Les employés ne sont pas assez vigilants lorsqu'ils reçoivent des courriels. Une analyse actuelle de Kaspersky sur les simulations de phishing dans les entreprises [1] montre que de nombreux employés ne remarquent généralement pas les pièges cachés dans les affaires de l'entreprise et les notifications de prétendus problèmes de livraison dans les e-mails.
Près d'un sur cinq a cliqué sur le lien dans les modèles d'e-mails imitant ce type d'attaque de phishing. D'autres e-mails de phishing courants, qui annoncent que son propre ordinateur a été piraté ou promettent un profit, ne réussissent guère avec une conversion de clic d'un à deux pour cent.
9 attaques sur 10 commencent par phishing
On estime que neuf cyberattaques sur dix (91 %) commencent par un e-mail de phishing ; Les techniques de phishing sont impliquées dans les deux tiers de toutes les violations de données réussies (32 %) [2].
Pour mieux comprendre cette menace, les experts de Kaspersky ont collecté et analysé les données d'un simulateur de phishing fourni volontairement par les utilisateurs. Intégré à Kaspersky Security Awareness Platform [3], cet outil aide les organisations à vérifier que les employés peuvent repérer un e-mail de phishing sans compromettre les données de l'entreprise. Un administrateur choisit parmi un ensemble de modèles qui imitent des scénarios de phishing courants ou crée un modèle personnalisé, puis l'envoie au groupe d'employés sélectionné sans avertissement et suit les résultats. Un grand nombre d'utilisateurs cliquant sur le lien indique qu'une formation supplémentaire en cybersécurité est nécessaire.
Les cinq lignes d'objet les plus efficaces dans les e-mails de phishing
- "Echec de la tentative de livraison - Malheureusement, notre coursier n'a pas pu livrer votre article" soi-disant d'un service de livraison postale : conversion de clics de 18,5 %
- "Les e-mails n'ont pas été livrés car le serveur de messagerie était surchargé" Soi-disant de l'équipe d'assistance Google : conversion de clics de 18 %
- "Enquête en ligne auprès des employés : qu'est-ce que vous amélioreriez si vous travailliez dans l'entreprise ?" Soi-disant du service des ressources humaines : conversion de clics de 18 %
- "Rappel : Nouveau code vestimentaire à l'échelle de l'entreprise" Soi-disant du service des ressources humaines : conversion de clics de 17,5 %
- « A l'attention de tous les employés : plan d'évacuation pour le nouveau bâtiment » soi-disant du service de sécurité : conversion de clics de 16 %
Crochets plus efficaces pour les e-mails de phishing
- Confirmations de réservation d'un service de réservation (11 %)
- Notifications de placement de commande (11 %)
- Annoncer un concours IKEA (10 %)
Les e-mails qui menacent le destinataire ou promettent des avantages immédiats semblent avoir moins de « succès ». Un modèle avec le sujet "J'ai piraté votre ordinateur et je connais votre historique de recherche" n'a cliqué que sur 1.000 % des utilisateurs, les offres gratuites de Netflix et XNUMX XNUMX $ sur XNUMX % seulement.
« La simulation de phishing est l'un des moyens les plus simples de vérifier la cyber-résilience des employés et d'évaluer l'efficacité de leur formation en cybersécurité. Cependant, il y a des aspects importants à prendre en compte lors de sa mise en place pour qu'elle soit vraiment efficace », explique Christian Milde, Managing Director Central Europe chez Kaspersky. "Étant donné que les cybercriminels adaptent constamment leurs méthodes, la simulation doit refléter les tendances actuelles de l'ingénierie sociale en plus des scénarios courants de cybercriminalité. Il est crucial que des attaques simulées soient menées régulièrement et complétées par une formation appropriée. De cette manière, les utilisateurs développent une forte sensibilisation qui leur permet d'éviter d'être dupés par des attaques ciblées ou du spear phishing.
Recommandations de Kaspersky pour la protection contre les attaques de phishing
- Informez régulièrement les employés des caractéristiques de base des e-mails de phishing [4], tels qu'une ligne d'objet alarmante, des erreurs et des fautes de frappe, des adresses d'expéditeur en conflit et des liens suspects.
- En cas de doute sur l'e-mail reçu, le format des pièces jointes et l'exactitude du lien doivent être vérifiés avant de cliquer. Survoler ces éléments avec le curseur de la souris peut garantir que l'adresse semble authentique et que les fichiers joints ne sont pas dans un format exécutable.
- Les attaques de phishing doivent toujours être signalées au service de sécurité informatique. Cela permet à l'équipe de cybersécurité de reconfigurer les politiques anti-spam et de prévenir un incident.
- Les employés doivent être régulièrement formés à la cybersécurité. Des formations telles que Kaspersky Security Awareness Training [5] visent à modifier le comportement des apprenants et à leur apprendre à faire face aux menaces.
- Parce que les tentatives de phishing peuvent prêter à confusion et qu'il n'y a aucune garantie d'éviter tous les clics involontaires, tous les appareils doivent être protégés avec une solution fiable comme Kaspersky Small Office Security [6]. Les solutions correspondantes offrent des fonctions anti-spam, suivent les comportements suspects et créent des sauvegardes en cas d'attaques de ransomwares.
https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
https://www.kaspersky.de/enterprise-security/security-awareness
https://www.kaspersky.de/small-business-security/small-office-security
Plus sur Kaspersky.com