Ce n’est qu’une des nombreuses statistiques alarmantes qui r\u00e9v\u00e8lent \u00e0 quel point le phishing a \u00e9t\u00e9 d\u00e9vastateur dans un pass\u00e9 r\u00e9cent pour les particuliers et les entreprises. Les \u00e9v\u00e9nements r\u00e9cents, les d\u00e9veloppements technologiques (IA et deep fake) et les donn\u00e9es environnantes indiquent de mani\u00e8re inqui\u00e9tante – comme vous le d\u00e9couvrirez dans cet article – que la menace de phishing pourrait devenir encore plus grande et plus insidieuse qu’elle ne l’est d\u00e9j\u00e0.<\/p>\n
Et nous ne sommes peut-\u00eatre pas totalement pr\u00e9par\u00e9s \u00e0 cela.<\/p>\n
Statistiques de phishing \u2013 Les d\u00e9g\u00e2ts caus\u00e9s<\/h2>\n
Partagez cette image sur votre site<\/strong><\/p>\n Les statistiques du phishing montrent une tendance \u00e0 la hausse, une pouss\u00e9e incontestable qui n’a pas \u00e9t\u00e9 observ\u00e9e depuis 3 ans. Greg Aaaron, chercheur principal de l’APWG, a d\u00e9clar\u00e9: "C’est la pire p\u00e9riode de phishing que l’APWG ait connue en trois ans, depuis le quatri\u00e8me trimestre de 2016".<\/p>\n Selon Verizon<\/a>, 32 % des violations de donn\u00e9es signal\u00e9es en 2018 \u00e9taient le r\u00e9sultat d’attaques de phishing. Cela s’est encore aggrav\u00e9 en 2019, le phishing \u00e9tant responsable de 90 %<\/a> des violations de donn\u00e9es<\/strong>. Les statistiques sugg\u00e8rent que les pirates s’appuient encore principalement sur l’ing\u00e9nierie sociale et les astuces de confiance plut\u00f4t que sur la force brute et d’autres attaques plus sophistiqu\u00e9es pour acc\u00e9der aux informations sensibles des utilisateurs\/entreprises.<\/p>\n L’efficacit\u00e9 et le taux de r\u00e9ussite \u00e9lev\u00e9 des attaques de phishing pour les cybercriminels peuvent \u00e9galement \u00eatre estim\u00e9s \u00e0 partir du fait que jusqu’\u00e0 1,5 million de sites Web de phishing<\/a><\/strong> sont cr\u00e9\u00e9s chaque mois. Une activit\u00e9 aussi extraordinairement \u00e9lev\u00e9e ne peut \u00eatre maintenue que si les agents de phishing en profitent g\u00e9n\u00e9reusement.<\/p>\n En fait, au niveau de l’entreprise, les pertes moyennes subies par les entreprises de taille moyenne compromises par l’hame\u00e7onnage s’\u00e9l\u00e8vent \u00e0 1,6 million de dollars<\/a>.<\/strong> Pas \u00e9tonnant que le phishing ait une place sp\u00e9ciale dans le c\u0153ur de chaque pirate informatique.<\/p>\n Le succ\u00e8s durable du phishing est simplement le r\u00e9sultat de notre tendance humaine \u00e0 \u00eatre tent\u00e9 d’accomplir une action, en particulier lorsque nous faisons confiance \u00e0 la source.<\/p>\n Salvatore Stolfo, CTO chez Alluresecurity<\/a> observe avec justesse\u00a0:<\/p>\n Il est vrai que l’IA peut \u00eatre r\u00e9tro-con\u00e7ue et militaris\u00e9e par des adversaires pour cibler des personnes avec des cyberattaques. Mais la r\u00e9alit\u00e9 est qu’en mati\u00e8re de phishing, les attaquants n’ont m\u00eame pas besoin d’\u00eatre aussi f\u00e9rus de technologie pour r\u00e9ussir. Et c’est pourquoi le phishing continue d’\u00eatre l’un des principaux vecteurs d’attaque. Il puise dans notre instinct de base de faire confiance et de cliquer sur un lien qui, selon nous, provient d’une source l\u00e9gitime, telle que votre banque, ou d’une marque que vous connaissez et \u00e0 laquelle vous faites confiance comme Microsoft, Netflix ou PayPal.