Dans son « Q3 Phishing Report », KnowBe4, une plateforme de cybersécurité, chiffre que près de la moitié des e-mails ayant été à l’origine d’attaques par phishing étaient en lien avec des sujets RH ou IT
Bien que les techniques utilisées par les acteurs malveillants aient évolué, les e-mails de phishing restent l’un des outils les plus répandus pour exécuter des cyberattaques. D’après le « 2024 Phishing by Industry Benchmarking Report » de KnowBe4, près d’un utilisateur sur trois est susceptible de cliquer sur des liens malveillants ou de répondre à des demandes malintentionnées. Une vulnérabilité que les cybercriminels exploitent en créant des e-mails de phishing crédibles, alignés sur les tendances actuelles. En jouant sur les émotions humaines, ils suscitent un sentiment d’urgence qui pousse les destinataires à cliquer sur des liens malveillants ou à ouvrir des pièces jointes dangereuses.
Le rapport met également l’accent sur la menace permanente que représentent les liens de phishing intégrés dans les e-mails et qui restent le principal vecteur d’attaque. Ces liens malveillants, pièces jointes PDF et domaines usurpés, lorsqu’ils sont sollicités, conduisent souvent à des cyberattaques graves, en particulier quand elles se manifestent via ransomware ou compromission d’e-mails professionnels. De plus, le rapport signale une recrudescence des campagnes de phishing par QR codes (quishing)
Les sujets récurrents de ces attaques incluent les thématiques suivantes :
- Des e-mails issus du service RH partageant un rappel des politiques internes de l’entreprise
- Des invitations à signer des documents sur DocuSign
- Des invitations à des réunions Zoom
