Les principales statistiques sur le phishing à connaître en 2023.
Les cyber-crimes sont l'un des types de menaces les plus répandus et les plus dangereux auxquels les entreprises du monde entier sont actuellement confrontées. Mais quelle est la gravité de ces menaces ?
Dernières actualités liées aux cyber-crimes
Emails de phishing les plus utilisés
Comment reconnaître les attaques de phishing ?
Comment préserver les données de votre entreprise ?
Comment avoir une approche pro-active contre les cyberattaques ?
Dernières actualités liées aux cyber-crimes
Pour vous aider à rester au fait des dernières actualités, nous avons rassemblé les statistiques les plus récentes du monde entier pour vous donner un aperçu de l'ampleur et de la gravité de ces menaces et de ce que vous pouvez faire pour vous protéger.
- Des attaques en constante évolution
De nos jours, les emails de phishin peuvent être hyper-personnalisés, sophistiqués, difficiles à détecter et étonnamment réalistes, même pour les personnes les plus averties en matière de sécurité.
Un rapport récent du Check Point Research (CPR) a constaté une tendance émergente des escroqueries par ingénierie sociale qui sont de plus en plus utilisées par les hackers. Au premier trimestre 2022, les réseaux sociaux étaient la catégorie la plus ciblée par les cybercriminels - Les menaces pour la sécurité ont fortement augmenté pendant la pandémie.
Zscaler a indiqué qu'entre les seuls mois de janvier et mars de l'année 2020, le nombre de messages suspects bloqués ciblant les employés travaillant à distance a augmenté de 30 000 % et le nombre d'attaques de spear-phishing liées au COVID-19 a augmenté de 667 %.
Ils ont également constaté que, depuis l'épidémie, plus de 130 000 domaines suspects nouvellement enregistrés (NRD) ont été recensés. Les cyber-escrocs ont enregistré de nouveaux domaines pour tirer parti des mots et des thèmes associés aux événements actuels et pour échapper à la détection des listes de blocage. - Le phishing demeure numéro 1
Parmi tous les différents types de cyberattaques, le phishing reste la plus grande menace pour les particuliers et les entreprises. Le phishing est un type de fraude en ligne qui consiste à inciter les gens à fournir des informations sensibles, telles que des mots de passe ou des numéros de carte bancaire, en se faisant passer pour une source digne de confiance.
Dans notre monde de plus en plus connecté, les attaques de phishing évoluent à un rythme plus rapide que ce que beaucoup d'entre nous semblent réaliser. L'époque où l'on déployait une grande masse d'e-mails génériques et frauduleux à des destinataires infinis est souvent remplacée par de nouvelles tactiques.
Selon le rapport de APWG’s Phishing Activity Trends Report sur les tendances de l'activité de phishing publié en février 2022, les attaques de phishing ont atteint un niveau record en 2021. Avec plus de 300 000 attaques enregistrées en décembre, ces incidents sont devenus plus de trois fois plus fréquents qu'il y a moins de deux ans.
Attaques de phishing les plus populaires
Le phishing est la forme la plus courante d'activité cybercriminelle subie par les entreprises et les organismes caritatifs britanniques, selon the government’s Cyber Security Breaches Survey 2022, 83 % d'entre eux ont été ciblés par des attaques de phishing. Examinons les 5 types d'attaques de phishing les plus répandues.
- Business email compromise (BEC) et email account compromise (EAC) phishing
BEC/EAC est une escroquerie sophistiquée qui cible à la fois les entreprises et les particuliers effectuant des transferts de fonds. L'escroquerie est souvent réalisée lorsqu'un sujet compromet des comptes de messagerie d'entreprises légitimes par des techniques d'ingénierie sociale ou d'intrusion informatique pour effectuer des transferts de fonds non autorisés.
Les pertes liées au BEC/EAC ont dépassé les 43 milliards de dollars à l'échelle mondiale entre 2016-2021
Les cybercriminels ont constaté un retour sur investissement incroyablement élevé. Le Federal Bureau of Investigation (FBI) a déclaré dans leur Public Service Announcement que "les pertes liées à la compromission des e-mails professionnels (BEC) et des comptes de messagerie (EAC) ont dépassé 43 milliards de dollars (36 milliards de livres sterling) à l'échelle mondiale entre 2016 et 2021."
Le dernier Internet Crime Report a également montré un nombre croissant d'escroqueries sophistiquées ciblant à la fois les entreprises et les particuliers pour effectuer le transfert de fonds. "En 2021, l'IC3 a reçu 19 954 plaintes de Business Email Compromise (BEC)/ Email Account Compromise (EAC) avec des pertes ajustées de près de 2,4 milliards de dollars (1,99 milliard de livres)."
