Les attaques de phishing réussies augmentent à un rythme rapide, tout comme la variété des formes qu'elles prennent.
Des millions d'utilisateurs dans le monde sont mis en danger chaque jour (toutes les 30 secondes pour être exact). Pour faire simple, les cybercriminels évoluent, tout comme leurs techniques.
Mais ce n'est pas seulement l'escroquerie traditionnelle par phishing qui fait des ravages dans un certain nombre d'entreprises - le spear phishing et la fraude au président offrent désormais une portée d'attaque beaucoup plus dommageable.
Mais qu'est-ce qui fait le succès de ces attaques de phishing ? Eh bien, selon un rapport d'Osterman Research, il y a 6 facteurs principaux à prendre en compte...
La plus grande porte ouverte aux cybercriminels est, sans aucun doute, celle de la "sensibilisation à la sécurité". Plus précisément, le manque de formation des employés sur des questions telles que le phishing et les ransomwares est la principale raison du succès de ces attaques.
En fait, Osterman affirme que 6 % des utilisateurs n'ont jamais reçu de formation de sensibilisation à la sécurité. Ce chiffre est assez accablant lorsqu'il s'agit de la confiance et de la capacité d'un employé à reconnaître les attaques de phishing et à agir de manière appropriée. Les utilisateurs devraient être formés à se méfier des courriels inattendus et des escroqueries auxquelles ils pourraient être confrontés sur diverses plateformes.
L'utilisation et la notoriété du Dark Web ont fait baisser la valeur commerciale des données volées. Le prix d'un enregistrement de carte de paiement est passé de 25 dollars en 2011 à 6 dollars en 2016, ce qui signifie que les cybercriminels ont dû adapter leur objectif à de nouvelles façons de gagner le genre d'argent qu'ils gagnaient par le passé.
Par conséquent, c'est vers la nature fructueuse des détenteurs d'informations qu'ils se tournent désormais. Les attaques telles que les ransomwares, où les détenteurs d'informations ont peur de perdre leurs données, signifient que les victimes n'hésiteront pas à payer les demandes des criminels.
Les entreprises n'en font tout simplement pas assez pour réduire les risques liés au phishing et aux logiciels malveillants. Elles ne mettent pas en place de processus de sauvegarde adéquats et sont incapables d'identifier les utilisateurs les plus faibles qui ont besoin d'une formation complémentaire.
De plus, il manque souvent des processus de contrôle interne solides, comme une double confirmation pour toute demande de virement bancaire (ce qui peut être essentiel pour prévenir la fraude au président). Négliger ces processus, c'est faire le jeu de certaines des techniques de fraude les plus courantes.
Est-ce que vous saviez que...
Le coût moyen d'une attaque de phishing pour les entreprises de taille moyenne est de 1,6 million de dollars.
De nombreux cybercriminels ont accès à des fonds importants, ce qui leur permet d'affiner leurs compétences techniques et de mener des attaques de phishing plus sophistiquées.
En fait, on prétend que certains cybercriminels peuvent gagner jusqu'à 7 500 dollars par mois grâce à leurs stratagèmes nuisibles et que ce secteur est désormais plus rentable que le commerce de la drogue.
La disponibilité des kits de phishing et l'essor des ransomwares en tant que service (RaaS) ont permis aux pirates en herbe d'entrer facilement sur le marché et de concurrencer des organisations criminelles sophistiquées.
L'aspect le plus inquiétant de cette tendance croissante est que même les personnes ayant peu ou pas d'expérience informatique récoltent les fruits de ces outils faciles à obtenir. Avec un tel potentiel de gains, il n'est pas difficile de comprendre pourquoi les criminels sont attirés par cette activité lucrative.
La vieille (mais toujours très efficace) technique consistant à inciter les utilisateurs à cliquer sur des liens malveillants sera bientôt éclipsée par des tactiques beaucoup plus ingénieuses et difficiles à éviter.
Il n'y a certainement pas d'empressement majeur à s'écarter des techniques actuelles des logiciels malveillants, bien que beaucoup aient prédit que cette année verrait le développement de nouvelles menaces, telles que les "ransomworms" (logiciels de rançon auto-répliqués).
Il est temps de lutter contre les attaques de phishing et de ransomware par une approche cohérente.
La clé de la prévention de ces attaques, de la sensibilisation des employés au phishing ou de l'atténuation de leur ampleur réside dans l'élaboration d'une stratégie cohérente qui englobe les personnes, les processus et la technologie :