Éd. Remarque : Il s’agit du dernier article de la série Cybersécurité : conseils tirés des tranchées, rédigé par nos amis de Sensei Enterprises, un fournisseur spécialisé de services informatiques, de cybersécurité et d’investigation numérique.
État du phishing en 2024
C’est peut-être un nom original, mais nous aimons certainement parcourir ce rapport de Proofpoint chaque année. Le fondement du rapport est une enquête menée auprès de 7 500 utilisateurs finaux et de 1 050 professionnels de la sécurité. Le rapport de cette année indique que 71 % des utilisateurs ont avoué avoir pris une mesure risquée, en réutilisant ou en partageant un mot de passe, en cliquant sur des liens provenant d’expéditeurs qu’ils ne connaissaient pas, ou en donnant leurs identifiants de connexion à quelqu’un qu’ils ne connaissaient pas. Quatre-vingt-seize pour cent d’entre eux savaient qu’ils prenaient un risque. Si cela ne vous convainc pas que vos employés ont besoin d’une formation de sensibilisation à la cybersécurité au moins une fois par an, nous ne savons pas ce qui le fera !
Plus d’un million d’attaques sont lancées chaque mois avec le cadre de contournement MFA (authentification multifacteur) Evil Proxy, mais 89 % des professionnels de la sécurité pensent que MFA offre une protection totale contre les piratages de comptes. Notre propre opinion est que, même si l’AMF ne constitue pas une solution complète, elle est bien meilleure que de NE PAS avoir d’AMF – et plus votre MFA est sécurisée, mieux c’est.
Soixante-neuf pour cent des organisations ont été infectées par un ransomware. Cela reste un fléau. N’importe quel imbécile peut acheter une boîte à outils Ransomware-as-a-Service pour environ 35 $ et faire des ravages.
Leçons tirées de l’état du phishing
L’une des leçons les plus précieuses est que pour la plupart des formations de sensibilisation à la cybersécurité (et heureusement, 99 % des personnes interrogées ont déclaré avoir suivi une telle formation), moins d’un tiers de leurs programmes de formation couvraient les « trois grands » : travail à distance, hygiène des mots de passe, et la sécurité sur Internet.
Les principaux sujets de formation étaient les logiciels malveillants, la sécurité Wi-Fi, les ransomwares et le phishing par courrier électronique – qui sont tous importants, mais ne couvrent pas l’ensemble des risques. Où en était le phishing utilisant des SMS ? Où était l’utilisation des deepfakes audio et vidéo ? Où en était l’ingénierie sociale des salariés ?
Seulement 34 % des personnes interrogées ont simulé des attaques de phishing, ce qui nous a surpris. La simulation d’attaques de phishing est très utile, non seulement pour éduquer les employés, mais aussi pour identifier ceux dont le comportement est le plus risqué.
Le nouveau paysage des menaces
Sans surprise, la plupart des attaques étaient du phishing, du business email compromis (BEC) et des ransomwares. Tout cela constitue un problème persistant, cela ne fait aucun doute.
Mais nous devons faire face à des menaces croissantes. L’une d’elles est la diffusion d’attaques orientées téléphone (TOAD), dans laquelle un message semble inoffensif, ne contenant qu’un numéro de téléphone et des informations erronées. Lorsque la victime appelle le numéro indiqué pour obtenir de l’aide, la chaîne d’attaque est activée.
Soyez assuré que les centres d’appels cybercriminels opèrent dans le monde entier, persuadant les victimes de leur accorder un accès à distance, de révéler des informations et des informations d’identification sensibles, ou même d’infecter leur organisation avec des logiciels malveillants. Les données de Proofpoint montrent qu’en moyenne 10 millions de messages TOAD sont envoyés chaque mois.
De plus en plus d’attaques utilisaient des techniques avancées pour contourner la MFA. Comment travaillent-ils? Ils utilisent des serveurs proxy pour intercepter les jetons MFA, ce qui permet aux attaques d’échapper à la sécurité fournie par les codes à usage unique et la biométrie. Il s’agit d’un énorme problème car 89 % des professionnels de la cybersécurité considèrent toujours la MFA comme une « solution miracle » pour empêcher les piratages de comptes.
Enfin, on constate une augmentation de l’utilisation des QR codes (pour mémoire, on prêche depuis des années qu’on ne sait jamais vraiment où l’on va si l’on clique sur un QR code). Nous pensons que la situation empire en partie parce que de nombreuses personnes cliquent constamment sur les codes QR. Ils ne voient tout simplement pas le danger. Cliquer sur un code QR peut conduire à un site de phishing ou à un téléchargement de malware.
L’IA fait désormais partie de la menace
L’intelligence artificielle (IA) facilite les cyberattaques. Pour commencer, vous êtes moins susceptible de voir toutes les fautes d’orthographe et les abus de grammaire. Toutes les IA sont-elles transparentes sur ce qui arrive aux données que vous saisissez ? Souvent, ce n’est pas le cas.
Il existe désormais un lien entre les attaques BEC et l’IA, puisque les attaquants utilisent l’IA pour créer des e-mails plus convaincants et personnalisés dans de nombreuses langues. Les données de Proofpoint montrent en moyenne 66 millions d’attaques BEC ciblées chaque mois.
Encore de mauvaises nouvelles ?
Bien sûr! Alors que Microsoft est le produit le plus abusé en matière de courrier électronique malveillant, d’autres sociétés confrontées au même problème incluent Adobe, DHL, Google, AOL, DocuSign et Amazon. Nous avons été particulièrement touchés par des e-mails de phishing prétendant provenir de DocuSign et d’Amazon.
Et notre vieil « ami » le ransomware reste un problème majeur : 69 % des entreprises (en hausse de 5 % par rapport à l’année dernière) ont été confrontées à une attaque de ransomware. Parmi ceux qui ont subi une attaque de ransomware, 96 % disposent désormais d’une cyber-assurance, ce qui suggère certainement que la cyber-assurance est une nécessité pour toutes les entreprises, y compris les cabinets d’avocats.
Derniers mots
Du vénérable expert en cybersécurité Brian Krebs : « Si vous ne l’avez pas cherché, ne l’installez pas. » – une excellente règle de sécurité.
Sharon D. Nelson (snelson@senseient.com) est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek (jsimek@senseient.com) est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert de renommée nationale dans le domaine de la criminalistique numérique. . Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et d’investigation numérique depuis leur cabinet de Fairfax, en Virginie.
Michael C. Maschke (mmaschke@senseient.com) est le PDG/directeur de la cybersécurité et de la criminalistique numérique de Sensei Enterprises, Inc. Il est un examinateur certifié EnCase, un examinateur informatique certifié (CCE #744), un hacker éthique certifié et un examinateur certifié AccessData. Il est également un professionnel certifié en sécurité des systèmes d’information.
