En 2020, le nombre d’attaques de phishing a doublé, les scams autour du COVID ont explosé et les ransomwares ont fait des dégâts considérables. D’après l’édition 2020 du rapport Internet Crime Report établi par l’IC3 du FBI, c’est le phishing qui a fait le plus de victimes. L’absence de paiement/livraison, l’extorsion, les violations de données personnelles et l’usurpation d’identité viennent compléter le classement des 5 actes de cybercriminalité les plus fréquents de l’année. Nous avons réuni dans cet article les principales statistiques sur la cybercriminalité pour l’année 2020.
Le Business Email Compromise : l’attaque la plus coûteuse
Le FBI a reçu pas moins de 19 369 signalements d’attaques de type Business Email Compromise (BEC) aux États-Unis en 2020. Certes, le nombre de victimes est en baisse par rapport à l’année précédente, mais le coût moyen de ces attaques a quant à lui augmenté. Les attaques BEC, un type de spear phishing, ont ainsi coûté 1,7 milliard de dollars en 2019 et plus de 1,8 milliard de dollars en 2020.
Ces attaques concernent les entreprises de toutes tailles et de tous les secteurs. Comme l’explique le FBI, elles ont gagné en sophistication au cours des dernières années, les stratégies d’ingénierie sociale ayant notamment fait de grands progrès. Les acteurs de la cybercriminalité ne se contentent plus de se faire passer pour le PDG d’une entreprise et de demander à un subalterne de leur faire un virement. Ils usurpent désormais l’identité de fournisseurs et d’avocats, s’attaquent au monde de l’immobilier, tentent des arnaques à la carte-cadeau et compromettent des adresses email personnelles.
Le FBI a ainsi pris l’exemple d’une entreprise de Chicago spécialisée dans les gels hydroalcooliques qui a viré près de 1 million de dollars à des hackers, pensant investir dans des respirateurs. Il ne s’agit là que d’un exemple parmi les dizaines de milliers d’entreprises et de particuliers qui ont été victimes d’arnaques au COVID-19 en 2020.
Les attaques de phishing ont doublé
Une astuce vieille comme le monde a fait son grand retour en 2020 : les attaques de phishing ont en effet doublé en 2020. D’après l’IC3, 241 342 victimes ont signalé des attaques de ce type au FBI en 2020, contre 114 702 en 2019. À la différence de ceux des attaques BEC, les coûts liés au phishing ont légèrement diminué : de 57 millions de dollars en 2019, ils sont passés à 54 millions en 2020.
Comme le BEC, les attaques de phishing ont atteint des niveaux de sophistication inédits en plaçant souvent l’ingénierie sociale au cœur de leur stratégie. Comme en témoigne l’exemple cité précédemment, les cybercriminels ne se sont pas privés d’utiliser la pandémie. La plupart des attaques de phishing liées au COVID-19 s’inscrivaient ainsi dans le cadre de la pandémie et de son impact économique sur les entreprises et les citoyens :
- Aide financière du CARES Act
- Assurance chômage
- Prêts d’aide au maintien des salariés dans les petites entreprises
- Prêts aux petites entreprises
Par ailleurs, le FBI affirme que les hackers ont majoritairement usurpé l’identité d’agences gouvernementales lors de leurs attaques de phishing sur cette thématique. Ils tirent parti des craintes et inquiétudes du public en promettant un accès anticipé aux vaccins tout en vidant des comptes bancaires et en s’emparant d’identifiants de comptes sensibles.
Les ransomwares ont ravagé les PME
Si l’extorsion et les demandes de rançon élevées étaient jusque-là réservées aux entreprises disposant de budgets conséquents, les ransomwares ont pourtant fortement touché les PME en 2020. D’après Datto, le montant moyen exigé par un ransomware pour les PME était de 5 600 $ en 2020, tandis que le coût des temps d’arrêt associés était bien plus élevé, à 247 000 $, soit 94 % de plus que l’année précédente.