<\/p>\n<\/blockquote>\n Les m\u00e9thodes et les strat\u00e9gies de phishing ne feront que s’affiner avec le temps. En fait, les am\u00e9liorations des techniques sont d\u00e9j\u00e0 \u00e9videntes, pointant vers un environnement de cybers\u00e9curit\u00e9 s\u00e9rieusement pr\u00e9caire dans les temps \u00e0 venir.<\/p>\n<\/p>\n Partagez cette image sur votre site<\/strong><\/p>\n Nous avons d\u00e9j\u00e0 \u00e9t\u00e9 t\u00e9moins d’une \u00e9volution des normes en mati\u00e8re d’hame\u00e7onnage par e-mail. Traditionnellement, l’approche du fusil de chasse est plus couramment utilis\u00e9e lorsque le pirate informatique veut attirer autant de personnes que possible. Mais les attaques contre la s\u00e9curit\u00e9 des entreprises ont beaucoup plus de chances de r\u00e9ussir lorsqu’elles sont men\u00e9es de mani\u00e8re cibl\u00e9e, une technique connue sous le nom de spear-phishing.<\/p>\n Cisco affirme que<\/a> 95 % de toutes les attaques contre les r\u00e9seaux de s\u00e9curit\u00e9 des entreprises sont rendues possibles gr\u00e2ce au spear-phishing. Lors d’une attaque de harponnage, un pirate informatique peut se faire passer pour un membre r\u00e9el – souvent de haut niveau – d’une organisation ou d’une industrie dans le but de tromper le destinataire de l’e-mail pour qu’il divulgue ses informations.<\/p>\n Les e-mails de harponnage ont \u00e9t\u00e9 pleinement exploit\u00e9s en tant que principale m\u00e9thode d’infection utilis\u00e9e par 71\u00a0%<\/a> des groupes de pirates en 2017. Le taux de r\u00e9ussite \u00e9lev\u00e9 du harponnage est simplement le r\u00e9sultat d’une usurpation d’identit\u00e9 mieux d\u00e9guis\u00e9e, attirant m\u00eame les plus prudents d’entre nous pour se faire arnaquer.<\/p>\n Dennis Bell, expert en informatique et fondateur de Byblos Coffee,<\/a> pr\u00e9dit que\u00a0:<\/p>\n En 2021, le Spear phishing serait plus r\u00e9pandu\u2026 L’IA et le ML peuvent \u00eatre utilis\u00e9s pour identifier les meilleures cibles en fonction de ce qu’elles font en ligne. Ils peuvent m\u00eame recueillir des informations sur qui a le plus d’acc\u00e8s dans leur r\u00e9seau d’entreprise. Une fois que l’IA et le ML ont cr\u00e9\u00e9 des profils, ils peuvent commencer \u00e0 envoyer du mat\u00e9riel de phishing personnalis\u00e9 en fonction des vuln\u00e9rabilit\u00e9s de la cible.<\/p>\n<\/blockquote>\n L’abus de l’IA et le d\u00e9veloppement de technologies qui en r\u00e9sultent comme un deep fake est un autre coup dur pour nos espoirs d’un Internet sans hame\u00e7onnage. Avant l’IA, les hame\u00e7onneurs ne pouvaient que se dissimuler derri\u00e8re des e-mails et des sites Web intelligemment con\u00e7us. Avec l’IA et le deep fake, ils peuvent m\u00eame se faire passer pour le visage et la voix de toute personne de leur choix, donnant aux fraudes par ing\u00e9nierie sociale une toute nouvelle dimension.<\/p>\n Kim Martin, VP Marketing<\/a> de la soci\u00e9t\u00e9 de biom\u00e9trie ID R&D<\/a>, souligne :<\/p>\n Les fraudeurs utilisent l’apprentissage automatique et l’IA pour mener des attaques de phishing sophistiqu\u00e9es o\u00f9 ils se font passer pour de vrais utilisateurs autoris\u00e9s gr\u00e2ce aux progr\u00e8s de la parole synth\u00e9tique. Dans un sc\u00e9nario r\u00e9cent, une voix "deep fake" a tromp\u00e9 un PDG pour qu’il transf\u00e8re 243 000 $ \u00e0 un fournisseur hongrois. Le PDG pensait que la demande venait de son patron. Gr\u00e2ce \u00e0 ces capacit\u00e9s, les fraudeurs ont trouv\u00e9 un nouveau v\u00e9hicule pour l’ing\u00e9nierie sociale et un moyen de contourner l’authentification biom\u00e9trique si les protections appropri\u00e9es ne sont pas en place.