Des attaquants ont ciblé des employés non-C-Suite via le Spear Phishing

  • FrançaisFrançais



  • 2021 a été témoin de phishing ou de prétextes – des types d’attaques d’ingénierie sociale, à la tête de tous les rapports de violation de données. La pratique frauduleuse consistant à envoyer des e-mails pour inciter des personnes ciblées à divulguer des informations confidentielles et à effectuer des virements électroniques n’est plus un privilège de C-Suite. Avec des attaquants de plus en plus rusés dans leur approche, les employés des ventes, de la gestion de projet, des ressources humaines et de l’administration sont sur la liste des cibles. La FMH étant la norme et les employés misant sur les canaux de communication virtuels, les cyberattaquants ont élargi leur spectre de cibles où l’usurpation d’identité est plus convaincante.

    Barracuda, un fournisseur de solutions de sécurité basées sur le cloud, a publié Spear Phishing : principales menaces et tendances Vol.6, mettant en évidence la façon dont les attaques de spear phishing évoluent et qui ciblent les cybercriminels avec ces attaques.

    Principales conclusions

    • Une organisation moyenne est la cible de plus de 700 attaques d’ingénierie sociale en un an.
    • 1 attaque d’ingénierie sociale sur 10 est un compromis de messagerie d’entreprise (BEC).
    • 77 % des attaques BEC ciblent des employés en dehors des fonctions financières et exécutives.
    • Un PDG moyen recevra 57 attaques de phishing ciblées en un an.
    • 43 % des attaques de phishing se font passer pour des marques Microsoft.
    • 1 attaque BEC sur 5 cible les employés occupant des postes de vente.
    • Le personnel informatique reçoit en moyenne 40 attaques de phishing ciblées par an.
    • Les attaques d’usurpation d’identité liées à la crypto-monnaie ont augmenté de 192 % entre octobre 2020 et avril 2021.

    Selon le rapport, une organisation moyenne est la cible de plus de 700 attaques d’ingénierie sociale chaque année, et 77% des attaques BEC ciblent des employés en dehors des rôles financiers et exécutifs, y compris le personnel travaillant dans des rôles comme les ventes (19%), la gestion de projet (10 %), ressources humaines (10 %) et administration (9 %).

    Révélant les tendances en matière d’attaques de spear phishing ciblées, le rapport indique que les PDG attirent en moyenne 57 attaques ciblées par an, et que les professionnels de l’informatique qui sont également sous le feu des critiques, attirent en moyenne 40 attaques de spear phishing ciblées par an.

    « Les cybercriminels sont de plus en plus sournois pour savoir qui ils ciblent avec leurs attaques, se concentrant souvent sur les employés en dehors de la C-Suite, à la recherche d’un maillon faible dans votre organisation » a déclaré James Wong, directeur régional pour l’Asie du Sud-Est et la Corée, Barracuda. « Cibler les employés de niveau inférieur offre aux cybercriminels un moyen d’entrer et de se frayer un chemin vers des cibles de plus grande valeur. C’est pourquoi il est important de s’assurer d’avoir une protection et une formation pour tous les employés, plutôt que de se concentrer uniquement sur ceux que vous pensez être les plus susceptibles d’être attaqués.

    43 % des attaques de phishing usurpent l’identité de Microsoft

    Les communications provenant de sources connues, de marques, de services et de portails de commerce électronique sont de vieilles astuces utilisées par les cyberintimidateurs, car elles sont plus susceptibles de faire confiance et d’appeler une réponse.

    Selon le rapport, près de la moitié de toutes les attaques de phishing se font passer pour Microsoft (43 %), suivi de WeTransfer (18 %), DHL (8 %) et Google (8 %) pour attirer des victimes sans méfiance.

    Avec 79 % des organisations utilisant Office 365, et bien d’autres envisageant de migrer dans un avenir immédiat, il n’est pas surprenant que les marques Microsoft restent une cible de choix pour les cybercriminels.

    Crypto-monnaie – La devise de choix pour les cybercriminels

    La crypto-monnaie continue d’être la préférée des cybercriminels en raison de sa nature décentralisée et de son manque de réglementation. Étant un format numérique et de plus en plus accepté dans les entreprises, la crypto-monnaie a vu sa valeur augmenter. Son prix a augmenté de près de 400% entre octobre 2020 et avril 2021. Les pirates ont usurpé l’identité de portefeuilles numériques et d’autres applications liées à la crypto-monnaie avec des alertes de sécurité frauduleuses pour voler les identifiants de connexion.

    Bonnes pratiques pour se protéger contre les attaques de Spear Phishing

    La technologie

    • Profitez de l’intelligence artificielle
    • Déployer la protection contre la prise de contrôle de compte
    • Implémenter l’authentification, le reporting et la conformité des messages basés sur le domaine (DMARC)

    Gens

    • Former le personnel à reconnaître et à signaler les attaques
    • Examiner les politiques internes
    • Maximisez la prévention des pertes de données

    Alors que les vulnérabilités prennent des formes innovantes, les organisations doivent constamment rester vigilantes et investir dans une approche inclusive pour sécuriser leur dernière ligne de défense, « les employés », ainsi que l’entreprise. L’utilisation judicieuse de la technologie et de la formation peut atténuer les risques dans une large mesure et aider à éviter les attaques de phishing.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *