La dernière étude sur le Phishing de Sophos confirme que cette technique reste toujours aussi prisée des cybercriminels. Les attaques par phishing ciblant les entreprises ont drastiquement augmenté pendant la pandémie.
Les informations publiées dans le rapport intitulé « Phishing Insights, 2021 » sont désolantes : année après année, le phishing reste toujours une technique privilégiée par les pirates pour récupérer entre autres des données sensibles. Pas d’accalmie…
Selon Sophos Rapid Response, les attaquants envoient souvent des e-mails de phishing pour inciter les utilisateurs à installer des logiciels malveillants ou à partager leurs identifiants afin d’avoir accès au réseau de l’entreprise.
L’équipe Rapid Response de Sophos a pu directement constater qu’un e-mail apparemment inoffensif pouvait aboutir à une attaque par ransomware, dont le coût s’élevait à plusieurs millions de dollars. Une attaque de phishing peut également ouvrir la voie au cryptojacking ou au vol de données – voire d’argent.
Reposant sur les réponses de 5 400 personnes de 30 pays, voici les trois principales conclusions :
- 70 % des équipes IT interrogées estiment que le nombre d’e-mails de phishing reçus par les collaborateurs a augmenté en 2020
- Cette hausse concerne également 82 % des entreprises touchées par une attaque par ransomware au cours de l’année
- Les professionnels de l’informatique ne parviennent pas à s’accorder sur une définition unique du phishing
L’acception la plus courante du terme phishing, sélectionnée par 57 % des répondants, est qu’il s’agit « d’e-mails qui prétendent provenir d’une source légitime et qui s’accompagnent généralement d’une menace ou d’une demande d’information ».
46 % d’entre eux considèrent les attaques liées à la compromission d’emails (Business Email Compromise) comme du phishing et plus d’un tiers (36 %) estiment que le threadjacking (lorsque les attaquants s’insinuent dans un fil d’e-mails légitime dans le cadre d’une attaque) en fait également partie.
La majorité (90 %) des entreprises mettent en place des programmes de sensibilisation à la cybersécurité pour lutter contre le phishing. Toutefois, à la lumière des résultats de l’étude, les programmes de sensibilisation et d’éducation au phishing doivent prendre en compte la large gamme de définitions du phishing et inclure des formations à destination des collaborateurs n’ayant pas un profil technique.
« Le phishing existe depuis plus de 25 ans et représente encore de nos jours une technique de cyberattaque efficace. L’une des raisons de son succès réside dans sa capacité à évoluer et à se diversifier continuellement. En effet, les attaques sont conçues sur mesure en fonction des sujets de préoccupation actuels, comme la pandémie, et manipulent les émotions ou abusent de la confiance des personnes ciblées », précise Chester Wisniewski, chercheur chez Sophos.