<\/p>\n<\/blockquote>\n Les progr\u00e8s du traitement du langage naturel ouvrent une autre voie aux acteurs de la menace. L’utilisation de l’apprentissage automatique pour r\u00e9diger des correspondances officielles con\u00e7ues pour arnaquer le personnel des entreprises est une possibilit\u00e9 tr\u00e8s r\u00e9elle aujourd’hui et deviendra presque certainement plus r\u00e9pandue \u00e0 l’avenir.<\/p>\n Le traitement du langage naturel est l’un des domaines les plus recherch\u00e9s en IA, capable de comprendre les langages humains et de communiquer efficacement en les utilisant. Au fur et \u00e0 mesure que ces capacit\u00e9s s’am\u00e9liorent avec le temps, remarquer la diff\u00e9rence entre le langage d’origine humaine et machine va \u00eatre un \u00e9norme d\u00e9fi. Comme le souligne Attila Tomaschek,<\/a> expert en confidentialit\u00e9 num\u00e9rique\u00a0:<\/p>\n un cybercriminel pourrait injecter un logiciel malveillant dans un fil de discussion existant qui a la capacit\u00e9 de tirer parti de l’IA et du ML pour analyser le langage et le contexte du fil afin d’apprendre et d’imiter le langage humain naturel et ainsi personnaliser des e-mails de phishing convaincants et \u00e0 consonance naturelle \u00e0 des cibles individuelles. Il souligne \u00e9galement comment les chat-bots pilot\u00e9s par l’IA peuvent inciter les victimes \u00e0 cliquer sur des liens malveillants.<\/p>\n<\/blockquote>\n Le fait le plus alarmant parmi tout cela est qu’il ne s’agit pas d’une pr\u00e9diction futuriste trop \u00e9loign\u00e9e du pr\u00e9sent pour commencer \u00e0 s’en inqui\u00e9ter. Ce sont des capacit\u00e9s tr\u00e8s r\u00e9elles qui existent d\u00e9j\u00e0 dans une mesure presque effrayante.<\/p>\n L’apprentissage automatique peut \u00e9galement jouer pour rendre les attaques de phishing ind\u00e9tectables. Au fil du temps, les e-mails peuvent apprendre \u00e0 contourner les filtres de messagerie, en utilisant un langage de plus en plus r\u00e9aliste pour appara\u00eetre compl\u00e8tement l\u00e9gitimes. \u00c0 ce sujet, Will Pearce, consultant principal en s\u00e9curit\u00e9 chez Silent Break Security,<\/a> partage<\/p>\n L’apprentissage automatique contradictoire a la capacit\u00e9 de rendre les tentatives de phishing ind\u00e9tectables – certaines recherches publi\u00e9es en 2019 appel\u00e9es "Proof-Pudding" ont justement fait cela. Le filtre anti-spam Proofpoint divulguait des scores de pr\u00e9diction de spam, la recherche a collect\u00e9 un ensemble de donn\u00e9es et form\u00e9 un mod\u00e8le pour g\u00e9n\u00e9rer des mots qui garantiraient que les e-mails de phishing ne seraient \u00abpas d\u00e9tect\u00e9s\u00bb. Les syst\u00e8mes d’apprentissage automatique sont une nouvelle surface d’attaque qui n’est g\u00e9n\u00e9ralement pas bien comprise.<\/p>\n<\/blockquote>\n Consid\u00e9rant que des algorithmes simples peuvent \u00eatre utilis\u00e9s pour d\u00e9terminer m\u00eame des informations cach\u00e9es sur les profils Facebook<\/a>, la conjonction de deep fake et de ML contradictoire \u00e9largira consid\u00e9rablement la gamme d’attaques \u00e0 la disposition d’un hame\u00e7onneur moyen.