Les e-mails d’hameçonnage demeurent l’une des méthodes les plus courantes utilisées pour perpétrer des attaques malveillantes contre des organisations du monde entier. Les cybercriminels affinent constamment leurs stratégies pour rester en phase avec les tendances du marché et déjouer la vigilance des utilisateurs finaux et des organisations, en créant des e-mails dont les lignes objets sont à la fois réalistes et crédibles. Jouant sur le registre des émotions, leur but est de provoquer un sentiment de détresse, de confusion, de panique ou même d’enthousiasme chez l’utilisateur afin de l’inciter à cliquer sur un lien d’hameçonnage ou sur une pièce jointe malveillante. En fait, le rapport 2023 de KnowBe4 intitulé Phishing by Industry Benchmarking Report (Rapport comparatif du hameçonnage par secteur d’activité) révèle que près d’un utilisateur sur trois est susceptible de cliquer sur un lien suspect ou de se conformer à une demande frauduleuse.

Les tactiques d’hameçonnage évoluent, les cybercriminels tendant de plus en plus souvent à utiliser des lignes objets en relation avec les RH : changements de code vestimentaire, avis de formation, informations sur les congés, etc. Elles sont efficaces parce qu’elles peuvent inciter un employé à réagir sans réfléchir de façon logique à la légitimité de l’e-mail, et parce qu’elles peuvent avoir un impact sur sa vie privée et professionnelle.

Des e-mails d’hameçonnage dont les lignes objets concernaient les congés ont également été utilisés au 2e trimestre. Quatre sur cinq des messages les plus fréquents donnaient l’impression de provenir du service des RH. Des primes en rapport avec des fêtes nationales aux États-Unis (Jour du Jubilé, 4 Juillet...), des jours fériés et des changements d’horaires ont servi à appâter des utilisateurs finaux peu méfiants. Le rapport fait également ressortir une tendance constante, qui consiste à utiliser des notifications informatiques et de services en ligne, ainsi que des e-mails concernant la fiscalité.

« La menace que représente les e-mails d’hameçonnage reste plus élevée que jamais, car les cybercriminels peaufinent inlassablement leurs messages, qui sont de plus en plus sophistiqués et apparemment crédibles », explique Stu Sjouwerman, PDG de KnowBe4. « La tendance des e-mails d’hameçonnage qui se dessine dans le rapport du 2e trimestre est particulièrement inquiétante, car 50 % de ces e-mails semblent provenir des RH, un service crucial et qui inspire la confiance dans de nombreuses organisations, voire dans toutes. Ces e-mails factices abusent de la confiance des employés et les incitent en général à agir d’une façon qui peut être désastreuse pour l’ensemble de l’organisation. Il est vital de proposer une formation radicalement nouvelle aux employés pour les sensibiliser à la sécurité, en les familiarisant avec les cyberattaques et les menaces les plus courantes. C’est la solution pour combattre l’hameçonnage et les e-mails malveillants. Une main-d’œuvre bien informée constitue la meilleure défense d’une organisation et elle est essentielle pour encourager et préserver une culture de la sécurité forte ».