Selon la Fevad, ce vendredi 25 novembre 2022, 70 % des cyberacheteurs avaient l’intention de participer au Black Friday sur internet. Il ressort notamment que 80 % des moins de 50 ans et 75 % de la population urbaine comptent y participer.
Phishing : les cybercriminels diversifient leurs modes d’action
Alors que les achats se font de plus en plus en ligne, les risques d’attaques phishing augmentent drastiquement ; celles-ci représentant une opportunité pour les cybercriminels. Un rapport sur les tendances en matière d'attaques de phishing, publié récemment par Netskope, souligne d’ailleurs que 26 % des pages de phishing ont été consultées par le biais de sites personnels et de blogs, dépassant ainsi les webmails. Pour sa part, Jérôme Notin, le directeur général de Cybermalveillance.gouv.fr estime que « l'augmentation de la perception de l'exposition au risque a augmenté partout, mais n'a pas bouleversé la hiérarchie des risques », en référence à l’étude MIPS (menaces informatiques et pratiques de sécurité en France) conduite par le Clusif.
Si les individus sont de plus en plus exposés à une variété de cybermenaces, tous supports confondus, pour leurs connexions privées comme professionnelles, le phishing reste néanmoins un mode d’attaque de prédilection. Avec l’hybride et l’usage répandu d’outils professionnels à des fins personnelles, les entreprises doivent plus que jamais redoubler de vigilance autour de ces périodes d’achats de fin d’année.
Le phishing (ou hameçonnage) est, selon Service-Public.fr, ʺune forme d’escroquerie qui se déroule sur internet et vise à récupérer les données personnelles d’un utilisateur par la tromperie, puis à les utiliser de manière malveillante. ʺ Les cybercriminels cherchent par tous les moyens à inciter leurs victimes à divulguer leurs informations personnelles, le plus souvent à des fins financières. Ils y parviennent souvent par le biais d'e-mails, de SMS frauduleux et plus récemment de QR codes, et dérobent des identifiants de connexion, des numéros de sécurité sociale ou encore des informations bancaires.
Avec des milliers d'attaques de phishing lancées chaque jour, il est impossible de vraisemblablement suivre le rythme. De plus, l'évolution rapide des méthodes d'attaque complique leur identification. L’attaquant peut, de manière très convaincante, déguiser l'e-mail ou le sms en le faisant passer pour une source de confiance telle qu'un site de media sociaux, une banque ou un magasin. Une nouvelle tendance est de créer de fausses applications tierces afin d’induire les utilisateurs en erreur en les dirigeant vers des plateformes et applications légitimes en apparence. Pour ce faire, les cybercriminels recourent à diverses méthodes : accès aux comptes utilisateurs à partir d'adresses IP inhabituelles, faux codes de réduction, demandes de confirmations d’informations personnelles, notifications de problèmes de moyens de paiement, ou encore envois de factures factices. Si les utilisateurs ont plusieurs moyens de faire état d’un cas de phishing, les organisations doivent le faire le plus tôt possible. Si les protocoles internes de signalement du phishing diffèrent en fonction des entreprises, la réactivité des employés est cruciale pour la santé de l’intégralité d’une structure donnée, afin de contenir une menace.
De même, si des plateformes nationales comme Signal Spam existent afin de contribuer à la lutte contre la fraude, les entreprises sont parfois confrontées à la tromperie de site contrefaits toujours plus réalistes. Comme l’indique l’étude Netskope, 22 % de l'hameçonnage provient des serveurs comprenant des services d'hébergement gratuits. Il semble alors élémentaire que le premier mode de protection reste la vigilance. Les collaborateurs sont le point d’entrée privilégié des cybercriminels, ils doivent donc être sensibilisés aux risques que représente le phishing, et les moyens simples d’identification d’un faux site ou d’un lien frauduleux. Le signalement vient ensuite et part de l’entreprise vers des entités gouvernementales comme sur Phishing-initiative.fr qui se chargera de bloquer l’adresse du site et de réclamer sa suppression.
A l’heure où les cybercriminels rivalisent d’ingéniosité, afin de leurrer les employés d’une entreprise donnée, cette dernière doit capitaliser sur la formation, la prévention et la précaution afin de limiter les cas d’hameçonnage et les risques de vols de données associés.
Le phishing continue de proliférer parce qu'il fonctionne. L'homme est l’ultime rempart contre ces attaques, et la formation, la vigilance ainsi que la précaution sont les seules armes disponibles aux internautes et organisations. L’hameçonnage reste une cybermenace de tout temps, et les entreprises gagneront à déployer en interne des bonnes pratiques, pour le bien-être de leurs collaborateurs, et la sécurisation de leurs informations, afin de faire face aux nouveaux modes d’action.