Le phishing est aujourd’hui la plus grande menace de cybersécurité: 90% des incidents qui se terminent par une violation de données commencent par un e-mail de phishing. C’est le système de distribution de choix pour les logiciels malveillants tels que les ransomwares et la passerelle vers un éventail de cybercrimes et de fraudes. L’humble e-mail de phishing a secoué les plus hauts niveaux des entreprises et des gouvernements avec des conséquences considérables. Plus de 80% des cyberattaques signalées sont du phishing. La polyvalence et l’efficacité de ce type de menace en font un favori parmi les cybercriminels. La dévastation qu’il entraîne dans son sillage est ce qui en fait un cauchemar pour les équipes de sécurité.
Définition du phishing
Les myriades de styles d’attaque de phishing sont toutes des variantes sur un thème: amener la cible à entreprendre une action. Ils sont généralement classés par type de cible ou type de système de diffusion. La proposition de séduction s’appelle un appât ou un leurre. Le type de phishing le plus courant est de loin le spear phishing, qui représente 65% des attaques de phishing. Les autres catégories incluent la chasse à la baleine, le hameçonnage à la ligne, le smishing, le vishing, l’usurpation d’identité de marque et le compromis par e-mail professionnel.
À quoi sert le phishing?
Dans sa forme la plus élémentaire, le phishing est un type de fraude qui vise à inciter la cible à interagir avec un message trompeur. Les attaques de phishing varient en complexité, mais beaucoup utilisent des techniques d’ingénierie sociale sophistiquées combinées à des informations recueillies à partir du Web sombre pour simuler l’authenticité et la pertinence pour leurs cibles peu méfiantes. Si l’attaque vise à déployer des logiciels malveillants tels que des ransomwares, il suffit souvent d’ouvrir le message pour déployer sa cargaison. Sinon, le contenu du message sera conçu pour pousser le destinataire à effectuer une action qui profite au cybercriminel et compromet la sécurité de la victime, comme visiter un site Web, ouvrir une pièce jointe, envoyer de l’argent ou des informations, télécharger un PDF ou fournir des informations d’identification.
L’histoire du phishing < / span>
Les premières formes de phishing en tant que cyberattaque ont commencé contre AOL au milieu des années 1990. La première attaque de phishing connue contre une banque de détail a été rapportée par le magazine spécialisé The Banker en septembre 2003, et la première tentative directe connue contre un système de paiement en tant qu’attaque contre E-gold en juin 2001.
Le phishing a vraiment pris son envol au début des années 2000, avec les premières attaques contre les banques, les systèmes de paiement et les consommateurs. Le phishing par des acteurs des États-nations était répandu en 2006, lorsque les experts estiment que plus de la moitié de toutes les attaques de phishing provenaient de Russie. Dans les années 2010, le phishing était répandu et ressemblait davantage à ce que nous voyons aujourd’hui, les attaques contre les entreprises, les agences gouvernementales, les banques et les consommateurs devenant de plus en plus courantes. Cette attaque a atteint de nouveaux sommets en 2020: Google a enregistré une augmentation de plus de 600% dans les messages de phishing en mars 2020 en tant que COVID-19 est devenu son sujet le plus hameçonné en histoire.
D’où vient le terme « hameçonnage »?
Le phishing est un terme qui a probablement été inventé à partir d’une combinaison de «leetspeak» de jeu vidéo et d’un ancien type de fraude téléphonique appelé phreaking. On pense que le terme est apparu pour la première fois dans la presse écrite dans le magazine hacker 2600 au début des années 1980. Le premier enregistrement de l’hameçonnage en tant que sujet majeur de discussion parmi les professionnels de la sécurité provient d’un article et d’une présentation remis à l’International HP Users Group de 1987, Interex. La première utilisation répandue a été dans la boîte à outils de craquage AOHell créée par Koceilah Rekouche en 1995.
