Il y a bien longtemps que la relation de confiance entretenue par les utilisateurs avec les systèmes numériques qu’ils utilisent, à fortiori les systèmes professionnels, est de l’histoire ancienne. Alertés par plusieurs compromissions retentissantes, les entreprises et leurs employés sont devenus plus méfiants, ce qui oblige les acteurs de la menace à modifier leurs méthodes. Toutefois, entre la crédulité totale et la méfiance systématique, les collaborateurs ont du mal à se débarrasser de l’idée qu’un courriel aux couleurs d’un fournisseur connu est généralement sûr, ou qu’une adresse de courriel correspond toujours au site web de la marque à laquelle il renvoie.
C’est ce que révèle la dernière étude, State of the Phish, publiée par Proofpoint. Pour la neuvième année consécutive, Proofpoint a interrogé 7 500 adultes actifs
et 1 050 professionnels de la sécurité informatique dans 15 pays. Les conclusions de l’étude reposent en outre sur l’analyse de plus de 600 000 attaques TOAD par jour, ces courriels qui invitent à engager une conversation directe avec leurs attaquants, via de faux centres d’appels.
Des scénarios d’attaques sophistiqués
Les attaques TOAD (Telephone Oriented Attack Delivery) sont des attaques dont la sophistication se caractérise par un scénario d’attaque sophistiquée, et qui repose sur les faiblesses humaines des deux extrêmes comme la bonté ou l’avidité. Ces attaques sont plus complexes à monter, car elles peuvent faire intervenir plusieurs étapes et supports numériques. Elles font généralement appel au téléphone, au courrier électronique, aux faux centres d’appels et à des applications mobiles sophistiquées. L’objectif des escrocs est démystifier la victime en s’appuyant sur des scénarios basés sur des causes charitables ou sur les petites annonces. En 2022, de nombreuses alertes ont été émises par les organismes de cybersécurité mettant en garde contre des escroqueries aux offres d’emploi ou des dons aux étudiants dans la précarité.L’étude révèle ainsi que pour contourner la méfiance de leurs victimes, les acteurs de la menace mélangent le recours à des tactiques éprouvées, ainsi qu’à l’utilisation de nouvelles méthodes bien plus sophistiquées. L’enquête montre que parmi les organismes ayant subi des tentatives d’hameçonnage par courriel, plus de huit organisations françaises sur 10 (86 %) ont connu au moins une tentative d’attaque réussie l’an dernier, avec pour conséquences des pertes financières directes dans 19 % des cas.
1 600 campagnes impliquant des détournements de marque
Tandis que l’usurpation d’identité, la compromission de messagerie professionnelle (BEC) et les attaques par rançongiciels restent des tactiques populaires chez les acteurs de la menace. En 2022, les entreprises de cybersécurité ont constaté une évolution inquiétante. Les cybercriminels ont eu recours à des méthodes d’attaque complexes, de plus longue haleine et plus patientes, destinées à infiltrer et infecter les organisations.Par exemple, en 2022, Proofpoint a observé près de 1 600 campagnes impliquant des détournements de marque au niveau mondial. Alors que Microsoft était la marque la plus détournée avec plus de 30 millions de messages utilisant son image ou son logo, ou présentant un produit tel qu’Office ou OneDrive, d’autres entreprises comme Google, Amazon, DHL, Adobe et DocuSign subissent aussi l’usurpation et le détournement de leur marque. Mais avec les attaques AitM (Adversary-in-the-Middle) qui affichent la véritable page de connexion de l’organisation à l’utilisateur, dans de nombreux cas Microsoft 365, la marque est la plus détournée.
Les attaques par hameçonnage et AitM font référence à des attaques dans lesquelles les acteurs de la menace placent un serveur proxy entre le site web de l’utilisateur cible et le site web piégé. Les attaquants peuvent ainsi accéder au trafic via ce serveur proxy, ce qui leur permet de capturer le mot de passe et les cookies associés à la cible et d’accéder à ses données.
Une menace omniprésente
Compte tenu du volume d’attaques par usurpation de marque, il est quelque peu alarmant de constater qu’encore un tiers (34 %) des employés français interrogés estiment qu’un courriel est sûr lorsqu’il contient le nom d’une marque connue dans l’adresse, et que 63 % considèrent qu’une adresse de courriel correspond toujours au site web de la marque à laquelle il est rattaché. Il n’est pas surprenant de constater que la moitié des dix modèles de simulation d’hameçonnage les plus utilisés par les clients de Proofpoint étaient liés à l’usurpation d’identité d’une marque, qui avait également tendance à avoir des taux d’échec élevés. Toutefois, comparés aux autres pays inclus dans cette étude, les résultats spécifiques à la France indiquent une certaine maturité des organisations hexagonales quant à leur cyberrésilience.Au cours de l’année dernière, des centaines de milliers de messages d’hameçonnage, de
« callback » et de contournement par téléphone (TOAD) d’authentification multifactorielle (MFA) ont été envoyés chaque jour, en nombre suffisant pour devenir une menace omniprésente pour presque toutes les organisations. À son point le plus haut, Proofpoint a suivi plus de 600 000 attaques TOAD par jour — ces courriels qui invitent leurs destinataires à engager une conversation directe avec leurs attaquants, par le biais du téléphone, via de faux centres d’appels — et ce nombre n’a cessé d’augmenter depuis la première application technique à la fin de 2021.