usecure Blog

39 % des employés ont divulgué leurs mots de passe dans cette simulation de phishing

Rédigé par Alex Legeay | 19 mars 2021 12:13

Il est 16h30, un jeudi après-midi. Vous êtes en train de finir vos derniers travaux de la journée, lorsque vous recevez un nouvel e-mail. Le titre est accrocheur :

"Changement concernant vos congés - Votre action est requise"

Que feriez-vous ?

Lorsqu'un e-mail portant ce titre a été envoyé aux employés de l'un de nos clients, 78 % d'entre eux l'ont ouvert. L'e-mail était pourtant une arnaque de type phishing : À la fin de la journée, 39 % des destinataires avaient été dupés et avaient donné leur mot de passe.

Heureusement pour notre client, ce n'était qu'une simulation.

Voici l'histoire de cet email de phishing.

Dans cet article, nous allons passer en revue...

Mais c'est quoi en fait le phishing ?

Le phishing est l'envoi de faux e-mails pour tromper des individus.

Le phishing est devenu l'une des principales cybermenaces auxquelles les entreprises et les particuliers sont confrontés. Il consiste à envoyer un message trompeur pour inciter les cibles à effectuer une action spécifique. Il peut s'agir de fournir des informations sensibles, d'effectuer un virement bancaire ou de suivre un lien vers une page où leurs informations d'identification seront collectées. Les e-mails de phishing peuvent également contenir des logiciels malveillants dans une pièce jointe déguisée en document légitime, ou un lien vers une page contenant des virus. C'est pourquoi le phishing joue un rôle important dans la majorité des cyberattaques.

Pour en savoir plus sur le phishing, consultez notre guide concernant les escroqueries de phishing. 

Qu'est-ce que la simulation de phishing - et en quoi peut-elle être utile ?

Les simulations de phishing sont utilisées pour sensibiliser le personnel au phishing.

Le phishing simulé consiste à envoyer de "faux" e-mails de phishing. Ceux-ci sont souvent calqués sur des e-mails de phishing réels et utilisent des techniques similaires pour attirer l'attention de la cible, mais ils ont pour but d'éduquer la cible sur les risques liés au phishing plutôt que de l'inciter à donner ses coordonnées. 

S'il est essentiel de former les utilisateurs finaux aux risques du phishing et aux signes révélateurs des e-mails de phishing, la simulation de phishing permet aux employés de mettre ce qu'ils ont appris à l'épreuve du monde réel. Cela permet de sensibiliser les employés au phishing - ceux qui se font avoir par les simulations de phishing se souviendront certainement de la facilité avec laquelle on peut se laisser prendre par du phishing - et les résultats sont enregistrés pour que vous puissiez voir comment vos employés se débrouillent dans la simulation. Ces données peuvent ensuite être utilisées pour fournir une formation et des conseils supplémentaires aux employés les plus exposés, ce qui vous aidera à sécuriser votre entreprise.

Votre personnel se laisserait-il prendre à cette escroquerie ? Lancez une simulation gratuite pour le savoir.

Découvrez comment vous pouvez utiliser uPhish pour sensibiliser au phishing et tester les connaissances au phishing de votre propre personnel.

Comment les cybercriminels créent-ils des e-mails de phishing ?

Dans le monde réel, les e-mails de phishing offrent quelque chose qui pousse les individus à cliquer sur ces emails - ou ils créent un sentiment d'urgence. Les plus dangereux combinent les deux.

Les e-mails de phishing du monde réel se répartissent généralement en deux catégories : basés sur des modèles et ceux utilisant le spear-phishing. Les attaques basées sur des modèles sont des attaques de phishing "standard" : elles utilisent un modèle générique qui peut fonctionner quel que soit le destinataire de l'e-mail, ce qui les rend idéales pour envoyer un grand nombre d'e-mails de phishing. De nos jours, la plupart des utilisateurs d'e-mails sont suffisamment avertis pour filtrer ces attaques - si elles ne sont pas repérées au préalable par les filtres anti-spam des clients. C'est pourquoi presque tous les cybercriminels qui savent ce qu'ils font sont passés au spear-phishing.