Les premières attaques de phishing ont été perpétrées contre des utilisateurs d’AOL dans le but de récupérer des mots de passe pour faciliter d’autres cybercrimes. Des spécialisations de phishing ont émergé à l’échelle mondiale au milieu des années 2000, lorsque les cybercriminels ont commencé à vendre ou à échanger des logiciels de phishing à des gangs organisés qui pourraient ensuite les utiliser pour mener des campagnes de phishing. Cette pratique était étroitement associée au piratage de logiciels et à la fraude par carte de crédit. Au fur et à mesure que le monde devenait plus numérique, le phishing a évolué pour permettre aux mauvais acteurs de l’utiliser de nouvelles manières, y compris le phishing sur les réseaux sociaux. Plus de 60% des cybercriminels ont utilisé le phishing comme principale forme d’attaque en 2020.
Quels sont quelques exemples concrets d’hameçonnage?
Le phishing ne fait pas de discrimination. Des écoles élémentaires aux géants de la technologie, le phishing est une menace pour l’égalité des chances. Un employé qui clique sur un e-mail peut déclencher un monde de blessures sur une organisation. Voici quelques exemples des dommages que le phishing peut causer.
- Twitter était sur la sellette après les comptes d’utilisateurs extrêmement connus comme Donald Trump et Elon Musk ont été repris par des cybercriminels et utilisés pour diffuser des messages attirer les gens dans une arnaque à la crypto-monnaie. L’enquête a révélé que tout l’incident provenait d’un cybercriminel hameçonnage d’un mot de passe administrateur unique d’un employé de Twitter en prétendant être un sous-traitant.
- Fin 2020, le phish entendu dans le monde entier a déclenché une cascade de cauchemars de cybersécurité aux plus hauts niveaux du gouvernement, des entreprises et des finances après que des cybercriminels russes aient eu accès aux systèmes SolarWinds. Ce mot de passe leur a permis de mettre en place des portes dérobées dans certains des systèmes les plus sensibles des États-Unis, atteignant profondément les cibles de sécurité nationale, envahissant les agences gouvernementales et arrachant des informations sensibles aux entreprises. L’impact total ne peut jamais être mesuré.
- Une escroquerie de phishing complexe perpétrée par des pirates présumés de l’État-nation contre des employés du fabricant de médicaments AstraZeneca < / a> a été conçu pour inhiber sa recherche et son développement d’un vaccin COVID-19. Les acteurs de la menace ont utilisé de fausses offres d’emploi envoyées via les médias sociaux comme LinkedIn et WhatsApp pour inciter les employés à fournir des informations personnelles qui pourraient être utilisées pour propulser le phishing ou télécharger des pièces jointes pleines de logiciels malveillants.
À quelle fréquence le phishing se produit-il?
Le phishing est la cyberattaque la plus courante à gérer par les équipes informatiques. Les experts de l’Université du Maryland estiment qu’une nouvelle attaque est lancée toutes les 39 secondes. La pandémie et le chaos qui l’accompagne ont été une énorme aubaine pour les cybercriminels, sur lesquels ils n’ont pas tardé à capitaliser. En mars 2020, Google a annoncé avoir enregistré une hausse de 667% des tentatives de phishing par rapport à la même période en 2019, estimant avoir bloqué environ 18 millions d’e-mails d’escroquerie COVID-19 par jour de ses 1,5 milliard d’utilisateurs. À la mi-2020, les chercheurs sur Internet ont vu le nombre de menaces de phishing quotidiennes atteindre 25000 par jour, soit une augmentation de 30% par rapport aux chiffres de 2019. À l’automne, ce nombre était passé à 35 000 par jour et à 50 000 par jour en décembre 2020. 75% des organisations dans le monde ont subi une sorte d’attaque de phishing en 2020.
Le phishing est-il illégal?
Cela crée une vague de cybercriminalité. Le phishing est une forme de fraude et de vol d’identité, passible d’amendes et même de peines d’emprisonnement. Aux États-Unis, il existe des lois fédérales, étatiques et locales contre le phishing et ses styles associés. Le phishing est parfois poursuivi en vertu des lois fédérales sur la fraude électronique car il est transmis via Internet. Le Royaume-Uni, l’Union européenne et d’autres pays ont également des lois contre le phishing.
