Vous pensez avoir reçu un document important de votre département des ressources humaines ? Soyez prudent.

Le rapport trimestriel de KnowBe4 sur les tests de phishing a révélé qu’au cours du deuxième trimestre, les cybercriminels ont souvent réussi à tromper les employés avec des courriels se faisant passer pour des messages des ressources humaines. Après un clic malheureux, les liens contenus dans les courriels et les documents PDF sont devenus des vecteurs d’attaques courants.

TechRepublic a discuté avec Erich Kron, défenseur de la sensibilisation à la sécurité chez KnowBe4, des résultats des tests de phishing et des moyens de protéger les entreprises contre les attaques de phishing de plus en plus sophistiquées, alimentées par l’IA générative.

Les courriels frauduleux des ressources humaines : un des principaux types d’escroqueries par ingénierie sociale

Certains attaquants envoient de faux messages prétendant provenir des ressources humaines pour inciter les employés à cliquer sur un lien ou à consulter un document en urgence. Selon le rapport :

  • 42 % des lignes de sujet des courriels liés aux affaires étudiés concernaient les ressources humaines.
  • 30 % étaient liés à l’informatique.
  • De nombreuses lignes de sujet jouaient sur les émotions des employés, comme « Commentaire laissé sur votre demande de congé » ou « Possible erreur de frappe ».

« Si vous ressentez une forte réaction émotionnelle à un message texte, un appel téléphonique ou un courriel, il est essentiel de prendre du recul et d’analyser la situation de manière critique », a déclaré Kron. « Ces attaques d’ingénierie sociale exploitent votre état émotionnel pour vous amener à commettre des erreurs. »

D’autres attaques récentes ont été signalées, avec des courriels se faisant passer pour des messages de Microsoft ou d’Amazon.

Infographie montrant les cas rassemblés par KnowBe4 d'e-mails de phishing courants et efficaces.
KnowBe4 a rassemblé des exemples d’e-mails de phishing courants et efficaces. Image : KnowBe4

Les courriels de phishing contenant des codes QR ont également réussi à tromper des employés. Comme les liens malveillants, ces codes QR se trouvent généralement dans des courriels prétendant provenir d’entreprises bien connues, des ressources humaines ou du service informatique.

« L’augmentation continue des courriels de phishing liés aux ressources humaines est particulièrement préoccupante, car elle cible la confiance fondamentale au sein des organisations », a déclaré Stu Sjouwerman, PDG de KnowBe4, dans un communiqué de presse du 7 août. « De plus, l’usage croissant des codes QR dans les tentatives de phishing ajoute une couche de complexité à ces menaces. »

Les secteurs de la santé et des produits pharmaceutiques sont les plus vulnérables aux attaques de phishing, suivis par l’hôtellerie, l’éducation et l’assurance, avec des variations selon la taille des organisations.

Comment fonctionne le rapport de phishing de KnowBe4 ?

KnowBe4 collecte des informations pour son rapport trimestriel de référence sectorielle auprès de ses clients et via son portail de rapport de phishing, accessible à toutes les entreprises.

KnowBe4, qui propose une plateforme de simulation de phishing, lance de fausses attaques de phishing contre des entreprises pour tester leur résilience. Plus précisément, KnowBe4 évalue les types d’attaques qui réussissent et comment des formations comme les leurs aident à protéger les entreprises contre les cyberattaques.

Les données proviennent de 54 millions de tests de phishing simulés, touchant plus de 11,9 millions d’utilisateurs dans 55 675 organisations à travers le monde.

« Souvent, nous prenons de vraies attaques de phishing et les transformons en simulations », a expliqué Kron. « Nous les rendons inoffensives, car nous savons que c’est ce qui se passe réellement. »

Le rapport a mesuré le « Pourcentage de vulnérabilité au phishing », une évaluation propriétaire du pourcentage d’« employés susceptibles de tomber dans le piège des escroqueries par ingénierie sociale ou de phishing ». Le pourcentage moyen est passé de 34,3 % à seulement 4,6 % après un an de formation continue et de tests de phishing.

À NOTER : La différence entre le phishing et le spear phishing réside dans le fait que l’attaque est généralisée ou ciblée sur une personne spécifique.

Comment les entreprises peuvent réduire leur vulnérabilité aux attaques de phishing

Les organisations doivent informer clairement leurs employés que les courriels de phishing ne contiennent pas toujours autant de fautes de frappe ou de demandes d’argent évidentes qu’auparavant.

« L’IA générative a vraiment amélioré les traductions et la qualité des messages », a déclaré Kron, « permettant aux attaquants de se développer sans les erreurs que nous avions l’habitude de voir. »

Les employés doivent prêter attention aux URL et aux adresses e-mail. Ils doivent se demander si un courriel avec un sujet contenant le mot « urgent » est vraiment ce qu’il semble.

Par exemple, « Est-ce que cela vient réellement de mon supérieur, ou est-ce que cela ne fait que mentionner son nom ? », a ajouté Kron.

Les filtres anti-spam ou antivirus peuvent détecter certaines attaques d’ingénierie sociale et de phishing, tandis que l’authentification multifactorielle peut limiter l’accès des attaquants même si la victime clique sur un lien ou scanne un code QR. En plus de KnowBe4, des entreprises comme Sophos, Proofpoint, Ninjio, Hoxhunt, Cofense et d’autres proposent des formations en sécurité via des attaques simulées.

En somme, il est crucial que les employés restent vigilants, que cette vigilance soit mise à l’épreuve par des tests de phishing réguliers ou non.

« Restez un peu sur vos gardes », a conseillé Kron.

Tags:
Shares:
Show Comments (0)
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *