Les cyberattaques ciblant les entreprises par e-mail sont de plus en plus diversifiées, avec des techniques telles que l’ingénierie sociale et l’utilisation de services de protection d’URL légitimes. Une approche proactive et basée sur l’IA est indispensable pour contrer ces menaces croissantes.

Il faut moins d’une minute pour qu’une personne tombe dans le piège de l’hameçonnage. Tels sont les enseignements du Data Breach Investigations Report de 2024 de Verizon et qui nous en apprend beaucoup sur le phishing et comment l’appréhender. En détails, il faut 21 secondes pour que le destinataire clique sur un lien malveillant reçu par e-mail, et 28 secondes supplémentaires pour la saisie de données demandées.

État des lieux du contexte actuel

Les attaques perpétuées par e-mail ne sont pas seulement rapides, mais également répandues et efficaces. En effet, elles sont peu coûteuses pour les hackers et faciles à mettre en place. De plus, elles peuvent être étendues et adaptées au fur et à mesure que de nouveaux outils et de nouvelles capacités d’attaques émergent. Au cours des derniers mois, les menaces provenant des e-mails ont nettement évolué, s’adaptant en permanence à l’évolution du paysage numérique, en exploitant de nouveaux outils et de nouvelles techniques pour contourner la détection, et augmenter les chances de succès.

Ce qui a notamment été constaté ces derniers mois, c’est :

1/ La proportion de menaces plus avancées et plus ciblées par e-mail augmentent régulièrement d’année en année : la compromission des boites mails professionnelles représente désormais plus d’une attaque d’ingénierie sociale sur dix, tandis que le détournement de conversations a augmenté de 70 % depuis 2022.

2/ Les hackers se servent également des QR codes, des webmails les plus utilisés et des réducteurs d’URL pour mieux dissimuler leurs attaques et les liens malveillants pour l’hameçonnage.

3/ De plus, la taille de l’entreprise est une importante variable concernant les menaces orchestrées par e-mail auxquelles les entreprises sont le plus susceptibles d’être confrontées.

La taille de l’entreprise est une variable sur le type d’attaques effectuées

Peu importe leurs tailles, toutes les entreprises sont vulnérables aux menaces par e-mail, mais elles le sont de différentes manières. En effet, 42 % des attaques ciblées par e-mail à l’encontre des grandes entreprises impliquent un hameçonnage latéral, c’est-à-dire que les attaques sont envoyées via un compte en interne qui est déjà compromis. Seulement 2 % des attaques contre les entreprises comptant jusqu’à 100 employés entrent dans cette catégorie.

Les plus petites structures sont quant à elles plus susceptibles d’être touchées par des attaques de type phishing externes. Elles représentent 71 % des menaces ciblées par e-mail au cours des 12 derniers mois, contre 41 % pour les plus grandes entreprises.

Les petites entreprises sont également victimes d’environ trois fois plus d’extorsions que les grandes. Les extorsions représentent 7 % des incidents ciblés pour les plus petites entreprises, contre 2 % pour celles qui comptent 2 000 employés ou plus.

La prévalence des BEC (compromission des boites mails professionnelles) et des détournements de conversation est restée relativement constante, quelle que soit la taille de l’entreprise.

Ces variations sont probablement influencées par une série de facteurs organisationnels, culturels et technologiques propres à chaque type d’entreprise. Les grandes entreprises par exemple, qui disposent d’un grand nombre de boîtes mails et donc d’employés, offrent aux attaquants davantage de points d’entrée potentiels, et de multiples canaux de communication pour diffuser des messages malveillants dans toute l’entreprise. Les employés sont susceptibles de faire confiance aux e-mails qui semblent provenir de leur propre entreprise, même si l’expéditeur ne leur est pas spécialement familier. Les petites entreprises, quant à elles, n’implémentent pas en masse de sécurité multicouche et statistiquement, elles configurent moins bien les filtres de courrier électronique en raison d’un manque de compétences et de ressources en interne.

L’utilisation de nouvelles tactiques pour mieux tromper les cibles

Aujourd’hui, une boîte mail sur vingt a déjà été la cible d’attaques par QR code, au cours du dernier trimestre 2023. Les attaques via QR code sont difficiles à détecter avec des méthodes traditionnelles de filtrage des e-mails. Elles éloignent également les victimes des machines de l’entreprise et les obligent à utiliser des appareils électroniques personnels, que ce soit un smartphone ou une tablette, qui ne sont pas protégés par des logiciels de sécurité fournis par l’entreprise.

Nous avons constaté que Gmail représentait un peu moins d’un quart des domaines utilisés pour des attaques d’ingénierie sociale en 2023. Quant à bit.ly, il était utilisé dans près de 40 % des attaques d’ingénierie sociale comprenant une URL raccourcie.

Plus récemment encore, nous avons constaté que les hackers exploitaient les services de protection d’URL de confiance pour dissimuler des liens malveillants dans des attaques de phishing. Les hackers profitaient de différents services de protection d’URL fournis par des marques reconnues pour masques leurs URL contenant des liens d’hameçonnage. Ils ont probablement eu accès au service de protection après avoir compromis les comptes d’utilisateurs légitimes. Cette tactique plutôt inventive permet aux hackers d’échapper à la détection des systèmes de sécurité. D’ailleurs, l’utilisation abusive de marques de sécurité fiables et légitimes signifie que les destinataires sont plus susceptibles de se sentir rassurés et de cliquer malencontreusement sur un lien malveillant.

Les moyens de préserver la sécurité

Les professionnels informatiques et de la sécurité doivent rester concentrés sur l’évolution des menaces perpétuées par e-mail et sur ce que cela signifie pour les mesures de sécurité à mettre en place et les réponses à adresser face aux incidents. Cela implique de comprendre comment les hackers peuvent tirer parti de l’IA générative pour progresser et étendre leurs activités, ainsi que les dernières tactiques qu’ils utilisent pour passer les contrôles de sécurité.

Pour se prémunir au mieux, la meilleure défense reste les technologies de sécurité des e-mails alimentées par l’IA qui s’adaptent rapidement au paysage changeant des menaces. De plus, ces technologies ne reposent pas uniquement sur la recherche de liens ou de pièce jointes malveillantes. Les employés en bénéficient aussi grâce à de la formation active et régulière de sensibilisation à la sécurité pour les employés sur les dernières menaces et sur la manière de les repérer et de les signaler.

Les petites entreprises peuvent également envisager de faire appel à un fournisseur de services gérés pour bénéficier d’une expertise et d’une assistance supplémentaire dans le renforcement de leur environnement de sécurité contre toutes les menaces.
____________________________

Par Eric Heddeland, VP EMEA Southern Region, Barracuda Networks

 

À lire également :

Les Bad Bots à l’assaut des API…

Les attaques par email sont capables de contourner la sécurité

Pourquoi l’email est toujours le principal vecteur de cyberattaques ?

Quand avez-vous envoyé un email chiffré pour la dernière fois ?

Cyberattaques : l’immobilisation des entreprises coûte bien plus cher qu’on ne le pense