Les courriels d’hameçonnage restent un outil efficace pour les cybercriminels. Ils utilisent des techniques d’ingénierie sociale et psychologique sophistiquées pour exploiter les failles humaines. Ils créent des courriels qui semblent provenir de sources fiables tels que des institutions financières, des fournisseurs de services, l’employeur ou même des collègues de travail. Il s’agit avant tout de renforcer la crédibilité perçue de ces messages, pour inciter la victime à se conformer à des demandes frauduleuses.
Pour ce faire, les cybercriminels se font souvent passer pour des figures d’autorité ou des institutions de confiance, comme des banques, des services gouvernementaux ou des employeurs, pour masquer leurs stratagèmes. Les victimes sont plus susceptibles de répondre à des instructions provenant de sources perçues comme légitimes. Cette confiance accordée aux figures d’autorité est profondément ancrée dans la psychologie humaine et constitue une vulnérabilité humaine de choix pour les escrocs.
Les cybercriminels utilisent de plus en plus l’IA
D’après une étude publiée par KnowBe4, le fournisseur de plateforme de formation, de sensibilisation à la sécurité, et de simulation d’hameçonnage, les tendances observées sont plutôt inquiétantes. Les cybercriminels utilisent de plus en plus l’intelligence artificielle pour améliorer leurs tactiques, ce qui conduit à des courriels plus sophistiqués et convaincants, et moins détectables. Cette tendance devrait augmenter le volume et l’impact des cyberattaques, principalement de l’hameçonnage, estime le rapport.La méthodologie de cette étude de benchmarking repose sur une analyse d’un ensemble de données de la plateforme KnowBe4, couvrant plus de 54 millions de tests d’hameçonnage simulés, réalisés sur plus de 11,9 millions d’utilisateurs provenant de 55 675 organisations dans 19 industries différentes à travers le monde.
Le rapport indique une augmentation significative des attaques par hameçonnage d’une année sur l’autre dans tous les secteurs. En 2023, le Centre de plainte pour la cybercriminalité du FBI (IC3) a signalé 880 418 plaintes liées à la cybercriminalité, ce qui représente une augmentation de 10 % des plaintes et une augmentation de 22 % des pertes financières par rapport à 2022, dépassant 12,5 milliards de dollars. En plus de leur augmentation, celles-ci sont plus efficaces.
Les sujets RH sont les plus dangereux
Parmi les courriels d’hameçonnage les plus efficaces, ceux qui sont relatifs à des sujets RH sont les plus susceptibles d’être cliqués. L’erreur humaine a été un facteur contributif dans 68 % des cas de violations de données, souvent par des actions accidentelles, de l’ingénierie sociale ou l’utilisation de données d’identification volées.Les chercheurs de KnowBe4 ont identifié les sujets de courriels d’hameçonnage les plus courants à l’échelle mondiale. « Ces sujets sont particulièrement efficaces pour tromper les utilisateurs, car ils semblent souvent légitimes et urgents », expliquent-ils. Voici le classement des sujets des courriels d’hameçonnage, accompagnés de leur poids en pourcentages dans l’ensemble des attaques :
1 - Adobe Sign : votre bilan de performance (13 %)
Ce sujet attire l’attention des employés en lien avec leurs évaluations de performance, incitant à ouvrir le courriel.2 - RH : mise à jour de la politique des vacances (13 %)
Les mises à jour concernant les politiques de vacances sont susceptibles d’intéresser les employés, surtout en période de congés.3 - Vérification du mot de passe requise immédiatement (13 %)
Les alertes de sécurité concernant les mots de passe créent un sentiment d’urgence, poussant les utilisateurs à agir rapidement.4 - RH : important, modifications du code vestimentaire (12 %)
Les changements de code vestimentaire peuvent sembler importants pour les employés, les incitant à consulter le courriel.5 - RH : veuillez mettre à jour le dossier fiscal (11 %)
Les demandes de mise à jour de documents fiscaux sont souvent perçues comme urgentes et nécessaires.6 - IT : rapport Internet (9 %)
Les rapports informatiques peuvent susciter l’intérêt des employés, en particulier ceux qui sont soucieux de leur utilisation d’Internet.7 - Validez votre évaluation (7 %)
Les rappels concernant les évaluations de performance peuvent inciter les employés à ouvrir le courriel pour obtenir des informations sur leur performance.8 - Remboursement des frais de [courriel de l’employé] (6 %)
Les remboursements de frais peuvent sembler légitimes et urgents, incitant les employés à agir rapidement.9 - Veuillez consulter les documents fiscaux (6 %)
Les demandes de révision de documents fiscaux peuvent sembler importantes, surtout en période de déclaration d’impôts.10 - Rapport d’activité (6 %)
Les rapports d’activité peuvent susciter l’intérêt des employés, les incitant à ouvrir le courriel pour en savoir plus.Ces sujets de courriels d’hameçonnage ont majoritairement trait à des préoccupations majeures chez les employés. La prédominance des sujets RH permet de tromper les employés en exploitant les préoccupations et les responsabilités des employés vis-à-vis de leur entreprise, les poussant à agir sans réfléchir.
Sensibilisation : un changement de paradigme s’impose
Ces chiffres illustrent la menace croissante des attaques par hameçonnage et l’importance de mesures proactives pour améliorer la sensibilisation à la sécurité et la formation au sein des organisations. « Pour relever ce défi, expliquent les rédacteurs du rapport, un changement de paradigme s’impose. Plutôt que de considérer les employés comme des faiblesses inhérentes, les organisations devraient leur donner les moyens de participer activement à la lutte contre la cybercriminalité ».Cela peut se faire par la mise en œuvre d’une stratégie proactive et persistance de sensibilisation à la sécurité qui va au-delà d’une simple formation à la conformité. « Cette nouvelle approche met l’accent sur la formation continue, les tests et la communication pour s’assurer que les employés possèdent les connaissances et les compétences nécessaires pour lutter efficacement contre les cybermenaces. Alors qu’ils lancent de plus en plus d’attaques d’ingénierie sociale, les cybercriminels parient sur le fait que les employés n’auront pas les connaissances, l’attention et l’énergie nécessaires pour les contrecarrer ». Après tout, il suffit qu’un employé soit trop stressé, distrait ou mal éduqué pour que les acteurs malveillants puissent entrer dans l’enceinte numérique.