L’année 2023 sera marquée par le vent en poupe en matière d’attaques de phishing !

Les attaques de phishing seront de plus en plus en hausse en 2023. Le taux d’attaques de phishing a augmenté de 61 % au cours des six derniers mois jusqu’à la fin de l’année 2022 par rapport à l’année précédente.

Et, selon le DBIR 2022 de Verizon, l’élément humain continue d’être un facteur clé de 82 % des violations et ce modèle capture un grand pourcentage de ces violations. De plus, les logiciels malveillants et les informations d’identification volées constituent une excellente deuxième étape après qu’une attaque sociale a permis à l’acteur de s’échapper. Ces attaques continuent d’être réparties entre les attaques de phishing et les attaques de faux-semblant, plus convaincantes, qui sont généralement associées aux compromissions de courriels professionnels (BEC).

De manière significative, pour la première fois, des études mettent en évidence les informations suivantes (extrait) :

• 83 % des organisations étudiées ont subi plus d’une violation de données.
• 60 % des violations des organisations ont entraîné des augmentations de prix répercutées sur les clients.
• 19 % des violations se sont produites en raison d’une compromission chez un partenaire commercial.
• 3,99 millions d’euros, c’est le coût total moyen d’une violation de données.
• 4,17 millions d’euros est le coût moyen d’une attaque par ransomware, sans compter le coût de la rançon elle-même.
• 19 % est la fréquence des violations causées par des identifiants volés ou compromis.
• 12 ans : pendant des années consécutives, le secteur de la santé a connu le coût moyen le plus élevé d’une violation.
• 277 jours est le délai moyen pour identifier et contenir une violation de données.
• 4,51 millions d’euros, c’est le coût moyen d’une violation de données avec un vecteur d’attaque initiale par hameçonnage.

 

Le modèle d’ingénierie sociale est dominé par le phishing

Le phishing domine le modèle d’ingénierie sociale car, dans l’ensemble, la combinaison de facteurs tels que le faible coût, le taux de réussite élevé et l’utilisation généralisée de la technologie a fait du phishing une méthode privilégiée :

• Il est peu coûteux et facile à exécuter, ne nécessitant qu’un ordinateur et une connexion Internet.
• Il peut être très efficace pour inciter les victimes à fournir des informations sensibles ou à cliquer sur des liens malveillants.
• Les e-mails d’hameçonnage peuvent sembler provenir de sources fiables et réputées, ce qui rend difficile pour les victimes de faire la différence entre les communications légitimes et les fausses communications.
• Le taux de réussite des attaques de phishing est souvent élevé en raison du facteur humain impliqué, car les gens peuvent être facilement manipulés par des tactiques psychologiques telles que la peur, l’urgence et la preuve sociale.
• Les attaques de phishing peuvent être facilement personnalisées et ciblées, ce qui augmente leurs chances de succès. Les attaquants peuvent recueillir des informations sur la victime pour rendre la tentative de phishing plus convaincante.
• L’utilisation de technologies telles que l’apprentissage automatique et l’intelligence artificielle dans les campagnes de phishing les a rendues plus sophistiquées et difficiles à détecter.
• Les attaques de phishing peuvent se produire sur plusieurs services de messagerie, notamment les e-mails, la messagerie instantanée, les réseaux sociaux et les SMS, ce qui permet aux attaquants d’atteindre plus facilement leurs cibles.
• Les attaques de phishing peuvent avoir des conséquences considérables, telles que des pertes financières, l’usurpation d’identité et la compromission d’informations sensibles.
• Le manque de sensibilisation et d’éducation à la cybersécurité parmi le grand public facilite le succès des attaques de phishing.

 

L’e-mail est la méthode de diffusion de logiciels malveillants la plus courante

L’e-mail est la méthode de diffusion de logiciels malveillants la plus courante, car il s’agit d’une forme de communication largement utilisée et fiable. Les attaquants utilisent souvent des e-mails contenant des pièces jointes ou des liens malveillants pour diffuser des logiciels malveillants à des victimes peu méfiantes. Ces e-mails semblent souvent provenir d’une source fiable et incitent le destinataire à ouvrir la pièce jointe ou à cliquer sur le lien, ce qui peut ensuite infecter son appareil avec des logiciels malveillants.
De plus, l’utilisation généralisée de l’e-mail en fait une cible facile pour les attaquants, car ils peuvent potentiellement atteindre un grand nombre de personnes avec un seul e-mail :

