Presque toutes les cyberattaques par email réussies exigent que la cible ouvre des fichiers, clique sur des liens ou effectue une autre action.
Alors qu’une infime fraction des attaques repose sur des kits d’exploitation et des vulnérabilités logicielles connues pour compromettre les systèmes, la grande majorité des campagnes, 99%, nécessitent un certain niveau d’intervention humaine pour être exécutées. Ces interactions peuvent également activer des macros, ce qui permet d’exécuter du code malveillant.
Cette conclusion est tirée du rapport annuel de Proofpoint sur les facteurs humains, un document basé sur 18 mois de données recueillies auprès des clients de l’entreprise de cybersécurité.
Des attaques de plus en plus sophistiquées
Il semble parfois facile de blâmer les utilisateurs d’être victimes d’attaques de phishing, mais les campagnes sont de plus en plus sophistiquées. Il est souvent difficile de distinguer un courriel malveillant d’un courriel ordinaire parce que les attaquants adapteront les attaques pour qu’elles aient l’air de provenir d’une source fiable, comme les fournisseurs de services cloud comme Microsoft ou Google, des collègues ou même d’un patron.
Cette ingénierie sociale est l’élément clé dans la conduite des campagnes : le rapport affirme même que les attaquants imitent les routines des entreprises pour assurer les meilleures chances de succès.
Par exemple, un utilisateur peut se méfier d’un courriel qui prétend provenir d’un collègue arrivé au milieu de la nuit, mais s’il arrive au milieu de la journée de travail, il est plus susceptible d’être traité comme un courriel légitime, avec la possibilité que la victime déclenche accidentellement le processus d’une attaque.
L’hameçonnage est l’une des cyberattaques les moins chères et les plus faciles à déployer pour les criminels, mais la raison pour laquelle il demeure une pierre angulaire des campagnes de piratage est que, en termes simples, l’hameçonnage fonctionne.
« Les cybercriminels ciblent agressivement les gens parce que l’envoi de courriels frauduleux, le vol de justificatifs d’identité et le téléchargement de pièces jointes malveillantes vers des applications cloud sont plus faciles et beaucoup plus rentables que la création d’un exploit coûteux et long qui a une forte probabilité de défaillance » déclare Kevin Epstein, vice-président des opérations des menaces chez Proofpoint.
Détecter les campagnes d’hameçonnage
Bien que de nombreuses attaques d’hameçonnage soient conçues pour avoir l’air très légitimes, il existe des moyens d’identifier ce qui pourrait être une attaque malveillante.
Par exemple, les courriels inattendus fondés sur un sentiment d’urgence pourraient être considérés comme suspects. En cas de doute, l’utilisateur peut contacter l’expéditeur présumé du message pour voir s’il s’agit d’un message légitime.
Il convient également de noter que les fournisseurs de services dans le cloud comme Microsoft et Google ne demanderont pas aux utilisateurs de cliquer sur des liens inattendus pour entrer leurs informations d’identification et autres informations. Si un utilisateur se méfie d’une URL de connexion supposée, il peut contourner le lien en s’adressant directement au fournisseur lui-même et en y entrant ses coordonnées.
Les entreprises doivent également s’assurer que les mises à jour logicielles et les correctifs de sécurité sont régulièrement appliqués, de sorte qu’en cas de clic accidentel sur un lien, les logiciels malveillants qui reposent sur des vulnérabilités connues ne peuvent fonctionner.