le 10 août 2022

Le phishing par e-mail en 2022 est pire que vous ne le pensiez

Les attaques par e-mail ont été un compromis majeur pour les entreprises depuis que le courrier électronique est devenu largement utilisé. Alors qu'il s'agissait initialement d'un moyen de diffuser des logiciels malveillants pour saboter ou dégrader les actifs de l'entreprise, les attaquants ont rapidement réalisé qu'il y avait plus à gagner. Lorsque les informations d'identification d'accès étaient à portée de main, ainsi que les données de carte de paiement et les données d'identification précieuses, les attaques par e-mail se sont transformées en attaques de phishing par e-mail.

L'hameçonnage est mieux défini comme une tentative d'accéder aux informations ou aux informations d'identification des utilisateurs finaux en se faisant passer pour une source potentiellement légitime d'e-mails ou d'appels. Une attaque de phishing par e-mail est souvent réalisée en imitant, usurpant ou squattant un domaine pour faire apparaître une adresse d'origine d'e-mail à partir d'une source légitime, comme Microsoft ou AWS. L'attaquant espère que l'utilisateur cliquera sur un lien dans l'e-mail et fournira des informations d'identification ou téléchargera un logiciel malveillant joint.

Le téléchargement de logiciels malveillants peut donner à l'attaquant un petit pied dans le réseau qu'il continuera à escalader ou à pivoter pour se déplacer sur le réseau sans préavis. Une fois à l'intérieur, l'attaquant peut accéder à des informations sensibles ou déployer quelque chose de beaucoup plus néfaste, comme un rançongiciel.

L'hameçonnage par e-mail est de retour

Étant donné que l'hameçonnage par e-mail existe depuis un certain temps, beaucoup pensent qu'il représente moins une menace aujourd'hui qu'il ne l'était autrefois. Le contraire est vrai. Comme toute autre chose en cybersécurité, la lutte contre le phishing par e-mail est un jeu du chat et de la souris, où les défenseurs réagissent presque toujours aux attaquants. Alors que les équipes de cybersécurité, les outils et les groupes de recherche identifient des modèles pour aider à défendre une organisation, les attaquants pivotent pour échapper à cette défense, proposant de nouvelles méthodes d'attaque.

Il y a eu une recrudescence des attaques de phishing ces dernières années. De nombreux outils, dont G-suite et O365, offrent des ressources pour aider à atténuer le risque d'attaque par hameçonnage. Ces outils sont parfaits pour détecter les campagnes de phishing de masse à faible technologie grâce à l'apprentissage automatique et à la connaissance du troupeau, mais ils ne sont pas à l'épreuve des balles. Les attaquants sont devenus plus sophistiqués, avec des techniques qui peuvent échapper à la détection initiale de ces outils, laissant les employés en première ligne pour défendre l'entreprise. Le seul véritable moyen pour les organisations de se protéger est de s'assurer que les utilisateurs finaux sont pleinement informés et prêtent une attention particulière à chaque e-mail entrant.

Comprendre l'impact

À mesure que les organisations ont amélioré leur posture de sécurité et leurs capacités de prévention, les attaquants sont devenus plus difficiles d'accès. Pour cette raison, les attaquants sont revenus à l'utilisation du phishing comme principal mode d'entrée dans les organisations.

Selon l'étude Ponemon 2021 sur le phishing, le coût moyen du phishing pour les entreprises a été multiplié par près de 5 depuis 2015. De plus, la perte de productivité a doublé au cours de la même période pour les employés. La perte de productivité peut résulter du verrouillage des informations d'identification, de la nécessité de réimager les systèmes ou de l'incapacité des utilisateurs à travailler pendant l'enquête.

Le coût le plus important étant le travail nécessaire pour récupérer et redéployer les actifs des utilisateurs concernés, le coût augmente à mesure que les employés passent à une position plus éloignée.

Quand la sensibilisation à la sécurité ne suffit pas

Pour lutter contre les escroqueries par hameçonnage par e-mail, de nombreuses entreprises proposent une formation de sensibilisation à la sécurité qui aide les employés à détecter et à éviter les attaques courantes. Mais les preuves de son efficacité sont mitigées. Les enquêtes montrent que de nombreux employés n'accordent pas toute leur attention aux sessions de formation à la sécurité. De plus, de longues sessions peuvent engendrer de la frustration et des associations négatives avec les méthodes requises pour la sécurité.

Des études ont montré que la formation doit être courte et régulière pour être efficace. Étant donné que les attaques de phishing s'améliorent rapidement, les employés doivent s'entraîner à détecter les escroqueries les plus récentes. Mais même si cela est connu, de nombreuses organisations manquent d'incitation ou de budget pour investir dans la formation de haut niveau de sensibilisation nécessaire pour réduire leur risque global.

La meilleure défense

Le problème du phishing par e-mail ne va pas disparaître. Comment les particuliers et les entreprises peuvent-ils se protéger des attaques de phishing ? Loin d'être une solution simple, la meilleure défense est une approche à plusieurs volets.

Pour commencer, les entreprises doivent mettre en œuvre des outils pour aider à détecter et supprimer les attaques de phishing facilement identifiables à partir des boîtes de réception. Cette méthode est efficace car elle réduit la possibilité d'erreur humaine. Même si la formation à la sécurité fait défaut, une organisation peut survivre à une attaque si elle n'atteint jamais la boîte de réception d'un employé.

La prochaine étape consiste à mettre en œuvre un solide programme de formation et d'éducation pour les employés sur la façon d'identifier et de signaler les attaques de phishing. Ce dernier est critique et facilement négligé. Disposer d'une boucle de rétroaction active permettant à l'organisation d'examiner les tentatives de phishing infructueuses peut aider le service informatique à protéger le réseau contre des attaques similaires à l'avenir. La formation à la sécurité des employés devrait impliquer des présentations et des exercices pratiques par simulation.

Les organisations doivent expliquer que la formation sur le phishing simulé n'est pas destinée à attraper un individu mais à l'aider à comprendre comment identifier le phishing et à continuer à perfectionner ses compétences en matière de sécurité. Enfin, une organisation doit chercher à mettre en œuvre des outils et des protocoles de réponse supplémentaires qui impliquent la surveillance de l'activité des utilisateurs.

Quelle est la prochaine étape pour l'hameçonnage ?

Au fur et à mesure que les organisations améliorent leurs outils, leurs capacités de prévention et de détection, nous continuerons de voir les attaquants évoluer. Nous nous attendons à voir davantage de campagnes de phishing low-tech de la part d'organisations qui espèrent échapper à la détection et attraper un seul individu.

Cependant, il est plus probable que les attaquants pivotent pour faire face à une nouvelle vague de tactiques et de technologies. Cette évolution se produit maintenant. De plus en plus d'attaques de phishing arrivent par SMS (Smishing) pour contourner les contrôles de l'entreprise. Selon l'avis de cybersécurité Réseau assuré, nous verrons également une utilisation accrue de l'intelligence open source pour imiter des fournisseurs de confiance ou même pour compromettre un fournisseur afin de permettre le lancement d'attaques contre ses clients.

Quelle que soit la tendance actuelle des attaques, on peut supposer que le phishing restera l'un des principaux vecteurs de compromission initiale pour les attaquants.

A propos de l'auteure 

Pierre Hatch


{"email": "Adresse e-mail non valide", "url": "Adresse de site Web non valide", "obligatoire": "Champ obligatoire manquant"}