Les données du simulateur de phishing de Kaspersky Security Awareness Platform montrent que les travailleurs ont tendance à ne pas remarquer les pièges cachés dans des emails portant sur des thématiques corporate, ou dans des notifications de problèmes de livraison. Près d’un salarié sur 5 (16% à 18%) a cliqué sur le lien contenu dans des modèles d’emails imitant ces attaques de phishing.
Selon des estimations, près de 91% de toutes les cyberattaques commencent par un email de phishing, et les techniques de phishing sont impliquées dans 32% de toutes les failles de données à succès.
Pour apporter des informations complémentaires sur cette menace, Kaspersky a analysé les données collectées dans un simulateur de phishing, fournies volontairement par les utilisateurs[1]. Intégré dans Kaspersky Security Awareness Plateform, cet outil aide les entreprises à vérifier que leurs équipes peuvent distinguer un email de phishing d’un email authentique, afin de ne pas exposer les données de l’entreprise à des risques. L’administrateur choisit parmi l’ensemble des modèles, imitant les scénarios de phishing courants, ou crée un modèle personnalisé, puis l’envoie aux collaborateurs sans les avertir au préalable et suit les résultats. Malheureusement, les résultats indiquent qu’un grand nombre d’employés tombent dans le piège, cliquent sur le lien présent dans l’email, mettant alors en avant la nécessité de formations complémentaires de sensibilisation à la cybersécurité.
Selon de récentes campagnes de simulation de phishing, les 5 types d’emails de phishing les plus efficaces sont :
- Objet : Erreur de tentative d’envoi – malheureusement, notre coursier n’a pas pu livrer votre article. Expéditeur : Service de livraison de colis. Taux de conversion de clics : 18,5%
- Objet : Emails non transmis pour cause de serveurs mails surchargés. Expéditeur : L’équipe support de Google. Taux de conversion de clics : 18%
- Objet : Enquête en ligne auprès des employés : ce que vous aimeriez améliorer au sein de l’entreprise. Expéditeur : département RH. Taux de conversion de clics : 18%
- Objet : Rappel : nouveau dress-code interne. Expéditeur : ressources humaines. Taux de conversions de clics : 17,5%
- Objet : Attention à tous les salariés : nouveau plan d’évacuation du bâtiment. Expéditeur : département sécurité. Taux de conversion de clics : 16%
Parmi les autres emails ayant engendré un fort taux de clics, on retrouve : des confirmations de réservation envoyés de la part de services de réservation (11%), une notification à propos d’une commande (11%) et une annonce de jeu concours IKEA (10%).
En revanche, les courriels qui menacent le destinataire ou offrent des avantages immédiats semblent avoir moins de « succès ». Un modèle ayant pour objet « J’ai piraté votre ordinateur et je connais votre historique de recherche » a obtenu 2 % de clics, tandis que les offres pour obtenir Netflix gratuitement et pour obtenir 1 000 dollars en cliquant sur un lien n’ont trompé que 1 % des employés.
« Les simulations de phishing sont l’un des moyens les plus efficaces pour tester la cyber-résilience des salariés et évaluer l’efficacité de leurs formations en cybersécurité. Cependant, certains aspects importants doivent être pris en compte lors de la réalisation de cette évaluation pour qu’elle ait un réel impact », commente Elena Molchanova, Directrice du Business Developpement pour la Sensibilisation à la Sécurité chez Kaspersky. « Puisque les méthodes employées par les cybercriminels évoluent constamment, la simulation doit inclure dernières les tendances d’ingénierie sociale, ainsi que des scénarios de cybercrime communs. C’est très important que les simulations d’attaque aient lieu régulièrement et soient complétées par des formations appropriées – ainsi, les utilisateurs développeront des fortes capacités de vigilance qui leur permettront d’éviter d’être victimes d’attaques ciblées, aussi appelées spear-phishing ».
Pour prévenir les fuites de données, et toutes les pertes financières, ou de réputation causées par des attaques de phishing (ou hameçonnage), Kaspersky fait les recommandations suivantes aux entreprises :
- Rappelez à vos employés les signes fondamentaux des e-mails de phishing. Un objet dramatique, des erreurs et des fautes de frappe, des adresses d’expéditeur incohérentes et des liens suspects ;
- En cas de doute sur le courriel reçu, vérifiez le format des pièces jointes avant de les ouvrir et l’exactitude des liens avant de cliquer. Pour ce faire, survolez ces éléments – assurez-vous que l’adresse semble authentique et que les fichiers joints ne sont pas dans un format exécutable ;
- Signalez toujours les attaques de phishing. Si vous repérez une attaque de phishing, signalez-la à votre service de sécurité informatique et, si possible, évitez d’ouvrir le courriel malveillant. Cela permettra à votre équipe de cybersécurité de reconfigurer les politiques anti-spam et d’éviter un incident ;
- Fournissez à vos employés des connaissances de base en matière de cybersécurité. L’éducation doit viser à modifier le comportement des apprenants et leur apprendre à faire face aux menaces. En tant que fournisseur majeur de cybersécurité, Kaspersky dispose d’une base d’informations pertinente sur les attaques réelles et complète en permanence ses formations de sensibilisation à la sécurité en fonction du paysage actuel des menaces.
- Comme les tentatives de phishing peuvent être déroutantes et qu’il n’y a aucune garantie d’éviter tous les clics accidentels, protégez vos appareils de travail avec une sécurité fiable. Choisissez une solution qui offre des fonctionnalités anti-spam, qui suit les comportements suspects et qui crée une copie de sauvegarde de vos fichiers en cas d’attaque par ransomware. La protection contre le phishing est incluse dans certaines solutions de sécurité, même pour les petites et très petites entreprises, comme Kaspersky Small Office Security.
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.
Pour en savoir plus : www.kaspersky.fr.
[1] Les statistiques sont basées sur les résultats de 29 597 employés de 100 pays. Tous les modèles de phishing disponibles n’ont pas été envoyés à chaque employé. Les données présentées incluent les modèles envoyés à plus de 100 utilisateurs. Les campagnes de simulation de phishing ont eu lieu entre janvier 2021 et mai 2022.