Presque toutes les attaques par courriel réussies exigent que la cible ouvre des fichiers, clique sur des liens ou effectue une autre action.
Alors qu’un certain nombre des attaques repose sur des kits d’exploitation et des vulnérabilités logicielles connues pour compromettre les systèmes, 99% des attaques par courriel nécessitent un niveau d’intervention humaine pour être exécutées. Ces interactions peuvent également activer des macros, ce qui permet d’exécuter du code malveillant.
Ces statistiques sont tirées du rapport annuel de Proofpoint sur les facteurs humains, un document basé sur des données recueillies sur 18 mois auprès des clients des entreprises de cybersécurité.
Il semble parfois facile de blâmer les utilisateurs d’être victimes d’attaques de phishing, mais les campagnes sont de plus en plus sophistiquées. Pour les utilisateurs normales, il est souvent difficile de distinguer un courriel malveillant d’un courriel ordinaire parce que les attaquants adapteront les attaques pour qu’elles aient l’air de provenir d’une source fiable, comme Microsoft ou Google, des collègues ou même le patron.
Cette technique d’ingénierie sociale est l’élément clé dans la conduite des campagnes d’attaques: le rapport affirme même que les attaquants imitent les routines des entreprises pour assurer les meilleures chances de succès.
Par exemple, un utilisateur peut se méfier d’un courriel qui prétend provenir d’un collègue arrivé au milieu de la nuit, mais qui arrive au milieu de la journée de travail est plus susceptible d’être traité comme un courriel légitime, avec la possibilité que la victime déclenche accidentellement le processus d’une attaque.
Le Phishing est l’une des techniques de cyber-attaque les moins chères et les plus faciles à déployer pour les criminels.
“Les cybercriminels ciblent agressivement les gens parce que l’envoi de courriels frauduleux, le vol de justificatifs d’identité et le téléchargement de pièces jointes malveillantes vers des applications sur le Cloud sont plus faciles et beaucoup plus rentables que la création d’un exploit coûteux et long qui a une forte probabilité de défaillance,” déclare Kevin Epstein, vice-président des opérations des menaces chez Proofpoint.
“Plus de 99% des cyber-attaques reposent sur l’interaction humaine. Pour réduire considérablement les risques, les organisations ont besoin d’une approche holistique de la cybersécurité centrée sur les personnes, qui comprend une formation efficace de sensibilisation à la sécurité et des défenses à plusieurs niveaux”, il a ajouté.
Bien que de nombreuses attaques de Phishing soient conçues pour avoir l’air très légitimes, il existe des moyens d’identifier ce qui pourrait être une attaque malveillante.
