De 50 % d'hameçonnage à 5 % : comment fonctionne l'hameçonnage et pourquoi ?

Ceux qui ne sont jamais en contact avec les risques de la vie numérique auront du mal à reconnaître les menaces lorsqu'ils y seront confrontés. Concrètement, ceux qui n'ont jamais été en contact avec des attaques de phishing, ou hameçonnage, ne seront pas en mesure de les reconnaître ni d'y faire face de manière appropriée. Chaque mesure de base effectuée par Phished le confirme.

Attention : il s'agit de cas de phishing bien élaborés, où l'attaquant a fait ses devoirs de manière approfondie. Nous ne parlons donc pas des courriels courants et transparents sur les rendez-vous sexuels, le viagra ou les prix gagnés. Les maisons royales africaines qui veulent distribuer de l'argent sont également exclues de l'équation.

Un message de phishing bien conçu répond à la réalité quotidienne de son destinataire. Cela signifie que même des « e-mails de masse » très généraux peuvent être très convaincants. Par exemple, il est très facile d'atteindre des milliers de destinataires en même temps avec un e-mail qui semble provenir d'un service de livraison de colis. La seule chose qu'un pirate doit faire est de formater le message de façon agréable - aussi identique que possible à l'original - et d'insérer un espace réservé qui saisit automatiquement le nom ou le prénom correct de chaque destinataire.

Aujourd’hui, recevoir un message provenant d'un service de colis est quelque chose qui arrive à presque tout le monde. Bien qu'ils soient assez génériques, Phished parvient à tromper 20 % de tous les destinataires avec de tels messages.

Le spear phishing repose encore plus sur la reconnaissance et, surtout, l'autorité. Les courriels de masse sont souvent plus personnalisés qu'on ne le pense, mais c'est encore plus vrai avec le spear phishing. Dans ce cas, l'attaquant recherche le plus grand nombre possible d'informations personnelles qui peuvent être incluses dans la tentative de phishing. Les médias sociaux, les résultats de Google, etc., sont utilisés à cette fin.

Dans le cas du spear phishing (harponnage), un pirate se fera souvent passer pour un collègue ou un responsable. Nous sommes programmés pour aider nos collaborateurs autant que possible : leur réussite est aussi la nôtre. Si un tel message semble crédible parce qu'il peut contenir une référence à nos dernières vacances, nous sommes très vite convaincus qu'il s'agit d'un message authentique et nous voudrons aider immédiatement. Avec ce type de phishing, Phished attire invariablement au moins 35% de tous les destinataires dans un piège lors du test de base, et souvent ce chiffre atteint même les 50%.

Les recherches montrent que même les personnes qui reçoivent une formation approfondie en matière de cyber sécurité ou de hameçonnage sont tout aussi vulnérables au bout de six mois qu'avant la formation. Même ceux qui sont testés une fois par mois restent très vulnérables aux piratages et aux pertes de données. Il est donc important que les personnes soient testées plusieurs fois par mois pour que leurs connaissances restent actives, pertinentes et à jour.

Les résultats de la plateforme Phished montrent clairement que des simulations régulières de phishing - et le micro-apprentissage par le biais de la Phished Academy - réduisent le nombre d'attaques de phishing réussies à moins de 5 % en un an. Grâce à un contact régulier avec différents types de cyberattaques, dans un environnement sûr et contrôlé, les employés acquièrent de l'expérience, apprennent les bons réflexes et développent la confiance en soi nécessaire pour faire face correctement aux (éventuels) dangers.

Notre expérience montre que les entreprises pensent toujours être mieux préparées qu'elles ne le sont réellement. Demandez votre démo.. et vivez l'expérience d'une formation cybersécurité qui fonctionne.