Huit e-mails frauduleux sur dix sont des e-mails de phishing, selon le rapport BSI 2023. De nombreux fraudeurs se font passer pour des prestataires de services financiers ou soutiennent des programmes caritatifs.
Le rapport de situation actuel du BSI sur la sécurité informatique en Allemagne a une fois de plus fait sensation. Le BSI rapporte, entre autres, 250.000 21.000 nouvelles variantes de malwares, 70 XNUMX systèmes infectés par des malwares chaque jour et XNUMX nouvelles failles de sécurité par jour.
Les situations de crise comme piège pour les e-mails de phishing
Le thème du phishing continue également de jouer un rôle majeur dans le mix de cybersécurité. Béton. Selon le BSI, 84 % de tous les e-mails frauduleux sont des e-mails dits de phishing. Les criminels les utilisent généralement pour tenter d’obtenir des données d’identité ou d’authentification afin de lancer des attaques.
Au cours des 12 derniers mois, le BSI a signalé de nombreuses tentatives de phishing dans le domaine du phishing financier, dans lesquelles les fraudeurs se font passer pour des banques ou des prestataires de services financiers. Un autre facteur expliquant le nombre croissant de tentatives de phishing était les situations de crise sociale, qui servaient de point de départ aux e-mails de phishing. La crise du marché de l'énergie a été particulièrement évoquée. Des tentatives ont également été faites pour tromper les destinataires des courriers électroniques au nom de programmes caritatifs. La guerre en Ukraine et les tremblements de terre en Turquie et en Syrie ont souvent été l’occasion d’envoyer des courriels dangereux.
Source de danger IA
Selon le BSI, le développement continu de l’IA a également joué un rôle de turbocompresseur pour le phishing en 2023. Les modèles linguistiques de l’IA, de plus en plus puissants, sont de plus en plus utilisés à mauvais escient pour rendre les e-mails de phishing plus authentiques et donc plus convaincants.
« Nous sommes conscients du danger que représentent les e-mails de phishing depuis des années. Avec le débat actuel sur l'énergie, la guerre en Ukraine, le conflit entre Israël et le Hamas ainsi que les élections aux États-Unis et le débat houleux sur la migration, il y aura également de nombreux sujets à l'ordre du jour en 2024 qui se prêtent très bien aux e-mails de phishing, » prévient Sascha Spangenberg de Lookout. « Le phishing n’est pas seulement un problème pour les identités numériques privées, mais aussi pour les comptes des entreprises et de leurs collaborateurs. Le vol des identifiants des employés constitue l’un des moyens les plus efficaces permettant aux attaquants d’infiltrer l’infrastructure d’une entreprise. Une fois qu’ils ont en main les identifiants de l’un des comptes, il leur est beaucoup plus facile de contourner les mesures de sécurité et d’accéder aux données sensibles.
Phishing mobile : un appareil sur trois concerné
Dans son rapport sur le phishing mobile, Lookout a examiné comment les attaquants dans l'environnement de l'entreprise obtiennent les accès et les mots de passe. Cette étude mondiale de Lookout a révélé que le nombre d'attaques de phishing mobile en 2022 était plus élevé que jamais auparavant, avec un appareil personnel sur trois et un appareil d'entreprise sur trois exposé à au moins une attaque par trimestre. Cette tendance s’est poursuivie sans interruption au premier trimestre 2023.
Les environnements de travail hybrides et les politiques BYOD (Bring Your Own Device) pourraient être deux raisons de cette augmentation, a déclaré Lookout. Les entreprises ont dû accepter que les appareils mobiles personnels soient de plus en plus utilisés à des fins professionnelles. Cependant, il est important de garder à l’esprit que tout appareil mobile – personnel ou professionnel, géré ou non, iOS ou Android – est vulnérable aux tentatives de phishing.
