Proofpoint : 99% des cyberattaques requièrent une action humaine pour se propager, selon le rapport annuel sur « Le facteur humain »
septembre 2019 par Proofpoint, Inc.
Proofpoint, Inc. dévoile les conclusions de son rapport annuel sur le facteur humain, qui explique comment les cybercriminels œuvrent pour cibler les individus plutôt que les systèmes et les infrastructures afin d’installer des malwares, générer des transactions frauduleuses, voler des données et plus encore. Ce rapport, qui s’appuie sur une analyse de 18 mois de données recueillies auprès de la base de clients Proofpoint dans le monde, dessine les tendances en matière de cyberattaques afin d’aider les entreprises à se protéger.
« Les cybercriminels ciblent de manière incisive les individus, car envoyer des emails frauduleux, voler des identifiants ou dissimuler des documents corrompus au sein d’applications cloud est plus simple et de loin plus profitable que de créer une faille d’exploitation coûteuse, chronophage et ayant une probabilité d’échec plus importante », explique Kevin Epstein, vice-président des Opérations liées aux Menaces chez Proofpoint. « Plus de 99% des cyberattaques nécessitent une action humaine pour s’exécuter, faisant des individus la dernière ligne de défense. Pour réduire le risque, les organisations ont besoin d’une approche holistique de cybersécurité centrée sur l’humain, incluant un programme de formation efficace et différents niveaux de défense auprès des utilisateurs les plus visés ».
Conclusion du rapport 2019 Le facteur humain de Proofpoint :
• Plus de 99% des cyberattaques nécessitent une action humaine pour s’exécuter - activer une macro, ouvrir une pièce-jointe, cliquer sur un lien, etc. - soulignant l’importance de l’ingénierie sociale dans l’efficacité des attaques.
• Microsoft reste un leurre majeur. Près d’1 email de phishing sur 4 envoyés en 2018 était associé à un produit Microsoft. En 2019, la menace a évolué vers le stockage cloud, DocuSign et le cloud de Microsoft. Les leurres de phishing visaient principalement à voler des identifiants ou créer des boucles de rétroaction pouvant générer de futures attaques.
• Les acteurs de la menace affûtent leurs outils et techniques pour gagner de l’argent et dérober des données. Alors que les attaques en “one-to-one” et en “one-to-many” étaient privilégiées par le passé, les acteurs de la menace obtiennent désormais de meilleurs résultats avec des attaques utilisant plus de 5 identités auprès de plus de 5 personnes différentes au sein d’organisations ciblées.
• Les familles de malware les plus répandues au cours des 18 derniers mois incluaient régulièrement des chevaux de Troie bancaires, des RATs ou autres souches non-destructrices conçues pour rester résidentes sur le terminal infecté et dérober en continu des données pouvant potentiellement servir à de futures attaques.
Menaces centrées sur l’humain
• Les cybercriminels ne ciblent pas nécessairement les VIPs au sein des organisations. Les personnes les plus ciblées - Very Attacked People (VAP) se situent à différents niveaux hiérarchiques.
• 36% des identités de VAP peuvent être trouvées en ligne, sur le site web de l’entreprise, les réseaux sociaux, dans des articles, etc. 23% des identités de VIPs qui sont aussi des VAPs peuvent être trouvées avec une simple recherche Google. Ces employés “visibles” ont plus de chance d’être ciblés par une attaque.
• Les fraudeurs imitent les routines professionnelles pour passer en dehors du radar. Les messages frauduleux respectent globalement les pratiques d’entreprises, avec moins de 5% des messages envoyés le week-end, et plus de 30% le lundi.
• Les malwares ont quant à eux moins respecté le trafic email standard. La pupart des messages frauduleux analysés au cours du second trimestre 2019 ont été plus souvent distribués sur les trois premiers jours de la semaine et ont été également massivement présents dans des campagnes lancées le dimanche (plus de 10% du volume total).
• Les horaires où les individus ont cliqué sur les liens frauduleux montrent des disparités régionales illustrant les différences culturelles et de pratique dans la gestion de l’email à travers les principales régions du monde. Les employés d’Asie Pacifique et d’Amérique du Nord sont plus enclins à consulter leurs emails tôt le matin, quand les usagers du Moyen-Orient ou d’Europe le font à la mi-journée ou après le déjeuner.
Attaques par email : les secteurs les plus menacés
• L’éducation, la finance et le marketing/publicité sont les secteurs qui obtiennent le plus haut score d’Index d’Attaque (Attack Index), un système de mesure de la sévérité et du risque d’attaques. Le secteur de l’éducation est fréquemment la cible d’attaques très sévères et compte le plus grand nombre de VAPs de toutes les industries. En comparaison le secteur de la finance a un score d’Index d’Attaque élevé mais peu de VAPs.
• Les secteurs de l’ingénierie, de l’automobile et de l’éducation ont connu un pic d’attaques en 2018 avec en moyenne plus de 75 attaques par organisation. Pour les secteurs de l’ingénierie et de l’automobile, cela s’explique principalement par la complexité de la chaîne logistique. Dans le secteur de l’éducation, par la valeur des cibles et la vulnérabilité des utilisateurs au sein de la population étudiante. Au cours du premier semestre 2019, les secteurs les plus ciblés sont devenus la finance, l’industrie manufacturière, l’éducation, la santé et le retail.
• Le kit de phishing Chalbhai, troisième piège le plus populaire au cours du premier semestre 2019, ciblait les identifiants de nombreuses entreprises US et internationales du secteur bancaire et des télécoms, en utilisant un modèle de kit attribué à un seul groupe mais exploité par plusieurs acteurs.
• Les attaquants capitalisent sur l’insécurité humaine. L’un des pièges les plus efficaces en 2018 a été “Brainfood”, un botnet menant sur des pages web proposant des pilules amaigrissantes ou des compléments censés booster l’intelligence et qui au final visait à dérober les données de cartes de crédit. Le taux de clic associé à ce leurre était de 1,6, soit deux fois mieux que le second leurre cliquable le plus efficace.