Les services RH, comptables et financiers, proies faciles du phishing

Un quiz de McAfee sur 16 000 utilisateurs d'entreprise montre que 80 % ont été trompés par au moins un courriel de phishing sur sept. En tête, les membres des services comptables, financiers et RH.
Les attaques par phishing ou hameçonnage restent efficaces pour percer les défenses des entreprises. C'est ce qui ressort du rapport trimestriel de McAffee Labs (éditeur de sécurité) sur les menaces, réalisés en août 2014.
McAfee Labs a recueilli plus de 250 000 nouvelles URL de phishing, ce qui représente près d'un million de nouveaux sites depuis 2013. L'analyse des données montre non seulement une augmentation du volume mais aussi une plus grande sophistication des attaques de phishing en circulation.
« En effet, les pirates n'auraient aujourd'hui plus aucune difficulté à obtenir des renseignements sur leurs cibles et à savoir où elles travaillent et quels sont leurs centres d'intérêt » expliquent les experts de l'éditeur.
L'email trompeur contient en général des informations personnalisées qui peuvent inciter le destinataire à croire qu'il émane d'une source légitime. La tromperie s'appuie sur une adresse email usurpée calquée sur un domaine liée à une marque connue (comme PayPal.com ou Amazon.com), le tout est couplé à un téléchargement d'images correspondant à ce domaine.

McAfee a voulu tester la capacité des utilisateurs en entreprise à identifier les tentatives de phishing en leur proposant un quiz sur le phishing, portant sur 10 messages présentés dans des clients de messagerie émulés.
Les 16 000 répondants étaient invités à identifier chaque exemple de message comme un e-mail légitime ou un e-mail de phishing, comme ils le feraient dans leur propre boîte de réception.
Les résultats ont montré que 80 % des participants se sont laissés berner par au moins un e-mail de phishing sur sept. Les plus mauvais scores sont à mettre au compte du personnel des services comptables, financiers et des ressources humaines, qui détiennent parmi les données d'entreprise les plus sensibles.
Ils sont 4 à 9 % plus nombreux que les autres à ne pas détecter l'arnaque. « L'accès aux systèmes de ces services peut ouvrir la porte à une mine d'informations sensibles. Il est clair qu'une sensibilisation à ce type de menaces s'impose pour ces utilisateurs ».
Globalement, l'utilisation d'adresses e-mail usurpées s'est avérée redoutablement efficaces. Deux des courriels du Quiz avaient recours à cette tactique et les participants ont été incapables de les repérer dans 63 % et 47 % des cas.
Source :
- McAfee : rapport sur le paysage des menaces (août 2014)