<\/p>\n Une attaque par homographe tire parti du fait que de nombreuses lettres de l’alphabet de la plupart des langues modernes sont similaires. Par exemple, la lettre B est \u03b2 en grec. Sachant cela, un site Web de phishing malveillant peut utiliser un nom de domaine qui ressemble exactement \u00e0 un autre domaine l\u00e9gitime. La diff\u00e9rence d’un petit caract\u00e8re est souvent impossible \u00e0 remarquer, en particulier sur les \u00e9crans des petits appareils portables comme les smartphones.<\/p>\n Par exemple: https:\/\/www.the\u00edndependent.com\/<\/a> diff\u00e8re du domaine de The Independent par un seul caract\u00e8re: le ‘\u00ed’ pour le ‘i’. Ces domaines similaires ne font qu’ajouter \u00e0 l’arsenal de techniques \u00e0 la disposition des hame\u00e7onneurs modernes.<\/p>\n Partagez cette image sur votre site<\/strong><\/p>\n Les capacit\u00e9s technologiques ne repr\u00e9sentent qu’un domaine d’opportunit\u00e9 parmi plusieurs que les hame\u00e7onneurs exploitent pour lancer des cyberattaques de plus en plus d\u00e9vastatrices. Profitant de la panique cr\u00e9\u00e9e par le myst\u00e9rieux coronavirus, les escrocs lancent des campagnes de phishing pour inciter les gens \u00e0 cliquer sur des liens malveillants et \u00e0 donner des informations sensibles.<\/p>\n Le cas le plus notable de ces exploits de phishing a \u00e9t\u00e9 signal\u00e9 par Kaspersky<\/a> o\u00f9 des e-mails de phishing pr\u00e9tendant \u00eatre envoy\u00e9s par le CDC volent vos informations lorsque vous cliquez sur un lien demandant votre connexion Outlook. Les e-mails proviennent d’un domaine cdc-gov.org, bien que le domaine du CDC l\u00e9gitime soit cdc.gov.<\/p>\n Inutile de dire qu’il est extr\u00eamement difficile pour un utilisateur moyen de remarquer cette diff\u00e9rence dans le domaine et de soup\u00e7onner une fraude, en particulier lorsque l’e-mail est r\u00e9dig\u00e9 de mani\u00e8re si convaincante avec des liens externes apparemment l\u00e9gitimes. Bien s\u00fbr, il n’y a rien de l\u00e9gitime dans l’ensemble de l’e-mail en r\u00e9alit\u00e9.<\/p>\n Ces tactiques tirent leur efficacit\u00e9 de la panique entourant la situation (dans ce cas, le coronavirus), o\u00f9 l’incertitude et l’urgence qui pr\u00e9valent peuvent court-circuiter m\u00eame le jugement d’un homme sage. Contre les menaces r\u00e9elles, le danger des cyberattaques, aussi r\u00e9el soit-il, n’est au mieux que lointain et p\u00e9riph\u00e9rique.<\/p>\n Les \u00e9lections am\u00e9ricaines de 2021 se pr\u00e9senteront comme une nouvelle opportunit\u00e9 pour les hame\u00e7onneurs de faire leurs mauvaises affaires comme ils l’ont fait lors des \u00e9lections pr\u00e9c\u00e9dentes. Comme Orion Casetto, directeur du marketing<\/a> produit chez Exabeam<\/a>, le note avec perspicacit\u00e9<\/p>\n Le phishing ne va pas dispara\u00eetre de sit\u00f4t. La ferveur entourant l’\u00e9lection pr\u00e9sidentielle am\u00e9ricaine de 2021 offre aux attaquants potentiels l’environnement id\u00e9al pour ex\u00e9cuter des campagnes de phishing et d’ing\u00e9nierie sociale. De nombreuses personnes sont passionn\u00e9es, pr\u00eates \u00e0 passer \u00e0 l’action et re\u00e7oivent un d\u00e9luge de communications provenant de nouvelles sources ; il s’agit d’une temp\u00eate parfaite qui laisse de nombreuses occasions aux gens d’\u00eatre victimes d’e-mails de phishing bien con\u00e7us d\u00e9guis\u00e9s en communications d’organisations politiques et de candidats.