Avec une augmentation de près de 50 %, les attaques de phishing touchent principalement les administrations publiques, ainsi que les secteurs de l'éducation et de la finance.

Principales conclusions

• En 2022, les attaques de phishing ont connu une hausse de près de 50 % dans le monde par rapport à 2021.
• Le secteur de l'éducation a été le plus durement touché, avec une augmentation alarmante de 576 % des attaques, suivi de près par les secteurs de la finance et des administrations publiques. En revanche, le secteur du commerce de détail et de gros, qui était la cible principale l'année dernière, a connu une baisse de 67 %.
• Les États-Unis, le Royaume-Uni, les Pays-Bas, le Canada et la Russie sont les cinq pays les plus ciblés par les attaques de phishing.
• Les outils d'IA tels que ChatGPT et les kits de phishing ont largement contribué à la croissance du phishing et ce, en réduisant les obstacles techniques pour les cybercriminels et en leur permettant de gagner du temps et des ressources.
• Le phishing par SMS (SMiShing) évolue vers le phishing par boîte vocale (Vishing), incitant davantage de victimes à ouvrir des pièces jointes malveillantes.
• Une architecture Zero Trust basée sur un proxy natif dans le cloud est essentielle pour que les entreprises renforcent leur sécurité en ligne et se protègent contre l'évolution des attaques de phishing.

Zscaler, Inc. (NASDAQ : ZS), leader de la sécurité dans le cloud, dévoile aujourd'hui les résultats de son rapport ‘2023 ThreatLabz Phishing Report’. Ce dernier analyse douze mois de données globales sur le phishing provenant du plus grand cloud de sécurité en ligne au monde. L’objectif est de déterminer les dernières tendances, les tactiques émergentes et les secteurs et régions les plus touchés par les attaques de phishing. Les conclusions mettent en lumière le fait que la majorité des attaques de phishing modernes sont basées sur des identifiants volés, soulignant ainsi le danger croissant des attaques AitM (Adversary-in-the-Middle), l'utilisation croissante du InterPlanetary File System (IPFS) et la dépendance envers les kits de phishing disponibles sur le marché noir et les outils d'IA tels que ChatGPT.

« Le phishing demeure l'un des vecteurs de menace les plus répandus utilisé par les cybercriminels pour infiltrer les entreprises internationales. Nous constatons une augmentation et une sophistication continues du nombre d’attaques de phishing. Les acteurs de la menace s’appuient sur des kits de phishing et des outils d’IA pour lancer des campagnes d’e-mail, de SMiShing et de Vishing très efficaces à grande échelle », explique Deepen Desai, RSSI global et Responsable de la Sécurité de Zscaler. « Combinées à la croissance du Phishing-as-a-Service, les attaques AitM ont permis aux attaquants de contourner les modèles de sécurité traditionnels, dont l'authentification multi-facteurs. Afin de protéger leur environnement, nous recommandons aux entreprises d’adopter une architecture Zero Trust leur permettant de réduire considérablement leur surface d’attaque, d’éviter leur compromission et de réduire le rayon d'explosion en cas d'attaque réussie ».

ChatGPT, … : la recrudescence de nouvelles menaces évolutives

L'émergence de nouvelles technologies d'IA et de grands modèles de langage tels que ChatGPT a facilité la production de code malveillant par les cybercriminels, notamment des attaques de type BEC (Business Email Compromise), ainsi que le développement de malwares polymorphes qui rendent difficile l'identification du phishing par les victimes. Les acteurs malveillants sont également de plus en plus nombreux à héberger leurs pages de phishing sur l'InterPlanetary File System (IPFS), un système de fichiers distribués en P2P qui permet aux utilisateurs de stocker et de partager des fichiers sur un réseau décentralisé d'ordinateurs. Il est beaucoup plus difficile de supprimer une page de phishing hébergée sur IPFS car il s'agit d'un réseau peer-to-peer.

ThreatLabz a récemment découvert une campagne de phishing à grande échelle utilisant des attaques de type AiTM (Adversary-in-The-Middle), qui utilisent des techniques contournant les méthodes d'authentification multifactorielle conventionnelles.

Les campagnes de phishing par messagerie vocale ont également évolué. On recense des attaques par SMS ou SMiShing, ainsi que des attaques de vishing. Pour ce faire, les attaquants utilisent des enregistrements vocaux authentiques de dirigeants d’entreprises et laissent des messages vocaux préenregistrés. Les destinataires sont ensuite incités à prendre des mesures, comme transférer de l'argent ou envoyer leurs identifiants. De nombreuses entreprises basées aux États-Unis ont été victimes de ce type d’attaques.

On constate par ailleurs une multiplication des arnaques sur des sites de recrutement tels que LinkedIn. En 2022, un grand nombre de grandes entreprises de la Silicon Valley a dû prendre la difficile décision de réduire ses effectifs. En conséquence, les cybercriminels ont utilisé de fausses offres d'emploi, de faux sites web, de faux portails et de faux formulaires pour piéger les chercheurs d’emploi. Les victimes se soumettaient souvent à un processus d'entretien complet, et certaines étaient même invitées à acheter des fournitures qui leur seraient remboursées ultérieurement.