De toute évidence, le moyen le plus rapide et le plus rentable de voler de l'argent aux particuliers et aux entreprises reste l'utilisation d'emails malveillants mais d'apparence normale. - Spear phishing
Le spear phishing décrit des e-mails frauduleux envoyés à une personne spécifique. Les criminels ont déjà collecté certaines données personnelles d'une personne, telles que son nom, le nom de son entreprise, sa fonction, son adresse électronique, etc. Ils ciblent les victimes qui mettent des informations personnelles sur l'internet. Ils peuvent consulter des profils individuels en parcourant une plateforme de réseaux sociaux. À partir d'un profil, ils pourront trouver l'emplacement d'une personne, sa liste d'amis, son adresse électronique et tout message concernant de nouveaux produits récemment achetés.
Avec les données personnelles en main, le cybercriminel peut s'adresser à l'individu par son nom et lui demander d'ouvrir une pièce jointe malveillante ou de cliquer sur un lien qui l'amène à un site web usurpé où il lui est demandé de fournir des noms d'utilisateur, des codes d'accès, des numéros de compte bancaire, des codes de tri, des codes PIN, etc.
SLes défis de la sécurité dans le cadre du travail à distance : la nouvelle normalité
Microsoft’s New Future of Work Report a déclaré que les menaces de sécurité ont augmenté pendant la crise COVID-19 chez les client de Microsoft. Le rapport indique que 80 % des professionnels de la sécurité ont constaté une augmentation des menaces pour la sécurité depuis qu'ils sont passés au travail à distance. Parmi ces 80 %, 62 % déclarent que les tentatives de phishing ont augmenté plus que tout autre type de menace. - Whaling phishing
Une attaque de whaling (également connue sous le nom de fraude au président) est une méthode utilisée par les cybercriminels pour se déguiser en acteur principal d'une organisation et demander à un employé de lui rendre service, dans le but de voler de l'argent ou des informations sensibles ou d'accéder à ses systèmes informatiques à des fins criminelles.
Les emails de whaling sont sophistiqués, ils jouent sur la volonté des employés de suivre les instructions de leurs supérieurs. Les destinataires peuvent se douter que quelque chose ne va pas mais ont peur de confronter l'expéditeur.
"Les attaques par whaling utilisant des usurpations d'identité de dirigeants au 1er trimestre 2021 ont augmenté de 131 % par rapport au 1er trimestre 2020", selon la société de sécurité des emails GreatHorn. Leur rappor suggère également que "59% des organisations disent qu'un cadre a été ciblé par des attaques de et 46% de ces cadres ont été victimes de ces attaques." Les cadres ciblés recevaient également des courriels de baleine une fois tous les 24 jours.
- Dissimulation de documents et hyperliens
La vieille tactique des cybercriminels consistant à déguiser des pièces jointes malveillantes en factures reste la plus populaire pour inciter les utilisateurs à ouvrir l'email. Parmi les autres tactiques qui ont fait leur apparition ces dernières années, citons la dissimulation de pièces jointes envoyées comme des documents numérisés par des imprimantes de bureau, des messages d'échec de livraison de courrier électronique, des confirmations de commande et de paiement, des confirmations de vol très spécifiques. - Phishing et ursurpation de marque
L'usurpation d'identité est une attaque qui se fait passer pour une entreprise, une marque ou un domaine de confiance afin d'inciter les victimes à répondre et à divulguer des informations personnelles ou sensibles.
Le premier trimestre de 2022 a vu une augmentation spectaculaire des attaques de phishing. Le fournisseur de cybersécurité, CheckPoint, a révélé dans leur 2022 Q1 Brand Phishing Report que les attaques de phishing usurpant l'identité du réseau social professionnel ont représenté plus de la moitié (52 %) de toutes les tentatives au niveau mondial au premier trimestre 2022. Cela représente une augmentation de 44 % par rapport au trimestre précédent, le quatrième trimestre 2021, où LinkedIn était la cinquième marque la plus usurpée.
"Après LinkedIn, les marques les plus fréquemment usurpées dans les attaques de phishing étaient DHL (14%), Google (7%), Microsoft (6%), FedEx (6%), WhatsApp (4%), Amazon (2%), Maersk (1%), AliExpress (0,8%) et Apple (0,8%)."
