Des cybercriminels profitent d'employés occupés pour voler des informations d'identification, de l'argent et des données.
Il ne faut que quelques minutes aux cybercriminels pour appâter une victime de phishing parmi vos employés, puis tirer parti de ce succès pour lancer une cyberattaque plus large contre votre entreprise. L'histoire est la suivante :
1. Choisir les victimes : Un cybercriminel lance une campagne de phishing auprès de destinataires d'e-mails aléatoires (souvent obtenus à partir d'une violation de données antérieure) ou ciblant une entreprise ou un secteur spécifique. Dans ce cas, un employé de ABC Peinture est ciblé au hasard par un e-mail de phishing.
2. Préparer l'appât : L'employé, Pauline, ouvre l'e-mail de phishing et voit un message convaincant concernant un document à télécharger à partir d'une application de partage de fichiers bien connue. Ce message est convaincant car Pauline utilise l'application pour partager des documents au sein de l'entreprise et à l'extérieur avec les clients de l'entreprise. L'e-mail inclut la marque de l'application pour lui donner une apparence légitime. De plus, l'expéditeur semble être son patron, ce qui est une technique appelée spear phishing, un e-mail malveillant qui usurpe l'identité d'une personne dans le but d'inciter le destinataire à effectuer une action souhaitée.
3. Piéger la cible : Pauline est incroyablement occupée ce jour-là et clique sur le lien malveillant pour pouvoir faire face à cette dernière interruption de son emploi du temps déjà surchargé. Le lien l'amène sur un faux site Web où il lui est demandé de saisir ses identifiants de connexion. Elle les saisit et ouvre le document, qui contient un logiciel malveillant caché.
4. Entreprendre des actions malveillantes : Le logiciel malveillant se télécharge sur son appareil, puis se propage rapidement sur le réseau de l'entreprise ABC Peinture, permettant au cybercriminel de voler des identifiants et des données sensibles au passage. À un moment donné de l'attaque, des notes de rançon commencent à s'afficher sur les écrans des employés et les opérations s'arrêtent.
Le phishing est une menace plus importante que jamais
Selon l'Anti-Phishing Working Group (APWG), environ 200 000 nouveaux sites de phishing apparaissent chaque mois, et les campagnes se font passer pour plus de 500 marques et entités différentes par mois. Le rapport du groupe sur les tendances de l'activité de phishing révèle que le nombre d'attaques de phishing a doublé en 2020. Les attaques ont atteint un pic en octobre 2020, avec un record de 225 304 nouveaux sites de phishing apparus au cours de ce seul mois.
Selon le cabinet de conseil Deloitte, 91 % de toutes les cyberattaques commencent par un courriel de phishing adressé à une victime peu méfiante. Les campagnes de phishing usurpent l'identité de fournisseurs de services de messagerie et de partage de fichiers, se font passer pour des vendeurs ou des demandeurs d'emploi, se font passer pour des institutions financières, et bien d'autres choses encore, afin d'obtenir des identifiants de connexion, de voler de l'argent et des données, et de prendre en otage des entreprises, leurs systèmes et leurs données.
Pourquoi le phishing fonctionne encore
Nous savons tous qu'il ne faut jamais cliquer sur les liens ou ouvrir les pièces jointes des courriels douteux. Pourtant, le phishing reste un vecteur d'attaque lucratif pour les mauvais acteurs.
Cela s'explique par le fait que les attaquants sont devenus plus habiles à usurper l'identité de personnes et à tirer parti de nos vies professionnelles chargées. En tant qu'êtres humains, nous sommes susceptibles de faire des erreurs de jugement momentanées parce que nous jonglons avec diverses applications telles que les chats de groupe, les vidéoconférences, les courriers électroniques et d'autres intrusions dans notre concentration sur des tâches professionnelles normales. Un courriel d'hameçonnage qui semble s'intégrer dans un flux de travail chargé peut se glisser dans un moment de multitâche.
La perte de données est le principal impact
Une fois qu'une victime de phishing a mordu à l'hameçon, l'acteur malveillant peut faire plusieurs choses :
- Contrôler l'appareil de la victime à l'aide d'un logiciel malveillant.
- Obtenir l'accès aux informations d'identification d'un compte en vue d'un vol de données ou d'argent
- Accéder aux e-mails et aux contacts de la victime pour cibler davantage les dirigeants de l'entreprise ou d'autres employés.
- Diffuser des logiciels malveillants, y compris des ransomwares, à d'autres appareils sur le même réseau.
- Accéder à d'autres systèmes, données ou propriétés intellectuelles de l'entreprise.
Lorsqu'une campagne de phishing réussie se transforme en cyberattaque, l'impact sur l'entreprise peut être dévastateur. Une enquête récente indique que la perte de données est le résultat le plus fréquent d'une attaque de phishing réussie, citée par 60 % des personnes interrogées. La compromission de comptes ou d'informations d'identification est le deuxième impact le plus important, mentionné par 52 % des personnes interrogées, suivi de près par les infections par ransomware (47 %).
Protection contre les attaques de phishing
Pour protéger votre entreprise contre les dommages causés par une attaque de phishing réussie, il est préférable d'adopter une approche à plusieurs volets. Premièrement, fournissez régulièrement aux employés une formation et des informations sur la lutte contre le phishing afin de les aider à reconnaître les campagnes de phishing et à éviter d'en être victimes.
Deuxièmement, partez du principe que des erreurs se produiront toujours et que quelqu'un au sein de l'entreprise cliquera accidentellement sur un lien malveillant, ouvrira une pièce jointe malveillante ou fournira des informations de connexion à un faux site Web. Pour limiter les dégâts d'une tentative de phishing réussie, assurez-vous que votre logiciel anti-spam et votre antivirus sont à jour sur les appareils des employés.
Troisièmement, sécurisez le trafic sur votre réseau afin de réduire davantage le risque de phishing. Avast Secure Web Gateway (SWG) bloque les tentatives de phishing en analysant et en bloquant les mauvais sites, ainsi qu'en empêchant les téléchargements malveillants et les URL malveillantes connues d'entrer sur le réseau.
Pour savoir comment éviter d'être victime d'une campagne de phishing, ne manquez pas de consulter notre dernier article.
NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com
Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.