Des marques de renom utilisées pour appâter les victimes

Les cybercriminels parviennent souvent à se faire passer pour des marques connues. Représentant près de 31 % des attaques, Microsoft a une fois de plus été la marque la plus imitée cette année, les pirates ayant utilisé le phishing pour accéder à des applications Microsoft au sein de nombreuses entreprises victimes. La bourse de crypto-monnaies Binance a quant à elle représenté 17 % des attaques de marques imitées, les auteurs de phishing s’étant fait passer pour de faux représentants de banques ou d'entreprises de P2P. De grandes marques telles que Netflix, Facebook et Adobe ont complété le top 20 des marques les plus imitées et victimes de phishing.

L'Amérique du Nord reste une cible privilégiée des attaques de phishing

Les États-Unis conservent leur première place dans le classement des pays les plus ciblés par les attaques de phishing. Les données indiquent que plus de 65 % des tentatives de phishing ont eu lieu aux États-Unis (60 % l'année dernière).

Les États-Unis restent en tête, mais l'étude révèle une augmentation stupéfiante des tentatives de phishing visant le Canada (+718 %), le Royaume-Uni (+269 %), la Russie (+199 %) et le Japon (+92 %). À l'inverse, la Hongrie et Singapour ont enregistré des baisses respectives de 90 % et 48 %. Selon ThreatLabz, la baisse observée à Singapour pourrait être due aux efforts déployés, d'une part par le gouvernement qui investit dans la cybersécurité, d'autre part par l’Agence de cybersécurité du pays (CSA).

Les attaques de phishing visant les secteurs de l'éducation et de la santé se multiplient

Le secteur de l'éducation a connu la plus forte augmentation des tentatives de phishing en 2022, passant de la huitième à la première place, avec une augmentation de 576 %. Selon ThreatLabz, le processus de demande de remboursement des prêts étudiants et d'allègement de la dette en 2022 a joué un rôle dans cette augmentation. Les cinq premiers secteurs d'activité attaqués sont la finance, l'assurance, les pouvoirs publics et les soins de santé, qui ont subi un peu moins de 31 millions de tentatives en 2021 et plus de 114 millions en 2022.  

De leur côté, les secteurs de la vente au détail et de la vente en gros, particulièrement ciblés l'année dernière, ont enregistré une baisse de 67%, de même que le secteur des services avec une baisse de 38%.

Se prémunir contre les attaques de phishing

Toute entreprise reçoit des e-mails de phishing quotidiennement. Or les pertes financières subies après des attaques de malwares et de ransomwares risquent de rapidement provoquer une hausse des coûts informatiques d'une année sur l'autre. La tâche n'est pas aisée pour faire face à l’ensemble des menaces décrites dans ce rapport. Bien que le risque de phishing ne puisse être entièrement éliminé, les incidents observés peuvent toutefois servir de leçon aux équipes IT et sécurité.

Voici les recommandations de Zscaler pour mieux gérer le risque de phishing :

• Comprendre les risques pour orienter efficacement la politique de sécurité
• Exploiter les outils automatisés et les informations sur les menaces pour réduire les incidents de phishing
• Mettre en œuvre une architecture Zero Trust pour limiter le rayon d'action des attaques réussies
• Proposer des formations pour sensibiliser les utilisateurs à la sécurité et les encourager à signaler les incidents
• Simuler des attaques de phishing pour identifier les faiblesses du programme de sécurité

Zscaler Zero Trust Exchange™ protège les systèmes contre le phishing

Les statistiques de l'industrie révèlent qu’une entreprise reçoit un volume élevé d'e-mails de phishing par jour, ce qui fait de la compromission des utilisateurs l'un des défis de sécurité les plus complexes. Construite sur une architecture globale Zero Trust, la plateforme Zscaler Zero Trust Exchange™ permet de réduire la surface d'attaque, d’empêcher la compromission, d’éliminer les mouvements latéraux et de prévenir la perte de données. Elle contribue à stopper le phishing de la manière suivante :

• Empêcher les compromissions : Inspection SSL complète à l'échelle, isolation du navigateur et contrôle d'accès basé sur des règles pour empêcher l'accès à des sites web suspects
• Eliminer les mouvements latéraux : Connexion directe des utilisateurs aux applications, et non au réseau, afin de limiter le rayon d'action d'un incident potentiel
• Bloquer les utilisateurs compromis et les menaces internes : Dès qu'un attaquant accède à votre système d'identité, Zscaler peut empêcher les tentatives d'exploitation d'applications privées grâce à un contrôle en ligne et peut détecter les attaquants les plus sophistiqués grâce à un système de détection intégré
• Prévenir la perte de données : Vérifiez la circulation et le stockage des données afin d'éviter tout vol de données par un attaquant actif

Cliquez ici pour télécharger le rapport 2022 sur le phishing de ThreatLabz.

Deepen Desai, RSSI mondial et responsable de la recherche sur la sécurité chez Zscaler, présentera les conclusions de ce rapport lors de la conférence RSA 2023, le jeudi 27 avril, de 17h30 à 18h20 (heure de Paris) : cliquez ici pour assister à la conférence.

Méthodologie

Entre janvier et décembre 2022, ThreatLabz a analysé un an de données globales de phishing provenant du cloud de sécurité Zscaler, qui surveille plus de 280 milliards de transactions par jour à travers le monde. Cette étude a permis d'identifier les principales tendances, les secteurs d'activité et les zones géographiques à risque, ainsi que les tactiques émergentes.