Le spear-phishing tire son nom du fait qu'il s'agit d'une attaque ciblée, contrairement aux attaques basées sur des modèles qui ciblent beaucoup de monde. Les cybercriminels recherchent d'abord des informations sur leurs cibles, avant de les utiliser pour donner à leur appât une apparence authentique et crédible. Ces informations peuvent être aussi élémentaires que la découverte et l'utilisation du nom de la cible, ou peuvent impliquer une recherche approfondie des réseaux sociaux pour se faire passer pour des amis et infiltrer les réseaux avant de frapper au moment le plus opportun. 

Que contenait l'e-mail de phishing lié au congés ?

L'e-mail se présentait comme un message des RH qui ne pouvait pas être ignoré.

La difficulté de la simulation de phishing est de créer une attaque suffisamment crédible pour attirer tous les employés, mais suffisamment large pour couvrir l'ensemble de l'entreprise. Dans ce cas, la seule information "ciblée" que nous avons utilisée était le nom de l'entreprise, que nous avons placé dans le texte de l'e-mail. 

Ci-dessus l'e-mail que 78 % des employés ont ouvert.

Pour qu'un e-mail de phishing soit efficace, le cybercriminel doit amener la victime à effectuer une action - et il n'y a pas de meilleur moyen d'y parvenir que de créer un sentiment d'urgence. Dans ce cas, non seulement le titre "Action requise" ne manquait pas d'attirer l'attention des employés, mais l'e-mail promettait également quelque chose en retour : des informations sur les congés. Après tout, qui ne serait pas tenté de passer une partie de son jeudi après-midi à penser à ses prochaines vacances ?

Quelques heures après l'envoi de la simulation, 68 % des destinataires avaient non seulement ouvert l'e-mail, mais aussi suivi le lien qu'il contenait.

Comment les employés ont-ils été dupés en donnant leurs mots de passe ?

La plupart des employés se connectent tous les jours à des applications telles que 0365, ce qui les amène à saisir leurs informations d'identification presque automatiquement lorsqu'on leur présente ce qui ressemble à un écran de connexion.

Les employés qui ont suivi le lien se sont vus présenter un écran de connexion à Office 365 - apparemment nécessaire pour vérifier leur identité avant de leur permettre d'accéder à la page où ils pourraient prendre des jours de congés. La page de destination elle-même est une réplique presque exacte de l'écran de connexion réel d'Office 365 - un exercice relativement facile à réaliser pour un cybercriminel puisqu'il suffit de copier le code HTML et CSS de la page de connexion réelle.

Les 68% des employés qui ont suivi le lien de l'e-mail ont vu cette page de destination. 58 % d'entre eux ont saisi leur adresse e-mail et leur mot de passe.

Si la page en elle-même ne donne aucun indice indiquant que cette dernière est fausse, le nom de domaine en dit long. Lorsque vous saisissez vos informations d'identification en ligne, il est important de toujours vérifier le nom de domaine du site. En effet, s'il est assez facile de faire en sorte que votre page imite une autre page, il est beaucoup plus difficile de falsifier le nom de domaine.

Dans ce cas, le domaine est microloft.com - et non microsoft.com, qui est le domaine où se trouverait une véritable page de connexion à Office 365. À première vue, les domaines se ressemblent beaucoup, mais il faut toujours faire attention car les conséquences pourraient être très graves.

Que s'est-il passé ensuite ?

Les membres du personnel qui ont cliqué sur le lien ont découvert qu'ils avaient été dupés.

Au lieu de trouver des infos sur leurs congés, les employés qui ont saisi leurs informations d'identification sur la page de destination ont été accueillis par un message leur demandant de contacter leur service informatique. Leurs mots de passe n'ont pas été transmis à qui que ce soit, ni enregistrés de quelque manière que ce soit. S'il s'était agi d'une véritable attaque de phishing, tous les mots de passe qui avaient été saisis ici seraient maintenant entre les mains d'un cybercriminel - avec des résultats potentiellement désastreux.

