La crise sanitaire et la communication gouvernementale font progresser les tentatives de phishing. Analyse et conseils de Arnout Van de Meulebroucke, de Phished.

En 2021, 23 % de tous les employés belges ont été victimes de phishing par l’algorithme automatisé Phished. Ces messages menaient à des pages d’accueil sécurisées avec le message indiquant qu’ils avaient été hameçonnés. Toutefois, plus de 25 % des personnes interrogées ont renseigné leurs données lorsqu’une telle page d’accueil comportait des champs permettant de remplir des informations personnelles, par exemple une fausse page de connexion.

« Bien que ces chiffres indiquent déjà un problème systématique au sein de la population active belge, je suis surtout préoccupé par le fait que pas moins de 7 % de tous les employés ouvrent une pièce jointe suspecte contenue dans un courriel, commente Arnout Van de Meulebroucke, CEO, Phished, expert en sensibilisation à la cybersécurité. Contrairement à l’hameçonnage, qui nécessite généralement une étape supplémentaire avant que les dommages réels ne soient causés, une pièce jointe malveillante peut immédiatement avoir de graves conséquences. »

Communication gouvernementale

En 2020, la crise sanitaire mondiale a été le facteur déterminant de la forte augmentation des attaques de phishing. En 2021, cette tendance s’est clairement confirmée. L’explication ? Les modes de communication des différents gouvernements, assure Arnout Van de Meulebroucke.

Arnout Van de Meulebroucke : “On a besoin de formations approfondies et répétées. Ce n’est qu’à cette condition que le message passera ! “

« Au cours de l’année écoulée, les autorités ont utilisé sensiblement plus souvent les messages électroniques et les SMS pour informer la population des nouvelles mesures et des vaccinations, entre autres. Deux supports de communication extrêmement sensibles au phishing ! »

En ce qui concerne le phishing, les Belges (47 %) sont légèrement moins susceptibles de se faire prendre après avoir ouvert des courriels frauduleux que la moyenne mondiale (53 %). « Cela s’explique par le fait que les Belges ouvrent moins que la moyenne leurs courriels sur leurs smartphones, sur lesquels il est plus difficile de reconnaitre l’origine d’un éventuel courriel de phishing », justifie Arnout Van de Meulebroucke.

En 2021, le secteur public est resté plus vulnérable que le secteur privé. En moyenne, les employés du secteur public ont été victimes d’hameçonnage 5 % plus souvent, ce qui est bien supérieur à la moyenne mondiale de 3 %.

Le COVID, cet accélérateur de phishing…

Qui dit hameçonnage pense souvent à des courriels demandant d’effectuer une transaction financière. Bien que ces messages fassent de nombreuses victimes, nous voyons ce type de campagne moins souvent que les messages concernant les ressources humaines, la chaine d’approvisionnement, l’informatique ou les questions liées au management.

Dans l’ordre, ce sont donc le COVID-19 (travail à domicile, tests, vaccination), les ressources humaines (amendes, licenciements, congés, contenu sensible), les fournitures (envois, Amazon…), l’informatique (mots de passe, VPN, support…), la bureautique (Microsoft, Gmail…), la gestion (spear phishing) et les finances (factures)…

Il est clair que le seul sujet lié au virus perdurera en 2022. Ce qui n’exclut pas d’autres tendances, estime encore Arnout Van de Meulebroucke. « Les ‘deep fakes’, imitations de personnes connues, rendront le phishing vocal plus convaincant et feront beaucoup plus de victimes. Le smishing continuera également à se développer, sous l’impulsion des communications gouvernementales et des SMS des services de colis… »

Formations approfondies et répétées

 Les alertes de calendrier non désirées, où les pirates spamment votre calendrier avec des invitations à des réunions et des fraudes basées sur des codes QR, nous accableront encore davantage l’année prochaine. Enfin, n’oublions pas que l’essor des ‘mules à bitcoins’ permet aux attaques de phishing de disparaitre encore plus dans l’anonymat, rendant les pirates de plus en plus difficiles à attraper. 

La tâche pour l’année à venir est claire : les organisations doivent insister fortement sur la sensibilisation de leurs employés. « Un atelier ponctuel ne sert à rien dans le domaine du phishing. Des études montrent que même une formation approfondie (ponctuelle) tombe complètement dans l’oubli après six mois. On a besoin de formations approfondies et répétées. Ce n’est qu’à cette condition que le message passera ! »