1er trimestre 2022 : record absolu du nombre d’attaques de phishing

Pour la première fois de l’histoire, on a dénombré plus d’un million d’attaques de phishing – exactement 1 025 968 – au premier trimestre de cette année. Et rien qu’au mois de mars, on en a recensé 384 291, un record pour un mois.

C’est la conclusion de l’Anti-Phishing Working Group (APWG), un organisme émanant de près de 2.200 organisations d’horizons variés (ONG, institutions, organisations du secteur de la cybersécurité, instances policières, firmes du “Big-Tech” dont Facebook, Microsoft, Cisco, Salesforce, PayPal, Symantec, McAfee, Avast, Cloudflare, etc.).

Les emails de phishing destinés à voler les identifiants d’entreprises ont particulièrement augmenté (7 % de hausse) et ils représentent désormais 59 % du total.

Si vous êtes une société, vous voilà donc avertie : vous êtes une cible de choix pour les cybercriminels qui pratiquent le phishing.

Les banques et les éditeurs de logiciels, mais pas seulement

Dans son rapport, l’APWG indique que près d’un quart (23,6 % précisément) de ces attaques de phishing ont été lancées contre des banques ou des établissements financiers. Les éditeurs de logiciels en mode cloud (SaaS) et de logiciels de messagerie électronique ont aussi été particulièrement visés.

L’organisation note aussi un bond du nombre de tentatives lancées contre des médias sociaux, qui ont représenté 12,5 % de toutes les attaques au cours de ce premier trimestre, contre 8,5 % au trimestre précédent. Enfin, les pirates ciblent également les plateformes d’échange et de conservation des cryptomonnaies.

Qu’est-ce que le phishing ?

Définition du phishing

Le phishing (ou hameçonnage) est la technique qui consiste à tenter de convaincre un correspondant de faire quelque chose (communiquer des identifiants, livrer des informations confidentielles, effectuer un virement, télécharger un fichier, ou cliquer sur un lien), au moyen d’un email trompeur destiné à abuser de sa confiance.

Les objectifs du phishing

Les cybercriminels pourront ensuite tirer parti de cette action :

  • Ils pourront se connecter sur le compte bancaire des victimes pour leur voler de l’argent ;
  • Alternativement, ils usurperont son identité pour se connecter en son nom à des réseaux sociaux afin de poster des messages destinés à les discréditer.
  • Ils pourront aussi revendre leurs données personnelles ou les informations confidentielles obtenues sur des plateformes du dark web ou des concurrents, par exemple.
  • La victime pourra cliquer sur un lien ou un fichier provoquant le téléchargement d’un logiciel malveillant. Un keylogger permettra au cybercriminel de connaître toutes les touches saisies sur le clavier de la victime (pratique pour connaître les identifiants de connexion) ou un logiciel espion qui prendra le contrôle de la caméra et du micro pour mettre la cible sur écoute, par exemple.
  • Enfin, le phishing est aussi la porte d’entrée de la plupart des attaques de ransomwares (rançongiciels). Les pirates adressent un email de phishing à leur victime, contenant une pièce jointe infectée par un malware, ou un lien vers un site factice qui déclenchera le téléchargement du rançongiciel sans que la victime ne s’en rende compte.

Le rançongiciel se déploie ensuite dans le système informatique de la victime. Il code une partie ou la totalité des fichiers pour les rendre inexploitables. Les pirates sont alors en position de réclamer une rançon contre la transmission d’une clé qui permettra de débloquer le système informatique et de le rendre de nouveau opérationnel.

La confiance de la victime

Pour parvenir à obtenir la confiance de leur victime, les pirates peuvent usurper l’identité d’une personne ou d’un organisme qu’elle connaît bien.

