2021 Phishing Intelligence Report : à quoi ressemblait le phishing en 2021 ?

2021 Phishing Intelligence Report : à quoi ressemblait le phishing en 2021 ?

La crise du Corona et la communication gouvernementale font progresser les tentatives d’hameçonnage

Louvain, 15 décembre 2021 - 2021 est déjà une année mouvementée, et cela se voit, entre autres, dans les statistiques de phishing. Phished a réexaminé la question : quels sont les messages qui amènent le plus de gens à se faire prendre ? Comment ont-ils traité les messages de phishing ? Comment la Belgique se situe-t-elle par rapport à une moyenne mondiale ? C’est un fait que les gens ont besoin d’une formation approfondie et répétée pour rester armés contre le phishing.

  • 1 Belge sur 4 remplit des informations personnelles sur une fausse page d’accueil
  • Le « vishing » et le « smishing » auront un impact encore plus grand l’année prochaine
  • Les invitations de calendrier non désirées et les fraudes basées sur les codes QR seront au centre des préoccupations en 2022
  • Le rapport complet se trouve au bas de ce communiqué de presse

L’hameçonnage demeure un sujet sensible qui ne cesse de prendre de l’ampleur. C'est ce qui ressort du 2021 Phishing Intelligence Report de Phished, qui analyse les données de 100 millions de simulations de phishing dans le monde. La crise de Corona a évidemment un rôle important à jouer dans ce domaine, mais cela va plus loin : le phishing est tout simplement de plus en plus persuasif, ce qui fait qu’il est difficile pour un nombre croissant de personnes de distinguer ces messages d’une communication légitime.

Communication gouvernementale
En 2020, la crise mondiale de la Corona a été le facteur déterminant de la forte augmentation des attaques de phishing. En 2021, cette tendance s’est clairement confirmée : « Cela est principalement lié aux modes de communication des différents gouvernements », déclare Arnout Van de Meulebroucke, PDG de Phished, expert en sensibilisation à la cybersécurité. « Au cours de l’année écoulée, les autorités ont utilisé sensiblement plus souvent les messages électroniques et les SMS pour informer la population des nouvelles mesures et des vaccinations, entre autres. Deux supports de communication extrêmement sensibles au phishing. »

« Les gouvernements ont utilisé sensiblement plus souvent les messages électroniques et les SMS, deux supports de communication extrêmement sensibles au phishing. » - Arnout Van de Meulebroucke, PDG de Phished.

En 2021, 23 % de tous les employés belges ont été victimes d’hameçonnage par l’algorithme automatisé Phished. Ces messages menaient à des pages d’accueil sécurisées avec le message indiquant qu’ils avaient été hameçonnés. Toutefois, plus de 25 % des personnes interrogées ont renseigné leurs données lorsqu’une telle page d’accueil comportait des champs permettant de remplir des informations personnelles, par exemple une fausse page de connexion.

Pièces jointes suspectes aux courriels
« Bien que ces chiffres indiquent déjà un problème systématique au sein de la population active belge, je suis surtout préoccupé par le fait que pas moins de 7 % de tous les employés ouvrent une pièce jointe suspecte contenue dans un courriel. Contrairement à l’hameçonnage, qui nécessite généralement une étape supplémentaire avant que les dommages réels ne soient causés, une pièce jointe malveillante peut immédiatement avoir de graves conséquences », souligne M. Van de Meulebroucke.

En ce qui concerne le phishing, les Belges sont légèrement moins susceptibles de se faire prendre après avoir ouvert des courriels frauduleux que la moyenne mondiale. Au niveau mondial, cette proportion est de 53 %, tandis que les Belges se retrouvent à 47 %. « Cela s’explique par le fait que les Belges ouvrent moins que la moyenne leurs courriels sur leurs téléphones intelligents, sur lesquels il est plus difficile de reconnaitre l’origine d’un éventuel courriel de phishing », explique Mme Van de Meulebroucke.

Les secteurs publics sont restés plus vulnérables que les secteurs privés en 2021. En moyenne, les employés du secteur public ont été victimes d’hameçonnage 5 % plus souvent, ce qui est bien supérieur à la moyenne mondiale de 3 %.

