Les attaques par hameçonnage relèvent autant de la manipulation du comportement humain que de la technologie. Cette affirmation explique pourquoi il est si difficile de prévenir les campagnes de phishing qui aboutissent à des ransomwares, au vol d’informations d’identification et à d’autres cyber-attaques.

Dans les années 1970, une campagne contre l’alcool au volant avait pour slogan « Réfléchissez avant de boire, avant de conduire ». Cette campagne a été efficace et a contribué à réduire le nombre d’accidents de la route liés à l’alcool au Royaume-Uni. Faire en sorte que les gens « réfléchissent » avant d’agir n’est pas aussi facile qu’il n’y paraît. En fait, les campagnes d’hameçonnage s’appuient sur l’absence de réflexion et de réaction spontanée à un courrier électronique. Le phishing est une affaire sérieuse : un rapport récent révèle que 95 % des responsables informatiques estiment que les données sont menacées par le canal du courrier électronique.  

Alors, comment l’entreprise moyenne peut-elle espérer avoir autant de succès que la campagne de lutte contre l’alcool au volant des années 70 lorsqu’il s’agit de contrer les tours de passe-passe d’un cybercriminel ?

Attaques par hameçonnage et comportement humain

Cette difficulté de prévention se reflète dans le succès des attaques de phishing : En 2019, avant la pandémie, les statistiques sur le phishing étaient effroyables, la compagnie d’assurance Beazley ayant constaté une augmentation de 105 % des attaques par ransomware au premier trimestre 2019. Mais en 2020, les attaques de phishing ont explosé. Le FBI a publié un rapport montrant que le phishing était de loin le plus répandu des crimes signalés à sa section des plaintes, IC3. L’un des moteurs du succès du phishing au cours des 12 derniers mois a été la pandémie de Covid-19, qui a offert aux hameçonneurs des opportunités à profusion pour exploiter le comportement humain : en témoigne l’augmentation stupéfiante de 30 000 % des menaces basées sur le Covid-19 au cours de l’année 2020 ; la plupart de ces attaques ont utilisé des sites web malveillants et des courriels de phishing.

Le phishing (et ses variantes, Vishing/Smishing/Pharming) est un vecteur d’attaque répandu parce que la technique fonctionne. Elle fonctionne parce qu’elle utilise le comportement humain naturel pour réaliser une action qui profite au cybercriminel à l’origine de l’attaque. La capacité à manipuler une personne légitime pour lui faire accomplir une action illégitime est la marque de fabrique de l’escroquerie, même avant l’avènement des technologies modernes. Mais la technologie peut tromper même les utilisateurs avertis, car les habitudes d’utilisation de la technologie deviennent « codées en dur » à mesure que l’on se familiarise avec un système.  

Le courrier électronique, par exemple, est une technologie quotidienne que nous utilisons en permanence. En 2020, 306,4 millions de courriels ont été envoyés et reçus chaque jour. Ouvrir un courriel et cliquer sur un lien est presque une seconde nature, un comportement spontané pour une tâche régulière. C’est sur cette répétitivité et sur l’absence de réflexion nécessaire à l’action que se concentre l’hameçonneur.

5 Caractéristiques typiques de l’hameçonnage

Les attaques par hameçonnage visent à piéger les gens avant qu’ils ne réfléchissent trop. Pour ce faire, les campagnes doivent veiller à ce que certains critères soient remplis et que les circonstances soient optimisées :

