 2020

L’actualité est encore et toujours très bien exploitée par les cybercriminels. Les gens veulent savoir ce qui se passe et de préférence le plus rapidement possible. Il n’est par conséquent pas surprenant que les simulations revendiquant la fourniture de plus d’informations sur les mesures anti-corona, aient réussi à faire beaucoup de victimes. Autres thèmes populaires: un ‘accès boqué’ aux solutions dans le nuage ou des problèmes de mots de passe.

‘La combinaison magique pour les hackers est toujours la même: un thème d’actualité intéressant de très près les gens, jusqu’à leur mettre la pression, mais aussi des articles consacrés à des sujets peu sûrs, voire des messages attirant leur attention sur un problème: les gens ne peuvent le supporter et veulent aussitôt réagir’, affirme le fondateur de Phished.

2021: après le corona, la crise économique

Pour 2021, il table sur une amplification des tendances actuelles: ‘Le déploiement du vaccin anti-corona et l’incertitude qu’il suscite – qui doit se faire vacciner et quand? – fera par exemple en sorte que le thème du covid restera d’actualité pas mal de temps encore. La crise sanitaire fera ensuite place à la crise économique qui suscitera pas mal d’incertitude financière et qui se traduira aussi par de nombreuses campagnes d’hameçonnage.’

En collaboration avec Dutch IT-channel.