Vade a récemment analysé une vague d’attaques de spear phishing visant des organisations dans la région EMEA et aux États-Unis. Cette analyse approfondie révèle des résultats importants sur l’état actuel du paysage du spear phishing, y compris les scams les plus courants, les employés dont l’identité est la plus usurpée, les fonctions les plus ciblées, et plus encore.
Dans cette publication, nous examinons les résultats de l’analyse et présentons des recommandations pour continuer à rester protégés.
Qu’est-ce qu’une attaque de spear phishing ?
Le spear phishing est la cybermenace la plus coûteuse et une forme d’attaque par email très ciblée. Dans ce type d’attaque, souvent motivé par l’appât du gain, un cybercriminel se fait passer pour une personne connue de la victime et utilise des techniques d’ingénierie sociale efficaces pour la piéger. Dans les attaques de spear phishing, la charge utile malveillante se limite souvent à du texte, si bien qu’elles sont faciles à créer pour les hackers et difficiles à détecter avec des moyens humains et technologiques.
Les chercheurs de Vade ont analysé une série récente d’emails de spear phishing afin de mieux comprendre la nature des attaques actuelles. Voici ce qu’ils ont découvert.
Quelles ont été les attaques de spear phishing les plus fréquentes ?
Notre analyse révèle que les attaques par contact initial ont représenté le classificateur (c’est-à-dire la catégorie) de spear phishing le plus fréquent, suivi par le détournement de salaire, la fraude bancaire et la fraude au président. Le contact initial a lieu quand les hackers contactent les victimes avec une demande ou une question destinée à obtenir une réponse. Le but de l’attaque est de créer un historique de communication avec la victime afin qu’elle baisse sa garde et empêche certaines solutions de sécurité de l’email de signaler les emails suivants comme malveillants. Souvent, les menaces de contact initial précèdent d’autres classificateurs de spear phishing.
Dans le cas d’un détournement de salaire, un hacker usurpe l’identité d’un employé et informe une personne du service des RH ou du service financier d’une modification de son compte bancaire. Le hacker tente de rediriger les dépôts directs d’un compte légitime vers un compte frauduleux.
La fraude bancaire est une catégorie fourre-tout qui inclut tous les scams liés à une opération bancaire : les demandes frauduleuses de virements bancaires, les paiements de factures frauduleuses, etc. Les attaques de hackers usurpant l’identité d’employés internes et de représentants bancaires entrent dans cette catégorie.
Dans le cas d’une fraude au président, un hacker usurpe l’identité d’un cadre supérieur et envoie à des employés des demandes visant généralement à leur faire effectuer des opérations bancaires.
Dans le cas d’une arnaque à l'avocat, le type de menace le moins fréquent de notre échantillon, un hacker usurpe l’identité d’un avocat ou d’un cabinet d’avocats et exige le règlement d’une facture frauduleuse. Un hacker peut également se faire passer pour un cadre supérieur agissant pour le compte d’un cabinet d’avocats.
Spear phishing par classificateur
Quelle était la taille des entreprises les plus visées par des attaques de spear phishing ?
La plupart des attaques de spear phishing ont visé les petites entreprises, suivies des moyennes et des grandes entreprises.
Cela peut s’expliquer par deux facteurs. À l’échelle mondiale, les petites entreprises représentent 90 % de toutes les entreprises (et même 99,9 % aux États-Unis), soit la grande majorité des cibles des hackers. Par ailleurs, les petites entreprises n’ont généralement pas les ressources ou le personnel nécessaires en matière de cybersécurité pour se protéger des cybermenaces, ce qui en fait des cibles privilégiées pour les hackers. Une étude récente menée aux États-Unis a révélé que plus de la moitié des petites entreprises (59 %) ne fournissent pas de formation de sensibilisation à la sécurité et que 43 % d’entre elles ne disposent même pas d’un pare-feu basique.
Taille des entreprises visées par des attaques de spear phishing
Quels secteurs ont été les plus visés par des attaques de spear phishing ?
Il apparaît que les services professionnels et les collectivités locales arrivent en tête des secteurs les plus visés par les hackers. Plus de trois attaques sur dix ont concerné ces deux secteurs, tandis que les entreprises des secteurs de la construction, de la vente au détail et de la fabrication faisaient partie des plus touchées.