<\/p>\n<\/blockquote>\n Ces \u00e9v\u00e9nements d’importance associ\u00e9s \u00e0 l’aide de l’IA ne feront qu’encourager les hame\u00e7onneurs et les escrocs \u00e0 d\u00e9ployer des campagnes extr\u00eamement pernicieuses ciblant toutes les couches de la soci\u00e9t\u00e9, de l’individu \u00e0 toutes les tailles d’organisations.<\/p>\n La meilleure d\u00e9fense contre le phishing reste votre bon vieux jugement, votre intelligence, votre bon sens et votre prudence. Malheureusement, dans un monde en \u00e9volution rapide o\u00f9 les gens ont une dur\u00e9e d’attention en baisse et une patience encore plus faible, il devient de plus en plus difficile de faire preuve de prudence et de prudence avant chaque lien sur lequel vous cliquez et chaque site Web que vous visitez.<\/p>\n C’est pourquoi les logiciels anti-hame\u00e7onnage gagnent \u00e9galement en importance pour aider les humains avec un jugement faillible. N\u00e9anmoins, quelques conseils de bon sens peuvent vous \u00e9viter de devenir la prochaine victime de phishing.<\/p>\n Voici quelques pr\u00e9cautions que vous pouvez prendre en tant qu’utilisateur. Mais il incombe encore plus aux organisations de toutes sortes de lutter plus efficacement contre le phishing. Ils peuvent commencer par mettre \u00e0 niveau leurs syst\u00e8mes informatiques h\u00e9rit\u00e9s vuln\u00e9rables vers des syst\u00e8mes modernes et mis \u00e0 jour en tant que chef d’\u00e9quipe Threat Intelligence chez Skybox Security<\/a>, souligne Sivan Nir<\/p>\n Le rapport du NCSC de 2019 a d\u00e9couvert que plus de 318 r\u00e9seaux publics fonctionnent sur Windows XP malgr\u00e9 la fin de la prise en charge par Microsoft en 2014. Les entreprises s’appuyant sur des logiciels \u00ab\u00a0h\u00e9rit\u00e9s\u00a0\u00bb et les cybercriminels utilisant l’IA et le ML pour faire muter leurs logiciels malveillants, les attaques de phishing deviennent presque invisibles pour un aux yeux de l’entreprise et encore plus d\u00e9vastatrice.<\/p>\n<\/blockquote>\n Stolfo note que la plupart des hame\u00e7onneurs utilisent souvent le web scraping pour imiter le domaine l\u00e9gitime. Il recommande d’int\u00e9grer du code dans le site Web d’origine qui permet aux webmasters de suivre et de d\u00e9tecter si leur site Web a \u00e9t\u00e9 gratt\u00e9, en emportant le code int\u00e9gr\u00e9 avec lui. Ce code d\u00e9clenche alors une alerte et rassemble des informations sur le pirate, telles que sa g\u00e9olocalisation, pour aider \u00e0 localiser la source du probl\u00e8me.<\/p>\n Bien que ces mesures soient importantes pour que les entreprises am\u00e9liorent leur r\u00e9silience contre les attaques de phishing, rien ne remplace la sensibilisation des utilisateurs en tant que strat\u00e9gie pr\u00e9ventive la plus efficace pour lutter contre le phishing. Dans sa forme la plus \u00e9l\u00e9mentaire, le phishing est essentiellement une astuce de confiance \u00e9labor\u00e9e.<\/p>\n\n
M\u00e9thodes en \u00e9volution \u2013 Phishers on the Storm<\/h2>\n
Hame\u00e7onnage<\/h3>\n
\n
Faux profonds et IA<\/h3>\n
\n
\n
\n
Attaques d’homographes<\/h3>\n
L’avenir \u00e0 venir – Corona, \u00e9lections am\u00e9ricaines et abus de la technologie<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e692b8fe.png\")
<\/a><\/p>\n\n
Se pr\u00e9parer \u00e0 une \u00e9pid\u00e9mie de phishing<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e6a88a99.png\")
<\/a><\/p>\nPartagez cette image sur votre site<\/h3>\n
Conseils aux utilisateurs<\/h3>\n
\n
Le r\u00f4le des organisations<\/h3>\n
\n