
Illustration par Derrick Deepak Roy
Dans les années 1990, on raconte que les utilisateurs qui ne voulaient pas payer pour avoir accès à l’internet recherchaient les identifiants de connexion des autres pour continuer à naviguer gratuitement. Ils se faisaient passer pour des administrateurs de FAI et essayaient de convaincre les gens de leur donner leurs identifiants de connexion par courrier électronique.
Puis vint le Love Bug de 2000. Une lettre d’amour apparemment inoffensive qui libérait un ver sur les systèmes des victimes sans méfiance. Plus de 20 ans se sont écoulés depuis, et si le jeu est globalement le même, les enjeux sont nettement plus élevés.
Au lieu d’un accès gratuit à l’internet ou de ” blagues ” visant à ruiner le système de quelqu’un, les attaques de phishing ont aujourd’hui des objectifs beaucoup plus insidieux. Ces attaques visent souvent à causer des dommages considérables aux personnes, aux entreprises et aux gouvernements.
De plus, les attaques elles-mêmes ont évolué. Aujourd’hui, nous disposons également du smishing (hameçonnage par SMS) et du vishing (hameçonnage par appel vocal), qui sont souvent utilisés ensemble ou parallèlement aux e-mails de phishing pour augmenter leurs chances de réussite.
Il y a aussi le spear-phishing, des attaques ciblées qui s’appuient sur les nombreuses informations personnelles disponibles en ligne, que ce soit sur les sites de médias sociaux ou sur d’autres sources moins publiques (et légales).
Aujourd’hui, en raison de la transformation massive de notre mode de travail au cours des deux dernières années, ces attaques sont plus répandues que jamais. En fait, selon l’enquête sur la préparation numérique 2021 de ManageEngine, plus de la moitié des organisations à travers le monde ont constaté une augmentation des attaques de phishing à la suite de la pandémie.
Comme ce problème n’est pas prêt de disparaître, il est préférable de se tenir au courant des dernières astuces que les attaquants peuvent utiliser. Voici donc cinq articles sur l’évolution constante du phishing.
Le passage à un environnement de travail hybride a rendu les organisations plus vulnérables aux attaques de phishing. De plus, il semble y avoir eu une baisse de la sensibilisation à ces menaces, ce qui a entraîné une augmentation des attaques réussies.
Le logiciel d’accès à distance est un outil essentiel de la boîte à outils du technicien informatique dans les organisations disposant d’une main-d’œuvre distante ou hybride. Désormais, il pourrait également jouer un rôle clé dans les futures attaques de phishing.
Selon les chercheurs en sécurité, les outils de collaboration représentent une opportunité croissante pour les attaquants qui ciblent les employés des entreprises. La “confiance implicite” que la plupart des employés accordent à ces outils pourrait augmenter les chances de réussite d’une attaque par ce vecteur.
Les codes QR deviennent omniprésents dans le monde entier, et les cybercriminels en prennent note. Dans une variante des attaques de phishing traditionnelles, les codes QR sont maintenant utilisés pour tromper les gens et les amener à donner leurs informations financières ou personnelles.
Web3 et d’autres technologies décentralisées pourraient révolutionner le fonctionnement de l’internet. En attendant, les cybercriminels trouvent de nouveaux moyens d’escroquer les gens.
Comme vous pouvez le constater, que ce soit sur l’internet d’aujourd’hui ou sur le Web 3.0 actuellement amorphe, l’évolution du phishing continue.
La sensibilisation est un élément clé de la défense contre ces attaques. Veillez donc à ce que vos collègues sachent comment détecter et gérer une attaque de phishing et à ce que votre équipe de sécurité soit équipée pour limiter les risques et les dommages liés à toute activité de phishing sur votre réseau.