PR
16 décembre 2021 / Approfondissement

2021 Phishing Intelligence Report : à quoi ressemblait le phishing en 2021 ?

2021 est déjà une année mouvementée, et cela se voit, entre autres, dans les statistiques de phishing. Phished as réexaminé la question : quels sont les messages qui amènent le plus de gens à se faire prendre ? Comment ont-ils traité les messages de phishing ? Comment la Belgique se situe-t-elle par rapport à une moyenne mondiale ? C’est un fait que les gens ont besoin d’une formation approfondie et répétée pour rester armés contre le phishing.


Attachments
  • 1 Belge sur 4 remplit des informations personnelles sur une fausse page d’accueil
  • Le « vishing » et le « smishing » auront un impact encore plus grand l’année prochaine
  • Les invitations de calendrier non désirées et les fraudes basées sur les codes QR seront au centre des préoccupations en 2022.

L’hameçonnage demeure un sujet sensible qui ne cesse de prendre de l’ampleur. La crise de Corona as évidemment un rôle important à jouer dans ce domaine, mais cela va plus loin : le phishing est tout simplement de plus en plus persuasif, ce qui fait qu’il est difficile pour un nombre croissant de personnes de distinguer ces messages d’une communication légitime.

Communication gouvernementale

En 2020, la crise mondiale de Corona a été le facteur déterminant de la forte augmentation des attaques de phishing. En 2021, cette tendance s’est clairement confirmée : « Cela est principalement lié aux modes de communication des différents gouvernements », déclare Arnout Van de Meulebroucke, PDG de Phished, expert en sensibilisation à la cybersécurité. « Au cours de l’année écoulée, les autorités ont utilisé sensiblement plus souvent les messages électroniques et les SMS pour informer la population des nouvelles mesures et des vaccinations, entre autres. Deux supports de communication extrêmement sensibles au phishing. »

En 2021, 23 % de tous les employés belges ont été victimes d’hameçonnage par l’algorithme automatisé de Phished. Ces messages menaient à des pages d’accueil sécurisées avec le message indiquant qu’ils ont été hameçonnés. Toutefois, plus de 25 % des personnes interrogées ont rempli leurs données lorsqu’une telle page d’accueil comportait des cases permettant de remplir des informations personnelles, par exemple une fausse page de connexion.

Pièces jointes suspectes aux courriels

« Bien que ces chiffres indiquent déjà un problème systématique au sein de la population active belge, je suis surtout préoccupé par le fait que pas moins de 7 % de tous les employés ouvrent une pièce jointe suspecte contenue dans un courriel. Contrairement à l’hameçonnage, qui nécessite généralement une étape supplémentaire avant que les dommages réels ne soient causés, une pièce jointe malveillante peut immédiatement avoir des graves conséquences », souligne M. Van de Meulebroucke.

En ce qui concerne le phishing, les Belges sont légèrement moins susceptibles de se faire prendre après avoir ouvert des courriels frauduleux que la moyenne mondiale. Au niveau mondial, cette proportion est de 53 %, tandis que les Belges se retrouvent à 47 %. « Cela s’explique par le fait que les Belges ouvrent moins que la moyenne leurs courriels sur leurs smartphones, sur lesquels il est plus difficile de reconnaitre l’origine d’un éventuel courriel de phishing », explique M. Van de Meulebroucke.

Les secteurs publics sont restés plus vulnérables que les secteurs privés en 2021. En moyenne, les employés du secteur public ont été victimes d’hameçonnage 5 % plus souvent, ce qui est bien supérieur à la moyenne mondiale de 3 %.

Bien que ces chiffres indiquent déjà un problème systématique au sein de la population active belge, je suis surtout préoccupé par le fait que pas moins de 7 % de tous les employés ouvrent une pièce jointe suspecte contenue dans un courriel.

Grâce à quels messages nous faisons-nous attraper ?

Qui dit hameçonnage pense souvent à des courriels demandant d’effectuer une transaction financière. Bien que ces messages fassent de nombreuses victimes, nous voyons ce type de campagne moins souvent que les messages concernant les RH, la chaine d’approvisionnement, l’informatique, le bureau et les questions liées au management.

Voici la liste complète des domaines concernés en Belgique :

  1. COVID-19 (télétravail, tests, vaccination)
  2. Ressources humaines (amendes, licenciements, congés, contenu sensible)
  3. Livraisons (Envois, Amazon...)
  4. Informatique (Mots de passe, VPN, support informatique)
  5. Bureautique (Microsoft, Gmail, Sharepoint…)
  6. Gestion (ex. : Spear phishing)
  7. Relatif aux finances (ex. : factures)
  8. Nouvelles

L ’attention portée en 2022

Ces dernières semaines, il est apparu clairement que les sujets liés à la Corona sont loin d’avoir atteint la fin de leur cycle dans le monde du phishing. Tant que le virus continuera à faire rage dans la société, on peut s’attendre à ce que les messages d’hameçonnage sur ce sujet fassent de même.

Bien entendu, nous voyons également apparaitre d’autres « nouvelles » tendances", déclare M. Van de Meulebroucke. Les « deep fakes », imitations de personnes connues, rendront le phishing vocal plus convaincant et feront beaucoup plus de victimes. Le smishing continuera également à se développer, sous l’impulsion des communications gouvernementales et des SMS des services de colis.

« Les alertes de calendrier non désirées, où les pirates spamment votre calendrier avec des invitations à des réunions, et des fraudes basées sur des codes QR, nous accableront encore davantage l’année prochaine. Enfin, n’oublions pas que l’essor des “mules à bitcoins” permet aux attaques de phishing de disparaitre encore plus dans l’anonymat, rendant les pirates de plus en plus difficiles à attraper. »

Il existe une seule solution possible

La tâche pour les années à venir est claire : les organisations doivent insister fortement sur la sensibilisation de leurs employés. Le phishing a connu une croissance exponentielle ces dernières années et, sans un contremouvement radical, ces campagnes feront de plus en plus de victimes, entrainant de grandes pertes.

Arnout Van de Meulebroucke conclut : « Un séminaire ne sert à rien dans le domaine du phishing. Des études montrent que même une formation approfondie tombe complètement dans l’oubli après six mois au maximum. Les gens ont besoin d’une formation approfondie et répétée. Ce n’est qu’à cette condition que le message passera et qu’ils seront non seulement capables de reconnaitre les messages de phishing, mais aussi de garder leur sang-froid au cas où ils répondraient à un message malveillant. »