  1. Une source fiable : Une façon d’éliminer le processus de réflexion est de faire en sorte que le destinataire de l’e-mail se sente en sécurité. Les campagnes d’hameçonnage se font généralement passer pour des marques connues. Dans une étude sur les marques utilisées par les hameçonneurs, Microsoft apparaît à plusieurs reprises comme l’une des marques préférées des hameçonneurs pour usurper leur identité. Parmi les autres marques usurpées figurent Netflix et PayPal.
  2. L’attrait du clic : Alors que 79 % des personnes déclarent pouvoir reconnaître un courriel de phishing, près de la moitié d’entre elles cliqueront tout de même sur un lien contenu dans un courriel suspect. Ce comportement s’explique probablement par la formation implicite que nous avons tous reçue pour utiliser des contenus prêts pour l’internet. Cliquer est presque une réaction pavlovienne lorsqu’un courriel contient un lien. Les concepteurs de l’expérience utilisateur (UX) ont utilisé ce type de conditionnement pour aider les gens à utiliser la technologie plus facilement ; les cybercriminels utilisent la même manipulation psychologique pour nous faire cliquer sur un lien d’hameçonnage afin de lancer l’étape suivante de l’hameçonnage.
  3. Diriger par la tâche : Le fait de concentrer l’e-mail sur une tâche simple permet d’éliminer le processus de réflexion. Les tâches répétitives et reconnues, telles que la réinitialisation de mots de passe, sont les préférées des hameçonneurs. Cela permet de faire ce « clic » si important sans trop réfléchir aux conséquences possibles. Si la tâche est liée au travail, il est plus probable que le clic soit effectué et que l’événement de phishing soit déclenché.
  4. L’urgence : Souvent, les courriels d’hameçonnage contiennent une sorte d’élément déclencheur qui pousse à l’auto-clic. Il s’agit souvent de la menace d’une mesure disciplinaire ou d’une inquiétude concernant une action, comme le paiement d’une facture. Certaines campagnes de phishing sont très ciblées (Spear phishing). Ces campagnes usurpent souvent l’identité d’un PDG ; le faux PDG envoie alors un courrier électronique au service de la comptabilité pour lui demander de virer de l’argent sur un compte bancaire. Ce compte est, bien entendu, détenu par un escroc.   
  5. Surmenage: Une étude sur les hôpitaux ciblés par des campagnes de phishing a conclu que le personnel surchargé de travail était plus susceptible de cliquer sur un lien de phishing. Si vous n’avez pas le temps de réfléchir, vous opterez pour la réponse automatique.

Une note sur les attaques de spear phishing. Ce type d’hameçonnage nécessite un niveau de reconnaissance plus approfondi pour envoyer des courriels d’hameçonnage plus convaincants à la cible. Ce niveau de détail rend les courriels de spear phishing encore plus difficiles à repérer pour les employés. Par conséquent, les attaques de spear-phishing par courrier électronique ont augmenté de 667 % pendant la pandémie de Covid-19.

Comment inciter un employé à cliquer sur un lien d’hameçonnage ?

Les cybercriminels sont passés maîtres dans l’art de créer les conditions d’une campagne de phishing réussie. Ils utilisent toutes les astuces pour inciter l’utilisateur à cliquer, par exemple en usurpant l’identité de marques de confiance, afin de faire de l’utilisateur un appât facile. La ruse de phishing d’Office 365 en 2020 en est un exemple. Elle comportait tous les éléments permettant de manipuler les utilisateurs pour qu’ils cliquent avant de réfléchir :

  • Des courriels frauduleux ont été envoyés aux employés en faisant croire qu’il s’agissait de Microsoft Office 365. 
  • Le courriel s’intitulait « Formation COVID-19 pour les employés : un certificat pour les lieux de travail sains »:Un certificat pour des lieux de travail sains« . les employés étaient encouragés à donner suite à l’e-mail pour des raisons professionnelles.
  • Les destinataires de l’e-mail étaient invités à cliquer sur un lien dans l’e-mail qui les conduisait à une page de connexion Office 365 falsifiée : la page semblait identique à une page Office 365 réelle.
  • Un utilisateur était invité à saisir ses identifiants Office 365 pour se connecter et recevoir le certificat. S’il le faisait, ces informations d’identification étaient volées, puis utilisées pour se connecter au véritable portail Office 365.

Comment empêcher un employé de cliquer sur un lien d’hameçonnage ?

La prévention des comportements codés en dur nécessite une formation de sensibilisation spécialisée. Les technologues ont conçu des systèmes pour qu’ils soient faciles à utiliser et pour que le clic soit une action facile, cette réponse automatique doit être brisée pour empêcher le succès du phishing. En proposant un test d’hameçonnage bien conçu et contrôlé, une organisation peut contribuer à modifier le comportement dont dépendent les cybercriminels. Les tests d’hameçonnage simulés créent un environnement sûr pour former les utilisateurs aux manières subtiles dont les hameçonneurs manipulent leur comportement, de sorte qu’ils puissent se méfier de ces astuces. Dans le cadre d’un programme plus large de sensibilisation à la sécurité, la simulation d’hameçonnage est efficace pour empêcher les hameçonnages réussis qui aboutissent au vol d’informations d’identification, à l’exposition de données et à l’infection par des ransomwares.  

Le guide ultime de l'hameçonnage