Comment le BYOD a changé le paysage du phishing
Les smartphones et les tablettes ont permis aux employés d'être plus productifs où qu'ils se trouvent, mais ils ont également apporté de nouveaux défis aux équipes informatiques et de sécurité. Les politiques BYOD signifient que plus de personnes que jamais utilisent leurs appareils personnels pour le travail. Cela signifie que les risques auxquels ils sont confrontés lorsqu'ils utilisent ces appareils à des fins personnelles présentent également des risques pour l'entreprise. Les équipes informatiques et de sécurité ont également beaucoup moins de visibilité sur ces appareils que les appareils appartenant à l'entreprise, ce qui signifie qu'il est plus difficile de contrôler ces risques accrus.
Ces facteurs signifient que les attaquants ciblent désormais les appareils personnels des utilisateurs pour pénétrer dans les environnements d'entreprise. Un employé peut être victime d’une attaque d’ingénierie sociale via des canaux privés tels que les réseaux sociaux, WhatsApp ou le courrier électronique. Une fois que tel est le cas, les attaquants peuvent accéder aux réseaux ou aux données de son employeur. Il ne s’agit pas non plus d’un événement ponctuel, puisque les données de Lookout montrent qu’en 2022, plus de 50 % des appareils personnels ont été exposés à un type d’attaque de phishing mobile au moins une fois par trimestre.
Des millions sont en jeu
Les données ne sont pas la seule chose que les entreprises risquent lorsque les employés tombent dans le piège d'une escroquerie par hameçonnage. Lookout estime que l'impact financier maximal d'une attaque de phishing réussie est passé à près de 5.000 millions de dollars pour les entreprises de XNUMX XNUMX employés. Les secteurs hautement réglementés tels que l'assurance, la banque et le droit sont considérés comme les marchés les plus lucratifs et sont particulièrement vulnérables aux attaques en raison de la grande quantité de données sensibles qu'ils détiennent.
Ces coûts élevés surviennent à un moment où les attaques de phishing atteignent un niveau record. Par rapport à 2020, le nombre d'attaques de phishing est désormais 10 % plus élevé sur les appareils d'entreprise et 20 % plus élevé sur les appareils personnels. De plus, les gens cliquent plus souvent sur les liens de phishing qu'ils ne l'étaient en 2020, ce qui pourrait signifier que les attaquants s'améliorent pour créer des messages d'apparence authentique. Avec plus de risques et plus d'argent en jeu que jamais, les entreprises doivent adapter leurs stratégies de sécurité pour protéger leurs données.
Protéger les données contre les attaques de phishing mobile
Le paysage du phishing mobile est plus perfide que jamais, d'autant plus que le travail à distance augmente. Les équipes informatiques et de sécurité doivent employer des stratégies qui leur permettent de visualiser, détecter et atténuer les risques de données posés par les attaques de phishing sur tous les appareils des employés. Ceci s'applique indépendamment du fait que les appareils appartiennent à l'entreprise ou privés. Avec la bonne stratégie, basée sur le principe Zero Trust et SASE (Secure Access Service Edge), il est possible de sécuriser le monde du travail hybride.
"La détection de phishing sur l'appareil et basée sur l'IA via une plate-forme de sécurité basée sur le cloud permet d'arrêter les attaques là où elles commencent. Une solution de sécurité comme celle-ci empêche les utilisateurs de se connecter à des sites Web de phishing sur des appareils professionnels et personnels », a déclaré Sascha Spangenberg, Global MSSP Solutions Architect chez Lookout. « Une telle solution détecte et bloque les attaques de phishing via n'importe quelle application mobile et empêche les employés de révéler leurs identifiants ou de télécharger des logiciels malveillants. La protection contre les menaces de phishing mobile doit être une priorité si le travail hybride devient une réalité.
Plus sur Lookout.com
À propos de Lookout Les cofondateurs de Lookout, John Hering, Kevin Mahaffey et James Burgess, se sont réunis en 2007 dans le but de protéger les personnes contre les risques de sécurité et de confidentialité posés par un monde de plus en plus connecté. Avant même que les smartphones ne soient dans la poche de tout le monde, ils se sont rendus compte que la mobilité aurait un impact profond sur notre façon de travailler et de vivre.