Fonctionnement du phishing
Dans son sens le plus large, le phishing vise à inciter la cible à fournir des informations, des identifiants ou un accès permettant à l’expéditeur d’accéder à des systèmes, des données et d’autres ressources de manière frauduleuse. Les cybercriminels utilisent l’ingénierie sociale, la psychologie, le stress et les perturbations pour créer des leurres puissamment tentants. Souvent, les mauvais acteurs obtiennent des informations spécifiques sur leurs cibles à partir du dark web. Des milliards d’enregistrements remplis d’informations sur les personnes et les entreprises sont disponibles sur les marchés et les décharges de données du Web sombre, et d’autres sont ajoutés quotidiennement – 22 millions ont été ajoutés rien qu’en 2020. Vous n’avez même pas besoin de compétences techniques pour exécuter une opération de phishing. Tout, des «kits de phishing» plug-and-play complets à l’externalisation complète par des opérateurs indépendants, est disponible à un prix.
Que se passe-t-il lors d’une attaque de phishing?
Jetez un œil à un aperçu de base d’une attaque de phishing standard.
- Les mauvais acteurs génèrent une liste de cibles et rassemblent les informations nécessaires pour atteindre leurs victimes prévues.
- À ce stade, la préparation peut inclure l’achat d’informations personnellement identifiables (PII), l’obtention d’une base de données volée d’enregistrements pour d’autres comptes en ligne gérés par la cible ou les détails nécessaires pour usurper l’identité d’une marque de confiance.
- Ensuite, les mauvais acteurs rédigent un e-mail conçu pour attirer au maximum la victime visée afin de l’inciter à l’ouvrir ou à effectuer une action.
- L’e-mail comprend souvent des détails personnalisés collectés sur les marchés et les vidages de données Web sombres.
- Le message pourrait se faire passer pour quelque chose qui semble inoffensif et routinier, comme une communication de l’association d’anciens élèves de la victime ou d’un organisme de bienfaisance privilégié.
- Parfois, le message contient une pièce jointe, comme un PDF, qui contient des logiciels malveillants.
- Un autre attrait courant consiste à inclure un lien demandant à la victime de réinitialiser son mot de passe à l’aide d’un lien inclus.
- Si le but de l’attaque est de diffuser des logiciels malveillants, la charge utile se déploie lorsque la victime termine une interaction avec la cible, comme télécharger un fichier ou cliquer sur un lien.
- Ou, si l’objectif est de compromettre les identifiants, la victime est généralement dirigée vers une page Web falsifiée et privée de ses identifiants.
- Les cybercriminels sont alors libres de capturer des données, de déployer des logiciels malveillants ou de faire des ravages sur la victime ou l’entreprise de la victime.
À quoi peut conduire le phishing?
Quel genre de ravages? Le genre qui ferme les entreprises et détruit les rêves. Les experts estiment que 60% des entreprises font faillite après une cyberattaque. Les frais de réponse aux incidents, d’enquête, de correction et de récupération peuvent être catastrophiques. De plus, les entreprises ne finissent pas par payer pour un incident comme un ransomware au moment même où cela se produit. Cela peut prendre des années pour déterminer l’étendue des dommages et payer les factures. Parallèlement à ce budget énorme, les entreprises qui sont touchées par une cyberattaque dommageable perdent de leur productivité et souffrent d’une atteinte à leur réputation. Le phishing est particulièrement dévastateur lorsque les entreprises perdent des informations précieuses telles que des secrets commerciaux ou des enregistrements très sensibles, en particulier lorsque cette perte entraîne également de lourdes sanctions réglementaires en vertu de lois telles que HIPAA ou GDPR.
Comment détecter les tentatives de phishing
Les cybercriminels peuvent produire des messages et des pièces jointes frauduleux extrêmement convaincants qui peuvent être un défi, même pour les professionnels de la cybersécurité, à détecter. Cependant, il existe quelques signes courants que les cibles potentielles peuvent rechercher pour repérer un message potentiel de phishing et éviter une catastrophe. Une procédure détaillée pour enquêter sur un message potentiel d’hameçonnage et en juger en toute sécurité est disponible dans l’infographie, Le chemin sûr vers l’e-mail.
Quels sont les signes courants d’un e-mail de phishing?
Voici quelques signes révélateurs qu’un message est probablement du phishing:
- Si la langue est désactivée ou si le message ne semble pas avoir été râpé par quelqu’un qui est un locuteur natif de la langue de la cible, y compris des fautes d’orthographe et une grammaire ou un usage médiocres
- Si le message prétend provenir d’une marque de confiance, mais qu’il contient des éléments qui ne vous semblent pas familiers, comme des couleurs, des formats ou des polices qui ne sont pas tout à fait corrects
- Si cela semble très « non professionnel » mais qu’il est présenté comme une communication d’un dirigeant ou d’une autre personne influente.
