L’hameçonnage ne se limite plus à votre boîte de réception

L’hameçonnage a beaucoup évolué depuis les courriels « vous avez gagné un prix » qui encombraient autrefois les boîtes de réception. La plupart des employés sont aujourd’hui beaucoup plus conscients des courriels suspects et les organisations ont investi massivement dans le filtrage, la formation et les simulations pour les démasquer.

Les attaquants se sont donc adaptés.

Au lieu de se concentrer uniquement sur le courrier électronique, ils s’intéressent de plus en plus aux outils que vos collaborateurs utilisent au quotidien pour accomplir leur travail. Des plateformes telles que Microsoft Teams et Slack sont devenues essentielles à la communication, à la collaboration et au partage d’informations au sein des organisations, et cette évolution a ouvert une nouvelle surface d’attaque très efficace.

Il ne s’agit pas de remplacer l’hameçonnage par courriel, mais de l’étendre à des espaces où les gens se sentent plus à l’aise, plus confiants et beaucoup moins sur leurs gardes.

Pourquoi les plateformes internes sont-elles plus sûres que le courrier électronique ?

Il y a une raison simple pour laquelle les attaquants ciblent les outils de messagerie interne : les gens leur font confiance.

Le courrier électronique nous a appris à être prudents. Nous vérifions l’adresse de l’expéditeur, nous nous interrogeons sur les pièces jointes inattendues et nous réfléchissons à deux fois avant de cliquer sur des liens. Les applications de messagerie, en revanche, sont rapides, informelles et familières. C’est là que l’on pose des questions rapides, que l’on partage des fichiers et que l’on prend des décisions en temps réel.

Ce changement d’état d’esprit est important.

Rapport d’IBM Rapport sur le coût d’une violation de données montre régulièrement que le vol d’informations d’identification est l’un des moyens les plus courants utilisés par les pirates pour accéder à nos systèmes. Une fois à l’intérieur, ces comptes peuvent être utilisés pour envoyer des messages internes convaincants qui sont beaucoup plus difficiles à détecter.

Lorsqu’un message apparaît dans Teams ou Slack, il ne ressemble pas à une menace extérieure. Il ressemble à un collègue qui demande de l’aide, partage un document ou demande quelque chose d’urgent. Cette hypothèse fait baisser la garde des gens sans même qu’ils s’en rendent compte.

Comment les pirates exploitent les applications de messagerie

Les mécanismes de ces attaques ne sont pas particulièrement complexes. Ce qui les rend efficaces, c’est le contexte.

Avec l’adoption généralisée du travail à distance et hybride, les plateformes de collaboration sont devenues essentielles aux opérations quotidiennes. Les données provenant des Office des statistiques nationales montre à quel point ces outils sont désormais intégrés dans les lieux de travail modernes, ce qui en fait naturellement une cible attrayante pour les attaquants.

L’un des scénarios les plus courants commence par un compte compromis. Un pirate accède à un utilisateur légitime, souvent grâce à des informations d’identification volées lors d’une précédente intrusion ou à un courriel d’hameçonnage réussi. À partir de là, il commence à envoyer des messages en interne.

Parce que le compte est réel, tout se vérifie. Le nom est familier, la photo de profil est correcte et le ton correspond à la façon dont cette personne communique habituellement.

Un message typique peut ressembler à une demande rapide de révision d’un document, d’approbation d’une facture ou de vérification d’un lien partagé. Il peut faire référence à un projet en cours ou utiliser un langage qui semble tout à fait normal au sein de l’organisation.

La nature informelle des plateformes de messagerie joue un rôle important à cet égard. Les messages sont plus courts, moins structurés et souvent envoyés à la hâte. Il y a moins d’examen, moins de vérifications et une plus forte présomption que ce que vous voyez est légitime.

Les fichiers et les liens sont également partagés beaucoup plus librement. Dans les courriels, une pièce jointe inattendue peut éveiller les soupçons. Dans Teams ou Slack, elle fait souvent partie des flux de travail quotidiens.

Le risque de la rapidité et de l’informalité

Les plateformes de messagerie interne sont conçues pour être rapides. C’est précisément ce qui les rend précieuses, et c’est aussi ce qui les rend risquées.

Lorsque quelqu’un reçoit un message demandant quelque chose d’urgent, il est souvent pressé d’y répondre rapidement. Qu’il s’agisse d’un supérieur hiérarchique demandant des informations, d’un collègue demandant un accès ou d’une tâche financière nécessitant une attention immédiate, l’instinct pousse à agir plutôt qu’à poser des questions.

C’est là que les attaquants prennent l’avantage.

Ils n’ont pas besoin de créer des messages très sophistiqués. Ils doivent simplement créer des messages crédibles qui s’adaptent à l’environnement. Un simple « pouvez-vous jeter un coup d’œil à ceci » accompagné d’un lien suffit souvent.

Plus le style de communication est informel, plus il est facile de se fondre dans la masse. Il n’est pas nécessaire de respecter une grammaire parfaite ou une structure formelle. En fait, les messages trop soignés peuvent parfois paraître plus suspects que les messages décontractés.

Cette évolution remet en question une grande partie de la formation traditionnelle de sensibilisation au phishing, qui tend à se concentrer sur la détection des signaux d’alerte évidents dans les courriels. Ces signaux sont beaucoup moins pertinents dans un environnement de messagerie.