Ces chiffres ne sont pas surprenants pour les collectivités locales, qui ont tendance à opposer une faible résistance aux hackers et à leur rapporter gros. En France, par exemple, 75 % des collectivités locales dépensent moins de 2 000 € par an dans la cybersécurité alors que plus de la moitié reconnaissent avoir besoin de solutions de cybersécurité et que 42 % estiment être exposées à des risques de cyberattaque. Les collectivités locales ayant tendance à s’appuyer sur des systèmes et des technologies obsolètes, elles n’ont pas d’autre recours que de payer la rançon exigée quand une attaque aboutit.
C’est dans la catégorie « Autre/Inconnue » que la part d’attaques de spear phishing est la plus élevée. Cette catégorie « fourre-tout » regroupe les secteurs de niche ou ceux qui n’ont pas pu être vérifiés.
Secteurs les plus visés par des attaques de spear phishing
Quelles fonctions ont été les plus visées par des attaques de spear phishing ?
Il est intéressant de noter que près d’un quart de toutes les attaques ont visé les trésoriers et les responsables de la gestion des flux de trésorerie et des actifs financiers des entreprises. Le comptable, interne ou externe, arrive en deuxième place du classement, suivi par le responsable/gestionnaire de paie, le directeur/le gestionnaire des RH et le directeur administratif et financier.
Ces chiffres ne sont pas surprenants si l’on considère que ces personnes peuvent directement aider à atteindre les objectifs typiques d’une attaque de spear phishing, à savoir effectuer des paiements, transférer de l’argent ou divulguer des informations sensibles telles que les déclarations d’impôts des employés.
Les 5 fonctions les plus usurpées dans des attaques de spear phishing
Quelles fonctions ont été les plus usurpées dans des attaques de spear phishing ?
Si l’on s’intéresse aux fonctions les plus usurpées plutôt qu’à celles visées, on constate que plus de 62 % des attaques ont impliqué l’usurpation de l’identité d’un membre de la direction d’entreprise. Les attaques de spear phishing s’appuient souvent sur le principe d’autorité pour inciter les victimes à se conformer aux exigences. Le principe d’autorité est un concept psychologique selon lequel les individus sont plus susceptibles de se laisser convaincre par des personnes en position de pouvoir.
La fonction de PDG a été la plus usurpée, suivie de celles de président, de maire, de directeur général et d’avocat. La fonction de maire a été usurpée exclusivement dans le cadre d’attaques contre des collectivités locales dans la région EMEA, tandis que celle d’avocat était la seule parmi les cinq principales à être souvent liée à une organisation externe.
Les 5 fonctions les plus usurpées dans des attaques de spear phishing
Quels services ont été les plus visés par des attaques de spear phishing ?
Parmi les services les plus visés par les hackers, la direction financière arrive en tête, suivie de la comptabilité, des ressources humaines, du service administrations et opérations, du service paie et de la direction d’entreprise. Cela n’est pas une surprise puisque ces services contrôlent les actifs financiers et les actions des entreprises, en plus de gérer des informations sensibles dont les hackers peuvent tirer parti.
Pour rappel, Vade a classé dans la catégorie « Autre/Inconnue » les services correspondant à des secteurs de niche ou ne pouvant pas être identifiés.
Secteurs les plus visés par des attaques de spear phishing
Quels pays ont été victimes d’attaques de spear phishing ?
Plus de la moitié de l'ensemble de données analysé concernait des attaques survenues en France ainsi qu’au Royaume-Uni, aux États-Unis, en Belgique et en Italie.
Secteurs les plus visés par des attaques de spear phishing
Se protéger contre les attaques de spear phishing
Peu de cybermenaces sont plus dangereuses que les attaques de spear phishing : à la fois faciles à concevoir sur le plan technique et difficiles à contrer, elles représentent une menace majeure pour les organisations de toutes tailles. Pour rester protégée, votre entreprise a besoin à la fois d’une sécurité de l’email avancée et d’une grande sensibilisation aux techniques d’ingénierie sociale et scams les plus récents.
Vade for M365, une suite de sécurité de l’email sophistiquée conçue pour Microsoft 365, fournit une protection avancée contre les attaques de spear-phishing. La solution s’appuie sur des algorithmes de natural language processing (NLP), sur des connaissances humaines et sur l’email intelligence de plus de 1,4 milliard de boîtes mails protégées pour détecter les menaces textuelles que les autres solutions ne parviennent pas à identifier. Désormais, Vade for M365 utilise aussi l’IA générative pour fournir une protection avancée contre les menaces développées par la technologie et les hackers expérimentés.