• Les logiciels malveillants peuvent être déguisés en documents importants ou urgents, ce qui amène les gens à les ouvrir.
• Les systèmes de messagerie peuvent être facilement automatisés, ce qui permet aux attaquants d’envoyer facilement un grand nombre d’e-mails malveillants.
• Certains systèmes de messagerie ont mis en place des mesures de sécurité limitées, ce qui permet aux attaquants de les contourner plus facilement.
• Les gens sont souvent moins prudents lorsqu’ils ouvrent des e-mails par rapport à d’autres formes de communication, ce qui les rend plus susceptibles de tomber dans le piège des escroqueries par hameçonnage.
• Les adresses e-mail peuvent être facilement obtenues ou devinées, ce qui donne aux attaquants une cible à laquelle envoyer leurs e-mails malveillants.

 

L’éducation, la finance, l’industrie manufacturière, la santé et les administrations publiques sont les secteurs les plus ciblés

Ces secteurs sont ciblés parce qu’ils détiennent souvent des informations et des actifs précieux et/ou sensibles, tels que des données personnelles, des informations financières et des infrastructures critiques. Les attaquants peuvent utiliser ces informations à des fins lucratives ou pour perturber les opérations, causant ainsi des dommages importants.

Ces industries ont également tendance à disposer de systèmes technologiques complexes, ce qui les rend vulnérables à l’exploitation par des attaquants sophistiqués. De plus, certains de ces secteurs, comme l’administration publique, sont responsables du maintien des services essentiels et, par conséquent, une attaque réussie peut causer des perturbations généralisées.

Les chiffres ci-dessous doivent être pris dans une perspective mondiale. Celles-ci ne reflètent que les incidents qui ont été signalés de manière transparente par les organisations touchées, mais il est évident que l’ampleur réelle de ces représentations est considérablement plus élevée compte tenu du nombre d’incidents non signalés pour des raisons de réputation, financières ou politiques :

1. Éducation
Dans le secteur de l’éducation, des informations sensibles telles que les dossiers des étudiants, les informations financières et les données personnelles sont souvent stockées. Les attaquants utilisent des e-mails de phishing pour inciter les personnes du secteur de l’éducation à fournir des identifiants de connexion ou des informations sensibles.

• 1241 incidents signalés, dont 282 avec divulgation de données confirmées. Ces chiffres indiquent un taux de réussite de 23 % des attaques perpétrées, qui ont entraîné des pertes de données et des pertes financières.
• Les auteurs de menace étaient à 75 % externes, contre 25 % à l’interne.
• Les données compromises ont été répertoriées comme des violations de données personnelles (46 %), des violations d’identifiants (30 %) et d’autres violations (24 %).

2. Finances
Les institutions financières détiennent des informations sensibles telles que des numéros de compte bancaire, des informations de carte de crédit et des données personnelles. Les attaquants utilisent des e-mails d’hameçonnage pour inciter les acteurs du secteur financier à transmettre des identifiants de connexion ou des informations sensibles, qui peuvent ensuite être utilisés pour commettre une fraude ou un vol d’identité.

• 2337 incidents signalés, dont 338 avec divulgation de données confirmée. Ces chiffres indiquent un taux de réussite de 14 % des attaques perpétrées, qui ont entraîné des pertes de données et des pertes financières.
• Les auteurs de menace étaient à 73 % externes contre 27 % internes.
• Les données compromises ont été répertoriées en tant que violations de données personnelles (44 %), violations d’identifiants (25 %) et autres violations (31 %).

3. Fabrication
Les entreprises manufacturières détiennent des informations sensibles telles que des secrets commerciaux, des informations financières et des informations sur la chaîne d’approvisionnement. Les attaquants utilisent des e-mails de phishing pour inciter les habitants du secteur manufacturier à fournir des identifiants de connexion ou des informations sensibles.

• 2527 incidents signalés, dont 690 pour lesquels la divulgation des données est confirmée. Ces chiffres indiquent un taux de réussite de 27 % des attaques perpétrées, qui ont entraîné des pertes de données et des pertes financières.
• Les auteurs de menace étaient à 88 % des sources externes, contre 12 % des personnes internes.
• Les données compromises ont été répertoriées en tant que violations de données personnelles (39 %), violations d’identifiants (27 %) et autres violations (34 %).

4. Soins de santé
Le secteur de la santé est le secteur le plus ciblé par le phishing par e-mail, car il offre une mine d’informations précieuses et sensibles aux attaquants. Ces informations, telles que les dossiers médicaux, les données financières et les informations d’assurance, peuvent être vendues sur le marché noir à un prix élevé. De plus, les organisations de santé ont souvent mis en place des mesures de sécurité moins sophistiquées que dans d’autres secteurs, ce qui les rend plus vulnérables aux attaques de phishing. De plus, les travailleurs de la santé sont souvent extrêmement occupés.

• 849 incidents signalés, dont 571 avec divulgation de données confirmées. Ces chiffres indiquent un taux de réussite de 67 % des attaques perpétrées, qui ont entraîné des pertes de données et des pertes financières.
• Les auteurs de menace étaient à 61 % des externes, contre 39 % des acteurs internes.
• Les données compromises ont été répertoriées comme des violations de données personnelles (36 %), des violations de données médicales (28 %), des violations d’identifiants (18 %) et d’autres violations (18 %).

5. Administrations publiques
Les entités de l’administration publique détiennent des informations sensibles telles que des données personnelles de citoyens, des informations financières et des informations confidentielles. Les attaquants utilisent des e-mails de phishing pour inciter les personnes du secteur de l’administration publique à fournir des identifiants de connexion ou des informations sensibles.

• 2792 incidents signalés, dont 537 avec divulgation de données confirmée. Ces chiffres indiquent un taux de réussite de 19 % des attaques perpétrées qui ont entraîné une perte de données et des pertes financières.
• Les auteurs de menace étaient à 78 % des acteurs externes, contre 22 % des acteurs internes.
• Les données compromises ont été répertoriées comme des violations de données personnelles (34 %), des violations d’identifiants (25 %) et d’autres violations (41 %).

 

L’Amérique du Nord, le Moyen-Orient et les pays européens sont les régions où le coût moyen d’une violation de données est le plus élevé

Les États-Unis ont été le pays le plus coûteux pour le coût total moyen d’une violation de données pour la 12e année consécutive. Les cinq principaux pays ou régions où le coût moyen d’une violation de données est le plus élevé sont les suivants :

• Les États-Unis.
• Le Moyen-Orient.
• Canada.
• Le Royaume-Uni.
• Allemagne.

La France et l’Italie se classent respectivement 7e et 8e de l’indice.

Les 2 principales variétés d’attaques une fois que l’organisation est compromise

Près de 80 % des attaques de deuxième étape, une fois l’organisation compromise, sont l’utilisation d’identifiants volés et l’injection de ransomware.

L'utilisation d'identifiants volés fait référence à l'accès non autorisé aux systèmes d'information d'une organisation par un attaquant qui a obtenu des identifiants de connexion valides, tels qu'un nom d'utilisateur et un mot de passe.
Un ransomware est un type de logiciel malveillant qui crypte les données d'une organisation et exige un paiement en échange de la clé de décryptage. Une fois qu’une organisation est infectée par un ransomware, l’attaquant exige généralement le paiement d’une rançon afin de rétablir l’accès aux données chiffrées. Ce type d’attaque peut avoir des conséquences importantes pour une organisation, notamment la perte d’accès à des données importantes et le paiement de rançons potentiellement importantes.

Les petites organisations ne sont pas épargnées

Lorsque la cybercriminalité fait l’actualité, c’est généralement parce qu’une grande organisation a été victime d’une attaque. Cependant, contrairement à ce que beaucoup pourraient penser, les très petites organisations sont tout aussi attrayantes pour les criminels que les grandes, peut-être même plus.

Les grandes organisations disposent de ressources importantes, ce qui signifie qu’elles peuvent se permettre des professionnels de la sécurité de l’information et une technologie de pointe pour se défendre. Les très petites entreprises, en revanche, ont des ressources très limitées et ne peuvent pas compter sur un personnel formé.

Conclusion

Sachant que 9 cyberattaques sur 10 commencent par un email de phishing et que ces attaques sont en hausse de 400 % sur une base annuelle depuis la pandémie de COVID-19 (rapport du FBI sur la cybercriminalité), la sécurisation des emails est l’une des fonctions les plus importantes de toute organisation ; Il doit être mis en œuvre judicieusement afin qu’aucun problème majeur ne se pose. Selon des études, 60 % des organisations ont perdu, en moyenne et dans le monde, plus de 4 millions d'euros en raison d'attaques et de vols dans l'infrastructure de l'entreprise au cours des deux dernières années. Pour une grande majorité de ces attaques, tout a commencé par un email !

Dans cette optique, la mise en œuvre de la sécurité des e-mails est le principal point de départ pour prévenir de tels incidents au sein de votre organisation.

Cet article a été initialement publié le 1er février 2023 par LetzRelay.