Grâce à quels messages nous faisons-nous attraper ?
Qui dit hameçonnage pense souvent à des courriels demandant d’effectuer une transaction financière. Bien que ces messages fassent de nombreuses victimes, nous voyons ce type de campagne moins souvent que les messages concernant les RH, la chaine d’approvisionnement, l’informatique, le bureau et les questions liées au management.

Voici la liste complète des domaines concernés en Belgique :

  1. COVID-19 (travail à domicile, tests, vaccination)
  2. Ressources humaines (amendes, licenciements, congés, contenu sensible)
  3. Fournitures (Envois, Amazon...)
  4. Informatique (Mots de passe, VPN, support informatique)
  5. Bureautique (Microsoft, Gmail, Sharepoint…)
  6. Gestion (Spear phishing)
  7. Relatif aux finances (factures)
  8. Nouvelles

L’attention portée en 2022
Ces dernières semaines, il est apparu clairement que les sujets liés à la Corona sont loin d’avoir atteint la fin de leur cycle dans le monde du phishing. Tant que le virus continuera à faire rage dans la société, on peut s’attendre à ce que les messages d’hameçonnage sur ce sujet fassent de même.

« Bien entendu, nous voyons également apparaitre d’autres 'nouvelles' tendances, » déclare M. Van de Meulebroucke. « Les 'deep fakes', imitations de personnes connues, rendront le phishing vocal plus convaincant et feront beaucoup plus de victimes. Le smishing continuera également à se développer, sous l’impulsion des communications gouvernementales et des SMS des services de colis. »

« Les alertes de calendrier non désirées, où les pirates spamment votre calendrier avec des invitations à des réunions et des fraudes basées sur des codes QR, nous accableront encore davantage l’année prochaine. Enfin, n’oublions pas que l’essor des “mules à bitcoins” permet aux attaques de phishing de disparaitre encore plus dans l’anonymat, rendant les pirates de plus en plus difficiles à attraper. »

« Les alertes de calendrier non désirées et des fraudes basées sur des codes QR, nous accableront encore davantage l’année prochaine. » - Arnout Van de Meulebroucke, PDG de Phished.

Il existe une seule solution possible
La tâche pour l’année à venir est claire : les organisations doivent insister fortement sur la sensibilisation de leurs employés. Le phishing a connu une croissance exponentielle ces dernières années et, sans un contremouvement radical, ces campagnes feront de plus en plus de victimes, entrainant de grandes pertes.

Arnout Van de Meulebroucke conclut : « Un atelier ponctuel ne sert à rien dans le domaine du phishing. Des études montrent que même une formation approfondie (ponctuelle) tombe complètement dans l’oubli après six mois au maximum. Les gens ont besoin d’une formation approfondie et répétée. Ce n’est qu’à cette condition que le message passera et qu’ils seront non seulement capables de reconnaitre les messages de phishing, mais aussi de garder leur sang-froid au cas où ils répondraient à un message malveillant. »

Le rapport complet est disponible à l'adresse suivante : https://go.phished.io/rapport-hameçonnage-en-2021, ou peut être téléchargé ci-dessous.

BEFR_2021 Phishing Intelligence Report BEFR_2021 Phishing Intelligence Report (1).pdf - 3 MB
Arnout Van de Meulebroucke, PDG de Phished, expert en sensibilisation à la cybersécurité.
Arnout Van de Meulebroucke, PDG de Phished, expert en sensibilisation à la cybersécurité.

Over Phished
Phished se concentre sur le côté humain de la cybersécurité. Le logiciel de formation piloté par l’IA relie des simulations de phishing personnalisées et réalistes au programme de formation de la Phished Academy. De cette façon, les employés apprennent à gérer correctement les dangers en ligne. Ainsi, les employés sont préparés aux cyberattaques, ce qui permet de mieux protéger les données, les actifs et la réputation des organisations.

Contact
Jens De Wit
jens@phished.io
+32 494 58 53 79

Robin De Clercq
Robin De Clercq PR consultant, Evoke

 

A propos de Evoke

Founded in 2011, Evoke is a communication agency specialized in public relations and content marketing. We get your story told. Whether through press relations, social media, websites, newsletters or print, our consultants make sure you and your message will reach your target audience.

Evoke
Witte Patersstraat 4
1040 Brussel