- Si une agence du gouvernement fédéral américain vous demande de fournir des informations personnelles par e-mail
- Si l’expéditeur vous demande votre numéro de sécurité sociale ou d’identification fiscale à l’improviste
- Si l’adresse, le nom ou l’adresse e-mail de l’expéditeur semblent étranges
- Si une personne que vous ne connaissez pas bien vous demande des cartes-cadeaux, des virements bancaires, des informations bancaires ou de carte de crédit
- S’il existe un lien sur lequel vous pouvez cliquer ou une pièce jointe à télécharger, mais que l’adresse ou le nom du fichier semble inhabituel
En cas de doute, faites toujours preuve de prudence. Votre équipe informatique vous remerciera.
Comment savoir si un lien est malveillant?
Les liens malveillants sont un outil extrêmement populaire pour les attaques de phishing en raison de la sensibilisation accrue que la plupart des utilisateurs ont développée au fil des ans autour des pièces jointes. Cependant, un faux lien peut être tout aussi désagréable qu’un attachement infectieux – et parfois pire. Vérifiez toujours un lien avant de cliquer dessus pour voir s’il va réellement là où il est indiqué. Les faux liens peuvent avoir des orthographes étranges, des suffixes inattendus, des mashups étranges du nom d’une entreprise et des détails similaires qui ne sont tout simplement pas tout à fait corrects. Google a enregistré 2 145 013 sites de phishing au 17 janvier 2021, contre 1 690 000 au 19 janvier 2020 (en hausse de 27% sur 12 mois).
Comment identifier une pièce jointe malveillante?
Les pièces jointes malveillantes sont ce à quoi les utilisateurs ont tendance à penser lorsqu’ils pensent au phishing, en particulier en ce qui concerne les logiciels malveillants. Les experts ont estimé dans une étude récente que 94% des e-mails de phishing utilisent des pièces jointes malveillantes comme charge utile ou source d’infection pour l’attaque. Ils ont en outre noté que les principaux types de pièces jointes malveillantes qu’ils voyaient sont .doc et .dot à 37% du gâteau, avec .exe à 19,5% et les autres noms de fichiers inférieurs. Les pièces jointes malveillantes peuvent également être des fichiers PDF. Les cybercriminels audacieux ont passé une journée sur le terrain à envoyer des cartes COVID-19 toxiques dans ce format à partir de sources telles que l’Organisation mondiale de la santé au début de 2020. Les pièces jointes inattendues ou les fichiers avec des noms inhabituels ou inconnus sont la marque de pièces jointes malveillantes.
Minimize_Phishing_Dangers_with_a_Strong_Defensive_Posture_That_Includes_SaaS_Backup « > Réduisez les risques de phishing avec une posture défensive forte qui inclut une sauvegarde SaaS
Attraper des messages de phishing peut être difficile. Les entreprises qui participent régulièrement à une formation de sensibilisation à la sécurité qui comprend la résistance au phishing pour chaque employé au moins une fois par trimestre ont jusqu’à 70% d’incidents de sécurité en moins. Les solutions de sécurité de messagerie classiques telles que les filtres ou les outils intégrés dans les applications de messagerie ne sont pas à la hauteur des menaces de phishing sophistiquées d’aujourd’hui – plus de 40% des e-mails de phishing envoyés lors d’un test de 2020 n’ont pas été capturés par la sécurité de messagerie traditionnelle.
L’autre moitié de la médaille dans la construction d’une défense solide contre le phishing est également essentielle pour renforcer la cyber-résilience: la sauvegarde SaaS. On estime que 60% des entreprises touchées par une attaque de phishing perdent des données irrécupérables, ce qui peut créer une cascade de dégâts de plus en plus dévastatrice.
C’est pourquoi des solutions telles que Spanning 360 avec des capacités de défense anti-hameçonnage intégrées sont indispensables dans tout plan de cybersécurité. Plus de 70% des entreprises aux États-Unis ont été touchées par une attaque de phishing réussie au cours des 12 derniers mois. L’objectif de chaque entreprise devrait être de se retirer de cette liste en 2021.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