  • Par exemple, ils peuvent adresser un email au client d’une banque en imitant les messages que cette dernière adresse à ses clients (logo, police de caractères), pour lui réclamer ses identifiants de connexion.
  • Ils peuvent aussi imiter un message de collecte de dons émanant d’une organisation humanitaire pour profiter de la générosité de leur cible. Dans les formes les plus élaborées, ils auront pris soin de créer un site factice simulant le site officiel de cette banque ou de cette ONG pour amener le client à croire qu’il se connecte réellement au site de cette organisation.
  • Ils peuvent exploiter les liens hiérarchiques et l’autorité, en se faisant passer pour un responsable ordonnant qu’un virement soit effectué de toute urgence pour un nouveau fournisseur.
  • Enfin, les cybercriminels utilisent parfois aussi l’effet d’aubaine, en faisant miroiter à leur cible qu’elle pourra obtenir un gain important (grosse somme d’argent, smartphone à gagner, etc.) en livrant des informations personnelles ou bancaire, ou en cliquant sur un lien.

C’est notamment ce stratagème qui est mis en œuvre dans ce que l’on nomme les “Nigerian Letters”, auxquelles vous avez sûrement été déjà confronté.

Dans ce type de phishing, les escrocs (souvent établis au Nigeria, d’où l’appellation de cette arnaque) adressent un email réclamant l’intervention d’un particulier pour débloquer une énorme somme d’argent prétendument bloquée dans une banque à l’étranger. L’email précise que l’aide apportée sera rétribuée par un pourcentage significatif de la somme en question.

Malheur à la personne trop candide qui leur fournira ses identifiants bancaires, comme demandé…

Les différentes formes de phishing

Les pirates ne manquent jamais de créativité, et le phishing se décline en plusieurs variantes qu’il est important de connaître :

  • Le Vishing. Dans cette forme de phishing, les escrocs contactent leur victime par téléphone (vishing est un mot-valise composé du “v” de voix (voice en anglais) et du mot phishing. Ils pourront par exemple lui expliquer qu’ils ont été chargés d’auditer son poste de travail à des fins de maintenance, et qu’elle doit leur communiquer tous ses identifiants de connexion.
  • Le smishing. C’est une attaque de phishing lancée au moyen d’un SMS.
  • Le Spear phishing. Cette forme de phishing n’est pas lancée en masse, au hasard, dans l’espoir de tromper une personne crédule, comme la plupart des autres formes de phishing. Au contraire, l’attaque vise une personne particulière, souvent un responsable ou une personne dotée de prérogatives importantes lui donnant accès à des informations ou des comptes très convoités (spear est la lance, le harpon, que l’on lance pour attraper un seul poisson). Elle est aussi soigneusement préparée à l’avance. Les cybercriminels vont rassembler le plus d’informations possible afin de bien connaître leur victime et de préparer le message le plus crédible possible. Le spear phishing pourra par exemple être employé pour cibler un comptable, afin de lui ordonner d’effectuer un virement.
  • Le Whaling. En anglais, whale signifie “baleine”, mais cela correspond plus à ce que nous appelons chez nous un “gros poisson”, c’est-à-dire, une personne très haut placée dans la hiérarchie d’une organisation, ou très influente. Ce type de phishing cible donc spécifiquement ces personnes très puissantes, telles que des PDG, ou des responsables financiers. Là aussi, les attaques seront soigneusement préparées.

Comment déjouer une attaque de phishing ?

Beaucoup d’entre nous se sentent capables d’identifier une tentative de phishing, parce ce la plupart du temps, ce que nous avons en tête, ce sont ces emails improbables souvent truffés de fautes nous promettant un gain d’argent ou d’un cadeau de choix.

Mais il faut bien comprendre que les pirates sont passés à la vitesse supérieure, et que les emails de phishing d’aujourd’hui sont souvent bien plus élaborés. Ils peuvent copier à la perfection les codes de correspondance des banques, des institutions étatiques, ou de votre employeur.

La crise sanitaire leur a donné de très nombreuses opportunités pour adresser des messages trompeurs afin d’obtenir des données personnelles et des identifiants de connexion. Ils ont pu se faire passer pour le gouvernement ou l’assurance maladie et abuser de la confiance des internautes.

