Site icon Sophos News

Les 10 attaques de phishing les plus couramment utilisées en 2020

attaques de phishing

… ils ne se retrouveraient en fait pas face à de véritables cybercriminels qui attendent patiemment à l’autre bout qu’une de leurs cibles ne morde à l’hameçon.

Les cybercriminels vous testent tout le temps, alors autant vous tester vous-mêmes également et avoir une longueur d’avance.

NB : Ne paniquez pas, il ne s’agit pas d’une infopub sur le produit, mais de quelques statistiques très intéressantes émanant des utilisateurs de cette solution depuis le début de cette année.

Avec Sophos Phish Threat, vous pouvez créer vos propres modèles d’arnaque afin de créer vos propres fausses attaques de phishing, mais le produit comprend un vaste ensemble de modèles personnalisables que nous mettons à jour régulièrement.

L’idée est de s’inspirer le plus possible des attaques de phishing, quelles qu’elles soient, observées véritablement sur le terrain, depuis les avertissements effrayants annonçant une catastrophe imminente jusqu’aux messages plus discrets qui en disent un peu plus que juste “s’il vous plaît ouvrez la pièce jointe”.

L’histoire nous enseigne que les arnaques par email peuvent fonctionner étonnamment bien sans aucun texte dans le corps du message. L’un des virus de ce type, parmi les plus répandus de tous les temps, s’appelait HAPPY99, également connu sous le nom de Ska. Il a fait parler de lui il ​​y a un peu plus de 20 ans, au début de l’année 1999. L’email en question se composait uniquement d’une pièce jointe : il n’y avait pas de ligne d’objet ou de message, du coup le seul texte visible dans l’email était le nom de la pièce jointe, HAPPY99.EXE. En l’ouvrant, un feu d’artifice de Nouvel An apparaissait, cette animation n’était en réalité qu’une diversion pour permettre au virus d’infecter votre ordinateur, puis de se propager à tous ceux à qui vous l’aviez envoyé. Ironiquement, l’absence de texte explicatif signifiait que l’email était beaucoup moins suspect que si la ligne d’objet contenait des mots dans une langue qui aurait surpris le destinataire. Le nom de fichier HAPPY99 à lui seul, était sans aucun doute plus efficace que n’importe quel argumentaire marketing, et avait un pouvoir attractif suffisant et reconnu mondialement, incitant ainsi des millions de personnes à cliquer dessus.

À la recherche du meilleur (ou du pire si vous préférez)

L’équipe Phish Threat s’est posé la question suivante : “Quels modèles d’attaque de phishing donnent les meilleurs résultats, ou peut-être plus précisément, les pires résultats ?”.

Les utilisateurs de messagerie professionnelle sont-ils plus susceptibles d’être appâtés et de tomber dans le piège ? En pensant qu’il y a réellement un danger ou bien qu’il s’agit véritablement d’offres gratuites, que ces instructions explicites doivent être suivies ou bien que ces suggestions sont certainement utiles ? Ou enfin en ne pouvant résister à la tentation de répondre à l’injonction “vous devez” ou “vous pourriez aimer” ?

Les réponses concernaient un large éventail de tentatives de phishing, mais avaient un même fil conducteur : aucune d’entre elles n’était une menace.

La plupart de ces attaques de phishing traitaient de questions banales et sans grand intérêt, tout en étant à priori intéressantes, importantes ou les deux à la fois.

Rien sur cette liste n’était vraiment urgent ou terrifiant, et ces attaques de phishing semblaient toutes suffisamment réalistes et simples pour valoir la peine d’être traitées rapidement.

Attaques de phishing : le TOP 10

Quoi faire ?

À propos, si vous faites partie de l’équipe de sécurité et que vous ne disposez pas d’un moyen rapide et facile pour votre personnel de signaler des problèmes de cybersécurité potentiels tels que des appels téléphoniques suspects ou des emails douteux, pourquoi ne pas mettre en place aujourd’hui une adresse email interne facile à retenir et vous habituer à la surveiller régulièrement ?

Il ne faut pas beaucoup d’efforts pour transformer l’ensemble de vos employés en de véritables alliés, venant ainsi renforcer la mission de l’équipe de sécurité.

Après tout, en matière de cybersécurité, une blessure infligée à une personne s’avère être en réalité une blessure infligée à tous.

Billet inspiré de Phishing tricks – the Top Ten Treacheries of 2020, sur Sophos nakedsecurity.

Exit mobile version