Indicateurs concrets de croissance

Il est de plus en plus évident que les attaquants vont au-delà du courrier électronique et s’attaquent activement aux outils que les employés utilisent tous les jours.

Le centre national de cybersécurité du Royaume-Uni Centre national de cybersécurité du Royaume-Uni continue d’avertir que le phishing reste l’une des méthodes d’attaque les plus courantes et les plus efficaces, mais la manière dont il est pratiqué évolue en même temps que les habitudes de travail. Alors que la communication se déplace vers les plateformes de collaboration, le comportement des attaquants évolue lui aussi.

Dans le même temps, une étude de Verizon montre que 74 % des brèches impliquent un élément humain, notamment l’hameçonnage et l’utilisation d’informations d’identification volées. Une fois que les attaquants ont obtenu l’accès, les outils internes tels que les plateformes de messagerie deviennent une étape naturelle, leur permettant de se déplacer latéralement et de cibler d’autres employés d’une manière beaucoup plus convaincante.

Données du Ministère britannique de la science, de l’innovation et de la technologie renforce également l’ampleur du problème, l’hameçonnage étant régulièrement signalé comme le type de cyberattaque le plus répandu dans les organisations britanniques. Bien qu’une grande partie de ces attaques soit encore associée au courrier électronique, cela montre à quel point le phishing est toujours efficace, quel que soit le canal utilisé.

Ce qui importe ici, ce n’est pas seulement que ces attaques se produisent, mais aussi la façon dont elles s’adaptent. Alors que les organisations continuent de s’appuyer sur des outils tels que Microsoft Teams et Slack pour leurs communications quotidiennes, les attaquants suivent cette évolution et s’intègrent dans des environnements qui leur sont familiers, dans lesquels elles ont confiance et qui sont beaucoup moins susceptibles d’être remis en question.

Pourquoi la formation traditionnelle de sensibilisation à la sécurité n’est pas à la hauteur

La plupart des programmes de sensibilisation à la sécurité sont encore fortement axés sur le courrier électronique.

On apprend aux employés à survoler les liens, à vérifier l’adresse de l’expéditeur et à repérer les signes d’usurpation d’identité. Ces compétences restent importantes, mais elles ne s’appliquent pas entièrement aux plateformes de messagerie.

Dans Teams ou Slack, il n’y a pas d’adresse d’expéditeur évidente à vérifier de la même manière. Le message provient souvent d’une personne que l’employé connaît déjà. Le contexte semble interne, et non externe.

Cela crée un fossé entre ce que les gens sont formés à rechercher et ce qu’ils vivent réellement au quotidien.

Si les employés ne sont formés qu’à repérer les hameçonnages par courrier électronique, ils risquent beaucoup plus de ne pas s’en apercevoir sur d’autres canaux.

Ce que les organisations devraient faire ensuite

La gestion de ce risque ne nécessite pas une refonte complète, mais un changement d’orientation.

La première étape consiste à étendre la sensibilisation au-delà du courrier électronique. Les employés doivent comprendre que le phishing peut se produire partout où il y a communication. Cela inclut les plateformes de messagerie, les outils de collaboration et même les documents partagés.

La formation devrait inclure des exemples réels de ce à quoi ressemble le phishing dans Teams ou Slack. Cela aide les gens à reconnaître que le format peut être différent, mais que l’intention est la même.

Il est également important de renforcer un message simple mais souvent négligé. Interne ne signifie pas toujours sûr.

Il est essentiel d’encourager la vérification. Si une demande semble inhabituelle, même si elle émane d’un collègue, les employés doivent se sentir à l’aise pour la vérifier par un autre canal. Il peut s’agir d’un appel rapide, d’un message séparé ou d’un entretien direct avec la personne.

Les simulations peuvent également jouer un rôle important à cet égard. Au lieu de se concentrer uniquement sur des scénarios basés sur le courrier électronique, les organisations peuvent organiser des exercices qui imitent les interactions réelles des applications de messagerie. Cela permet de se familiariser avec les comportements suspects et d’acquérir la confiance nécessaire pour les repérer dans un contexte plus réaliste.

Enfin, les organisations devraient examiner la manière dont l’accès et les comptes sont gérés. Étant donné que bon nombre de ces attaques reposent sur des informations d’identification compromises, le renforcement des méthodes d’authentification et la surveillance des comportements inhabituels peuvent réduire le risque de manière significative.

Renforcez votre défense là où c’est le plus important

Alors que l’hameçonnage dépasse le cadre du courrier électronique pour atteindre des plateformes internes telles que Microsoft Teams et Slack, les organisations doivent préparer leurs employés aux menaces auxquelles ils sont le plus susceptibles d’être confrontés.

Avec la simulation avancée de phishing de MetaCompliance simulation avancée de phishing de MetaCompliance vous pouvez reproduire des attaques réelles par le biais de campagnes ciblées et automatisées, adaptées au rôle et au risque. Cela aide les employés à reconnaître les messages suspects, à réagir en toute confiance et à développer une sensibilisation durable, tout en veillant à ce que votre programme évolue en même temps que les menaces émergentes.

Grâce à des rapports clairs et à des informations exploitables, vous pouvez suivre l’évolution des comportements au fil du temps, identifier les zones à risque et démontrer aux parties prenantes que des progrès mesurables ont été accomplis.

Si le phishing évolue, votre approche de la simulation et de la formation doit évoluer avec lui. Prenez contact avec notre équipe pour en savoir plus.