Le CPR a suggéré que "les employés, en particulier, devraient être formés pour repérer les anomalies suspectes..." Éduquer le personnel pour lutter contre les cyber-escrocs est désormais une priorité pour les responsables informatiques et la bonne nouvelle, c'est que nous avons ce qu'il vous faut pour vous aider à rester à l'écart des cyber-risques. La bonne nouvelle, c'est que nous avons ce qu'il vous faut pour vous aider à éviter les cyber-risques. Avec notre solution pro-active – uPhish, vous serez en mesure d'évaluer la vulnérabilité de vos employés ; vous obtiendrez de l'aide pour déterminer la formation appropriée à dispenser, ce qui permettra de prévenir les failles de sécurité pour votre entreprise.
Comment reconnaître les attaques de phishing ?
Parfois, il peut être difficile de savoir avec certitude si vous avez reçu un e-mail de phishing. Surtout lorsque vous tombez sur des e-mails d'apparence professionnelle, bien rédigés, qui semblent provenir d'entreprises que vous connaissez et auxquelles vous faites confiance. Toutefois, si vous faites preuve de prudence et que vous êtes attentif aux signes révélateurs suivants, vous éviterez probablement d'être victime de ces escroqueries.
E-mails avec des fautes d'orthographe
Les fautes d'orthographe et de grammaire sont l'un des signes les plus courants des e-mails frauduleux. Dans la plupart des entreprises, la fonction de vérification orthographique est activée pour les e-mails sortants. Il est donc peu probable que des e-mails provenant d'une source professionnelle contiennent des fautes d'orthographe ou de grammaire.
Emails envoyés depuis un domaine de messagerie public
Un autre moyen simple d'identifier une attaque de phishing potentielle consiste à rechercher des divergences dans les adresses électroniques, les liens et les noms de domaine. La plupart des entreprises ont leur propre domaine de messagerie et leurs propres comptes d'entreprise. Faites attention si les noms de domaine ne correspondent pas au nom de l'entreprise.
Les e-mails contiennent des liens ou des pièces jointes suspects
Toutes les pièces jointes doivent être ouvertes avec prudence. Si la pièce jointe comporte une extension couramment associée au téléchargement de logiciels malveillants ou une extension inconnue, cela peut être un signal d'alarme. N'oubliez pas de toujours analyser les pièces jointes avant de les ouvrir.
Messages avec un sentiment d'urgence
Le plus souvent, les e-mails malveillants menacent de conséquences négatives ou utilisent l'urgence pour encourager des actions immédiates. Les lecteurs peuvent ne pas examiner le contenu en profondeur et une opération de phishing peut passer inaperçue.
Comment assurer la sécurité des données de votre entreprise ?
D'après the government’s Cyber Security Breaches Survey 2022:
● 82 % des cadres supérieurs considèrent la cybersécurité comme une priorité "très élevée" ou "assez élevée", soit une augmentation de 77 % en 2021.
● 72 % des organismes caritatifs considèrent la cybersécurité comme une priorité "très élevée" ou "assez élevée".
● 50 % des entreprises et 42 % des organismes caritatifs déclarent informer le conseil d'administration des questions de cybersécurité au moins une fois par trimestre.
Formation de sensibilisation à la cybersécurité
Les rapports et les statistiques sur le phishing sont plus qu'un signal d'alarme qui montre à quel point les campagnes de phishing sont sérieuses et répandues. La formation et l'éducation des employés sur les risques des attaques de phishing et sur la manière de repérer les signes révélateurs sont des moyens éprouvés de réduire la menace.
L'un des moyens les plus efficaces de voir à quel point vos utilisateurs finaux sont sensibles est de simuler des campagnes de phishing. Pour en savoir plus sur l'importance de la sensibilisation aux escroqueries par phishing, essayez notre solution de phishing gratuitement.
Adopter une approche proactive contre les cyberattaques
Usecure offre un produit anti-phishing : uPhish, qui permet aux organisations de déployer des attaques de simulations de phishing sur leurs employés afin d'aider l'entreprise à comprendre la vulnérabilité de son personnel et les types de formation à dispenser..
Les administrateurs chargés de déployer ces campagnes de phishing simulées peuvent utiliser des modèles d'email de phishing faciles à utiliser. uPhish est livré avec une vaste bibliothèque de modèles préétablis, vous permettant de déployer rapidement des campagnes réalistes avec facilité. Vous pouvez également choisir les modèles que vous souhaitez exclure (personnalisés ou préfabriqués), les groupes d'utilisateurs que vous souhaitez exclure et si les utilisateurs doivent recevoir des simulations uniquement pendant les heures de travail.
Essayez uPhish dès maintenant et testez vos employés !