Souvent, les pirates auront également pris soin de créer un site factice très bien imité pour leurrer leur victime et l’amener à y laisser ses identifiants de connexion.

Soyez extrêmement vigilant

  • Prenez l’habitude de mettre en doute tout email émanant d’une organisation de confiance telle que votre banque, Paypal, ou votre assurance maladie.
  • De même, soyez vigilants avec les SMS qui semblent concerner une livraison de colis en cours, par exemple, ou vous demandent d’agir “de toute urgence” pour débloquer une situation.
  • Examinez scrupuleusement l’adresse email de l’expéditeur. S’agit-il de la même adresse que celle des courriers que vous recevez habituellement de cet expéditeur ? La moindre différence doit vous alerter.
  • Si l’email contient un lien, survolez-le avec votre souris sans cliquer dessus. L’adresse URL vers laquelle ce lien pointe s’affichera alors en bas à gauche de votre écran. Vous pourrez donc vérifier s’il s’agit d’un lien de confiance.
  • Si l’email vous fournit un lien pour vous connecter à une page sur laquelle vous vous rendez régulièrement, n’employez pas le lien fourni. Reprenez votre méthode habituelle de connexion à ce site.
  • Soyez particulièrement méfiant avec les pièces jointes. Un fichier Microsoft peut contenir des macros, c’est-à-dire, des programmes qui peuvent se déclencher au moment de l’ouverture du fichier. La présence de ces macros vous est en général signalée par votre logiciel de messagerie. Dans ce cas, prenez la précaution de contacter l’expéditeur de l’email pour vous assurer que ce message provient bien de lui et que vous pouvez sans risque prendre connaissance des fichiers qu’il contient.
  • Faites de même si l’extension du fichier ne vous est pas familière (.doc, .xls, .pdf ou .jpeg, par exemple).
  • Formez-vous et formez vos collaborateurs pour apprendre à détecter les arnaques par phishing et les autres cybermenaces.
  • Formez-les également à utiliser des mots de passe forts et uniques pour chaque application utilisée ou site consulté.
  • Effectuez régulièrement de bonnes sauvegardes de vos fichiers et applications. N’oubliez pas vos données et fichiers sur le cloud, en particulier vos applications Microsoft 365, qui ne sont pas sauvegardées par l’éditeur. Si vous ne l’avez pas encore fait, téléchargez notre guide pour apprendre à réaliser des sauvegardes vraiment exploitables.
  • Accordez les prérogatives (privilèges) informatiques de manière personnalisée à vos collaborateurs. Chacun ne doit avoir accès qu’aux outils dont il se sert au quotidien, et pas forcément à l’ensemble du système informatique de votre entreprise. Au besoin, faites réaliser un audit par un prestataire qualifié pour définir des règles d’attributions.
  • Mettez en place la double authentification et le chiffrement des données dès que vous en avez la possibilité. Quand vous avez le choix, optez pour les logiciels ou applications chiffrés.
  • Enfin, et c’est le plus important, préparez-vous pour permettre à votre entreprise de surmonter plus sereinement toute cyberattaque. Dotez-vous d’un plan de reprise des activités qui vous donnera la marche à suivre pour limiter les conséquences de toute attaque de phishing et favoriser une reprise rapide de vos activités opérationnelles.

Se faire accompagner pour plus d’efficacité

Tout cela vous semble trop contraignant, ou trop compliqué ? Ne commettez pas l’erreur de reporter l’étude de ces questions, au risque de faire de votre entreprise une cible de choix des pirates, parce que vous aurez négligé l’aspect sécurité. Déléguez ces tâches en faisant appel à un spécialiste de la cybersécurité.

Youtell est un acteur réunionnais labellisé ExpertCyber par Cybermalveillance.gouv.fr, un organisme gouvernemental de lutte contre les cybermenaces. Confiez-nous dès à présent le soin de mettre en place les mesures essentielles pour sécuriser votre entreprise et concentrez-vous sur votre cœur de métier en toute sécurité !

Vous êtes à la recherche d'accompagnement pour votre entreprise ?