Le phishing reste la méthode la plus utilisée pour perpétrer des attaques malveillantes, contre des organisations du monde entier. Les cybercriminels affinent constamment leurs stratégies pour garder une longueur d’avance sur les utilisateurs finaux et les organisations, en modifiant les objets des e-mails d’hameçonnage de manière à les rendre plus crédibles.
Ils s’attaquent aux émotions et visent à provoquer une certaine détresse ou confusion afin de pousser l’internaute à cliquer. Les tactiques de phishing évoluent avec la tendance croissante des cybercriminels à utiliser des e-mails liés aux technologies de l’information et aux services en ligne, tels que des demandes de changement de mot de passe, des invitations à des réunions Zoom, des alertes de sécurité et bien d’autres encore. Elles sont efficaces du fait de leur impact sur le travail quotidien de l’utilisateur et sur les tâches qu’il doit accomplir par la suite.
KnowBe4, fournisseur de la plus grande plateforme de formation à la sensibilisation en matière de sécurité et de simulation d’hameçonnage, à travers le monde, annonce les résultats de son rapport concernant les techniques d’hameçonnages, réalisées au cours du premier trimestre 2023. Les résultats comprennent des informations sur les sujets d’e-mails les plus utilisés dans les tests d’hameçonnage et reflètent le passage aux notifications de services informatiques et en ligne, telles que les notifications de mise à jour d’ordinateur portable ou de suspension de compte, pouvant affecter le travail quotidien des utilisateurs finaux.
Ce trimestre, les e-mails d’hameçonnage portant sur les vacances ont également été utilisés, avec des incitations telles qu’un changement d’horaire, une carte-cadeau ou un forfait spa, utilisées comme appât pour les utilisateurs finaux peu méfiants. Les sujets d’e-mails liés à la fiscalité sont devenus plus populaires à mesure que les français se préparent à faire leur déclaration d’impôts.
« Les attaques de cybercriminels créent de graves dommages aux organisations, notamment en incitant des collaborateurs, peu méfiants, à cliquer sur des liens malveillants ou à télécharger des pièces jointes factices qui semblent plausibles », explique Stu Sjouwerman, PDG de KnowBe4. « Les e-mails déguisés comme provenant d’une source interne, comme le service informatique par exemple, se révèlent particulièrement dangereux puisqu’ils semblent provenir d’un contact fiable et familier. Un collaborateur ne se pose pas nécessairement de questions ou ne se montre pas aussi sceptique. Il est essentiel de renforcer le pare-feu humain d’une organisation tout en encourageant une forte culture de la sécurité afin de déjouer les mauvais acteurs. »
A bon entendeur…
Alexandre Bodkine