Les informations d'identification volées des employés sont l'un des moyens les plus efficaces pour les attaquants d'infiltrer l'infrastructure d'une entreprise. En 2022, le nombre d'attaques de phishing mobile était plus élevé que jamais.
Une fois qu'ils ont les informations d'identification de l'un des comptes en main, il leur est beaucoup plus facile de contourner les mesures de sécurité et d'accéder aux données sensibles. Mais comment les attaquants obtiennent-ils ces informations d'identification ? Dans de nombreux cas, la réponse est le phishing mobile. Une étude mondiale, "The Global State of Mobile Phishing Report" par Lookout a révélé qu'en 2022, le nombre d'attaques de phishing mobile était à un niveau record : un appareil personnel sur trois et un appareil d'entreprise sur trois étaient affectés par au moins un attaque suspendue tous les trimestres. Cette tendance s'est poursuivie sans relâche au premier trimestre 2023.
Comment le BYOD a changé le paysage du phishing
🔎 Fréquence des attaques de phishing mobile sur les téléphones portables dans le monde en 2022 (Image : Lookout).
Les environnements de travail hybrides et les politiques d'apport de votre propre appareil (BYOD) pourraient être deux raisons de cette augmentation. Les entreprises ont dû accepter que les appareils mobiles personnels soient de plus en plus utilisés à des fins professionnelles. Cependant, il est important de se rappeler que tout appareil mobile - personnel ou professionnel, géré ou non, iOS ou Android - est vulnérable aux tentatives de phishing.
Les smartphones et les tablettes ont permis aux employés d'être plus productifs où qu'ils se trouvent, mais ils ont également apporté de nouveaux défis aux équipes informatiques et de sécurité. Les politiques BYOD signifient que plus de personnes que jamais utilisent leurs appareils personnels pour le travail. Cela signifie que les risques auxquels ils sont confrontés lorsqu'ils utilisent ces appareils à des fins personnelles présentent également des risques pour l'entreprise. Les équipes informatiques et de sécurité ont également beaucoup moins de visibilité sur ces appareils que les appareils appartenant à l'entreprise, ce qui signifie qu'il est plus difficile de contrôler ces risques accrus.
Attaques ciblées sur les appareils privés des employés
Ces facteurs signifient que les attaquants ciblent désormais les appareils personnels des utilisateurs afin de pénétrer les environnements d'entreprise. Un employé peut être victime d'une attaque d'ingénierie sociale via des canaux privés tels que les réseaux sociaux, WhatsApp ou le courrier électronique. Une fois que c'est le cas, les attaquants peuvent accéder aux réseaux ou aux données de son employeur. Ce n'est pas non plus un événement ponctuel, les données de Lookout montrant que d'ici 2022, plus de 50 % des appareils personnels ont été exposés à une forme d'attaque de phishing mobile au moins une fois par trimestre.
Des millions sont en jeu
Les données ne sont pas la seule chose que les entreprises risquent lorsque les employés tombent dans le piège d'une escroquerie par hameçonnage. Lookout estime que l'impact financier maximal d'une attaque de phishing réussie est passé à près de 5.000 millions de dollars pour les entreprises de XNUMX XNUMX employés. Les secteurs hautement réglementés tels que l'assurance, la banque et le droit sont considérés comme les marchés les plus lucratifs et sont particulièrement vulnérables aux attaques en raison de la grande quantité de données sensibles qu'ils détiennent.
Ces coûts élevés surviennent à un moment où les attaques de phishing atteignent un niveau record. Par rapport à 2020, le nombre d'attaques de phishing est désormais 10 % plus élevé sur les appareils d'entreprise et 20 % plus élevé sur les appareils personnels. De plus, les gens cliquent plus souvent sur les liens de phishing qu'ils ne l'étaient en 2020, ce qui pourrait signifier que les attaquants s'améliorent pour créer des messages d'apparence authentique. Avec plus de risques et plus d'argent en jeu que jamais, les entreprises doivent adapter leurs stratégies de sécurité pour protéger leurs données.
Protégez les données contre les menaces de phishing mobile
Le paysage du phishing mobile est plus perfide que jamais, d'autant plus que le travail à distance augmente. Les équipes informatiques et de sécurité doivent employer des stratégies qui leur permettent de visualiser, détecter et atténuer les risques de données posés par les attaques de phishing sur tous les appareils des employés. Ceci s'applique indépendamment du fait que les appareils appartiennent à l'entreprise ou privés. Avec la bonne stratégie, basée sur le principe Zero Trust et SASE (Secure Access Service Edge), il est possible de sécuriser le monde du travail hybride.
"La détection de phishing sur l'appareil et basée sur l'IA via une plate-forme de sécurité basée sur le cloud permet d'arrêter les attaques là où elles commencent. Une solution de sécurité comme celle-ci empêche les utilisateurs de se connecter à des sites Web de phishing sur des appareils professionnels et personnels », a déclaré Sascha Spangenberg, Global MSSP Solutions Architect chez Lookout. « Une telle solution détecte et bloque les attaques de phishing via n'importe quelle application mobile et empêche les employés de révéler leurs identifiants ou de télécharger des logiciels malveillants. La protection contre les menaces de phishing mobile doit être une priorité si le travail hybride devient une réalité.
Plus sur Lookout.com
À propos de Lookout Les cofondateurs de Lookout, John Hering, Kevin Mahaffey et James Burgess, se sont réunis en 2007 dans le but de protéger les personnes contre les risques de sécurité et de confidentialité posés par un monde de plus en plus connecté. Avant même que les smartphones ne soient dans la poche de tout le monde, ils se sont rendus compte que la mobilité aurait un impact profond sur notre façon de travailler et de vivre.