Pourquoi les attaques de phishing fonctionnent-elles? Blâmez les humains, pas la technologie
Les attaques de phishing restent un énorme problème et les escrocs consacrent beaucoup de temps et d’efforts pour s’assurer que, pour la victime potentielle, cliquer sur un mauvais lien est la chose la plus intuitive et la plus simple à faire.
Une technique courante utilisée dans les e-mails envoyés par les cybercriminels qui tentent d’attaques de phishing consiste à affirmer que la victime doit cliquer sur un lien ou télécharger une pièce jointe de toute urgence.
Cela pourrait être n’importe quoi, des documents d’entreprise importants dans un environnement d’entreprise, à une notification de livraison de colis, à gagner un prix ou même à une fausse menace de convocation au tribunal.
VOIR: Cybersécurité: soyons tactiques (Fonction spéciale ZDNet / TechRepublic) | Téléchargez la version PDF gratuite (TechRepublic)
Les messages sont conçus de manière à ce que cliquer sur le lien de phishing soit la chose la plus simple à faire, dans le but de diriger l’utilisateur vers une page conçue pour voler les identifiants de connexion ou d’autres informations personnelles.
Les escrocs concevront ces pages d’hameçonnage pour qu’elles semblent presque impossibles à distinguer de la vraie qu’ils imitent, ce qui fait partie d’un plan visant à rendre l’opération aussi fluide que possible – sans raison pour que l’utilisateur se demande si quelque chose ne va pas.
« Une partie du problème est que les signaux de phishing sont souvent indiscernables des attributs d’expérience utilisateur positifs », a déclaré Troy Hunt, créateur de HaveIBeenPwned et conseiller numérique de Nord Security à ZDNet Security Update.
« C’est facile lorsque vous avez un lien, car il vous suffit de cliquer dessus et vous allez directement au bon endroit et cela vous relie en profondeur à cette transaction potentiellement frauduleuse », a-t-il ajouté.
Par exemple, si un utilisateur craignait qu’un lien prétendant provenir de sa banque puisse être un e-mail de phishing, il pouvait choisir de ne pas suivre le lien, mais plutôt d’ouvrir une nouvelle fenêtre et d’aller sur le site Web de la banque pour vérifier s’il y avait était vraiment un message de leur compte.
En faisant cela, ils évitent le lien de phishing potentiellement dangereux. Mais les attaques de phishing restent efficaces car les utilisateurs sont toujours contraints de cliquer sur des liens.
VOIR: Ransomware: pourquoi nous sommes maintenant confrontés à une tempête parfaite
C’est malgré une récente enquête de confidentialité menée par NordVPN, qui suggère que si les gens disent qu’ils savent comment rester en sécurité en ligne, ils seront toujours victimes de hameçonnage et d’autres cyberattaques – parce que les cybercriminels sont très capables d’utiliser l’ingénierie sociale pour contraindre les victimes à faire. ce qu’ils veulent.
« Les humains sont finalement faillibles. Malheureusement, c’est la matière organique derrière le clavier qui est souvent la partie vulnérable de la boucle », a déclaré Hunt.
« Nous devons avoir cet équilibre entre l’éducation et la formation, avec la technologie pour le soutenir et nous aider lorsque les choses tournent mal », a-t-il ajouté.
Les organisations peuvent offrir une formation au personnel afin de les aider à identifier les attaques de phishing, tout en encourageant l’utilisation d’outils tels que l’authentification multifacteur et les gestionnaires de mots de passe peuvent également aider à protéger les personnes contre les attaques de phishing.