Un nouveau rapport révèle que plus de 90 % de toutes les attaques de phishing documentées en 2016 ont ciblé seulement cinq secteurs d'activité.
Selon PhishLabs' Rapport 2017 sur les tendances et les renseignements en matière de phishing., les organisations offrant des services financiers, de stockage en nuage/d'hébergement de fichiers, de messagerie Web, de paiement et de commerce électronique ont rencontré 91 % de toutes les attaques de phishing en 2016. Ces industries ont chacune vu le nombre total de campagnes de phishing les ciblant augmenter d'un tiers en moyenne. Le nombre d'attaques pour l'ensemble des industries a également augmenté en 2016.
Mais il y a du changement dans l'air. En 2013, les institutions financières représentaient un tiers des attaques de phishing. Ce chiffre est maintenant tombé à moins d'un quart. D'autres institutions ont pris le relais, notamment le stockage en nuage et l'hébergement de fichiers, avec 22,6 % en 2016.
Selon PhishLabs, un phénomène important incite les hameçonneurs à délaisser les organisations financières au profit des services en nuage. Comme il l'explique dans son rapport :
"Ce changement est dû à une vulnérabilité majeure dans la manière dont de nombreux services web, y compris la quasi-totalité des services de stockage en nuage et des sociétés SaaS qui ont connu une augmentation substantielle des attaques de phishing, permettent à leurs utilisateurs de s'authentifier sur leurs comptes. Au lieu d'exiger que les utilisateurs disposent d'un nom d'utilisateur et d'un mot de passe uniques, ils leur permettent de se connecter en utilisant leur adresse électronique associée à un mot de passe "unique". Le problème de cette méthode est que beaucoup, voire la majorité, de leurs utilisateurs réutilisent simplement le mot de passe de leur adresse électronique au lieu d'en créer un nouveau."
La réutilisation des mots de passe est le meilleur ami des attaquants. S'ils obtiennent l'adresse électronique et le mot de passe d'un utilisateur, les attaquants peuvent essayer de s'authentifier auprès de plusieurs services web en espérant que la victime réutilisera le même mot de passe pour ses comptes, y compris ceux qui contiennent des informations financières. Les attaquants peuvent s'introduire dans ces comptes pour voler de l'argent à la victime. Ils peuvent également vendre tous ces comptes sur le dark web pour une somme comprise entre 50 et 1 000 USD.
Voici quelques autres statistiques notables du rapport de PhishLab :
- La Grande-Bretagne a connu un pic massif d'attaques de phishing à l'approche du référendum sur le "Brexit". La plupart des campagnes d'escroquerie visaient les services de paiement et les organismes gouvernementaux. Après le vote sur le Brexit, le nombre d'attaques visant les utilisateurs britanniques a chuté. Cela illustre la façon dont les hameçonneurs continuent de profiter des événements de l'actualité pour s'attaquer à des utilisateurs peu méfiants.
- Le Canada, la Suisse et la France ont tous connu une augmentation du nombre d'attaques de phishing visant leurs citoyens, tandis que des pays comme la Chine, la Grande-Bretagne et l'Afrique du Sud ont connu moins de campagnes que les années précédentes.
- PhishLabs a rassemblé 29 000 kits d'hameçonnage qui permettent aux attaquants de créer un site d'hameçonnage fonctionnel.
- 10 pays ont accueilli quatre sites de phishing sur cinq. Au total, les attaquants ont réparti leurs campagnes de phishing sur 432 domaines de premier niveau (TLD) différents. De nombreux nouveaux TLD génériques (gTLD) ont vu apparaître des contenus de phishing, notamment .TOP, .XYZ et .ONLINE.
Étant donné le nombre croissant d'attaques de phishing et la facilité avec laquelle les mauvais acteurs peuvent créer des campagnes de phishing, il est important que les organisations s'assurent que leurs employés savent comment repérer un phishing. Elles doivent créer un programme de formation à la sensibilisation à la sécurité pour répondre à ce besoin, en particulier un programme qui utilise un logiciel de simulation de phishing tiers.
Ce type de solution vous intéresse-t-il ?
Si tel est le cas, contactez Metacompliance et découvrez comment ses simulations de phishing protégeront votre organisation contre les hameçonneurs en 2017 et au-delà.