77 % des MSP d’Amérique du Nord et 85 % des MSP d’Europe ont signalé des attaques de ransomwares contre leurs clients en 2020. 95 % ont affirmé avoir eux-mêmes été confrontés à de telles attaques.
Les emails de phishing seraient la principale cause des ransomwares, suivis par des pratiques non adaptées des utilisateurs et l’absence de formation à la cybercriminalité. De plus, 59 % des MSP expliquent que les ransomwares ont contourné leur antivirus/anti-malware et 42 % qu’ils ont trompé leur antivirus basé sur l’analyse des signatures.
D’après le rapport de l’IC3, le coût global des ransomwares aux États-Unis a triplé en 2020 pour atteindre 29,1 millions de dollars, contre seulement 8,9 millions en 2019. L’IC3 a enregistré 2 047 plaintes concernant des ransomwares sur l’année. Toutefois, le FBI explique que le coût total de ces attaques et le nombre de victimes sont en réalité probablement supérieurs aux chiffres officiels. Les périodes d’arrêt, les salaires, les fichiers, l’équipement et la remédiation par des tiers ne sont par exemple pas pris en compte dans le calcul des pertes établi par le FBI.
L’agence explique ainsi que le « montant des pertes dues aux ransomwares est artificiellement bas ». D’ailleurs, ces chiffres ne concernent que les attaques signalées au FBI. Or, chacun sait que de nombreuses entreprises essaient de résoudre ce type de problème seules pour éviter d’être livrées en pâture au grand public. Enfin, ces chiffres de la cybercriminalité ne tiennent pas compte des attaques de ransomware signalées aux agences et agents de terrain du FBI.
Outils
Le rapport de l’IC3 a également révélé des statistiques liées aux supports et outils les plus utilisés face à la cybercriminalité. D’après les signalements effectués par les victimes en 2020, les médias sociaux et les cryptomonnaies sont devenus incontournables pour les cybercriminels. Les médias sociaux représenteraient ainsi 155 323 073 $ de dégâts, contre 246 212 432 $ pour les cryptomonnaies.
Les plateformes de réseaux sociaux sont devenues des outils très utiles pour les hackers au cours des dernières années. Avec des milliards d’utilisateurs, chacun connectant leurs comptes à plusieurs applications tierces, elles offrent en effet un pool de victimes ET le moyen de les aborder. Vade a noté une hausse significative des attaques de phishing sur les réseaux sociaux depuis 2018, ceux-ci représentant 13 % de l’ensemble des URL de phishing uniques détectées en 2020. Parmi ces plateformes, Facebook est celle dont l’identité est la plus usurpée. Les cryptomonnaies figurent parmi les modes de paiement les plus demandés pour les extorsions et les ransomwares, car elles permettent aux cybercriminels de préserver leur anonymat.
Statistiques de cybercriminalité à surveiller en 2021
La pandémie de COVID-19 est encore loin d’être terminée. Nous pensons que les tentatives de phishing axées sur cette thématique vont se poursuivre, dans la mesure où le télétravail continue d’être pratiqué massivement dans le monde et que chacun est encore à l’affût de la disponibilité de vaccins dans son centre local.
D’autres scams autour du COVID circulent, notamment en lien avec la fiscalité. Rien que le mois passé, Vade a détecté 4 millions d’emails de phishing ciblant les personnes présentant une dette fiscale, ainsi que des scams liés aux paiements débloqués pour faire face à la crise économique engendrée par la pandémie.
En raison du récent hack de Microsoft Exchange, nous nous attendons également à voir les signalements de spear phishing, d’attaques BEC et de ransomwares se multiplier au sein des entreprises touchées par la faille initiale. Les fournisseurs et clients de ces entreprises finiront eux aussi probablement par être dans le viseur des hackers.
En matière de sécurité de l'email, l’architecture joue un rôle essentiel. Téléchargez cette infographie pour découvrir comment évaluer les solutions de sécurité de l'email pour Microsoft 365.
