Le dernier rapport Human Factor 2025 de Proofpoint révèle une forte escalade des attaques basées sur les URL dans les SMS et le phishing (hameçonnage). Ce travail repose sur les données de la plateforme de renseignement sur les menaces de la plateforme de sécurité. Aujourd’hui, les cybercriminels utilisent l'ingénierie sociale avancée et le contenu généré par IA devient plus crédible après l’avènement de l’IA générative. Des méthodes qui trompent la vigilance des utilisateurs sur la détection des URL compromises. Ces dernières sont à présent un vecteur d’attaque privilégié par les cybercriminels. En une année, elles ont été utilisées quatre fois plus que les pièces jointes frauduleuses des e-mails.
Le nombre d’attaques via URL se monte à 3,7 milliards selon Proofpoint en faisant l’objectif le plus répandu chez les cybercriminels. Environ 34 % des campagnes de phishing basées sur des URL ont diffusé cette charge utile dans le cadre de campagnes individuelles. L’utilisation détournée des liens dans les SMS, nommée attaque ClickFix, transforme la victime en complice involontaire qui exécute les actions malveillantes.
Par ailleurs, Proofpoint a identifié plus de 4,2 millions de menaces de phishing par QR code au cours du premier semestre 2025. Ce type d’attaque consiste à inciter l’utilisateur à scanner un QR code inclus dans un e-mail, ce qui l’envoie sur un site malveillant. Il lui est ensuite demandé de saisir les secrets d’accès à ses données sensibles.
Des attaques qui touchent particuliers et entreprises
Le rapport de Proofpoint montre qu'au moins 55 % des messages smishing suspects analysés contenaient des URL compromises. De manière attendue, les trois quarts des organisations figurant dans le rapport ont déclaré avoir été victimes d'attaques de smishing. Les escroqueries par SMS les plus populaires utilisant des URL étaient les escroqueries aux péages routiers, suivies par les faux messages de livraison. Beaucoup de ces escroqueries utilisaient le kit de phishing Darcula.Les URL frauduleuses renvoient aussi les victimes vers des sites Web compromis par des malwares tels Ia générative, qui est un chargeur de code JavaScript vérolé. Bien entendu, l’expéditeur des URL est légitime ou paraît l’être. Il s’agit, par exemple, de fausses alertes de mise à jour du navigateur.
Les solutions passent une meilleure information des utilisateurs
Un des points saillants du rapport de Proofpoint est le détournement d’outils de surveillance et de gestion à distance et d'accès à distance. Des solutions légitimes et légales couramment utilisées par les équipes IT.Les attaques évoquées dans le rapport ne se limitent pas aux seules boîtes de réception, mais concernent aussi les applications de collaboration et de communication, ainsi que les outils SaaS. « Se défendre contre ces menaces nécessite donc une détection multicouche basée sur l'IA et une stratégie de sécurité centrée sur l'humain. » déclare Matt Cooke, stratège en cybersécurité, EMEA chez Proofpoint.