Lorsqu'un cybercriminel obtient le mot de passe de l'e-mail d'un utilisateur, un monde entier de possibilités s'ouvre à lui. Toutes les données sensibles ou confidentielles contenues dans les e-mails et les pièces jointes de l'utilisateur sont désormais à la disposition du cybercriminel. Étant donné que la plupart des utilisateurs utilisent leur e-mail professionnel comme sauvegarde ou authentification pour des services tels que Google Drive, Slack, Hubspot, Trello, Office 365, etc., le hacker aura également accès à ces comptes et à toutes les données qu'ils contiennent. Un hacker patient, cependant, n'utilisera pas ces données et ne se fera pas connaître, mais restera plutôt discret, surveillera l'activité des e-mails pour en savoir plus sur l'entreprise et attendra le moment le plus opportun pour frapper, lorsqu'il pourra extraire en tirer le plus de bénéfice.

Si un hacker accède non pas à un seul e-mail, mais aux e-mails de 39 % des employés de l'entreprise, vous ne pouvez qu'imaginer le type de dégâts qu'il pourrait causer.

Les résultats de la simulation

La majorité des employés ont ouvert l'e-mail et suivi le lien - et 39 % ont fini par donner leur mot de passe.

Le taux de réussite de cette simulation de de phishing était élevé, mais pas très différent des chiffres que nous observons dans d'autres entreprises qui n'ont pas mis en place de formation de sensibilisation à la sécurité. 

Voici les résultats :

Reçu Ouvert Visité

Compromis

73 57 50 29
100% 78% 68% 39%

 

Et voici une explication des différentes catégories :

Reçu : Combien d'employés ont reçu l'e-mail - et s'ils ont réussi à le recevoir.

Ouvert : Combien d'employés ont ouvert l'e-mail en cliquant dessus.

Visité : Combien d'employés ont suivi le lien dans l'e-mail.

Compromis : combien d'employés ont donné leurs informations de connexion sur la page de phishing.

Quel bénéfice en a tiré notre client ?

La bonne nouvelle, en ce qui concerne notre client, est qu'il a désormais pleinement identifié la menace humaine à laquelle son entreprise est confrontée. Ses employés sont désormais tous inscrits à des cours de sensibilisation à la sécurité, qui portent non seulement sur les e-mails et le phishing, mais aussi sur l'utilisation sécurisée des périphériques amovibles et les risques d'interception des données sur les réseaux Wi-Fi publics.

Cette simulation a permis à notre client de :

  • Découvrir le niveau de risque de l'entreprise et sa vulnérabilité à l'erreur humaine
  • Sensibiliser l'ensemble du personnel à la sécurité de manière mémorable
  • Identifier les employés ayant besoin d'une formation supplémentaire, qui leur a été fournie automatiquement grâce à la formation automatisée de usecure.

Dans quelques mois, notre client pourra choisir d'envoyer une autre campagne de phishing pour voir comment ses employés s'en sortent après une formation. Il pourra aussi activer notre fonction de phishing automatique, qui sélectionne constamment des employés au hasard pour les tester avec une attaque de phishing de notre bibliothèque de modèles.

Que pouvez-vous faire pour protéger votre propre entreprise ?

Une formation et des tests réguliers sont essentiels pour protéger votre entreprise contre les escroqueries par phishing.

Accenture ayant récemment estimé à 5 200 milliards de dollars le coût total de la cybercriminalité dans le monde au cours des cinq prochaines années, votre entreprise ne peut tout simplement pas se permettre de ne pas être protégée. La formation à la sensibilisation à la sécurité s'attaque à la base même de la cybercriminalité : la tendance naturelle des utilisateurs non formés à commettre des erreurs. La simulation de phishing fonctionne mieux lorsqu'elle est utilisée en complément de la formation, car elle donne aux utilisateurs l'occasion de mettre en pratique ce qu'ils ont appris et vous permet d'évaluer l'efficacité de la formation pour améliorer les résultats.

Aucune solution technique n'est capable d'empêcher vos employés de commettre des erreurs, mais avec les bons outils, vous pouvez faire de vos utilisateurs finaux votre première ligne de défense.

Si vous souhaitez en savoir plus sur notre formation de sensibilisation à la sécurité et notre solution de simulation de phishing, suivez le lien ci-dessous.

Lancez une simulation gratuite de phishing

Découvrez comment la formation à la sensibilisation à la sécurité et la simulation de phishing peuvent protéger votre entreprise contre les cybermenaces les plus dommageables.