Les recherches montrent que le spear phishing continue de croître

Le rapport 2021 du FBI sur la criminalité sur Internet révèle que les arnaques par phishing ont fait plus de victimes que tout autre type d'escroquerie sur Internet l'année dernière. Le phishing et les tactiques connexes visent à inciter les victimes à divulguer leurs identifiants et autres informations sensibles. Le phishing représente 38,2 % de tous les cybercrimes signalés au FBI en 2021 et est la cyberattaque la plus recensée depuis 2018.

Le spear phishing n'est pas une nouveauté, mais il a gagné en sophistication au fil des années.  Les criminels continueront à y recourir car il s'agit d'un moyen efficace de pénétrer des réseaux pourtant sécurisés.   Certaines des plus grandes cyberattaques de ces dix dernières années avaient pour point de départ une attaque par spear phishing. Voici quelques exemples :

Ubiquiti Networks a versé 46,7 millions de dollars à des escrocs.

Le 5 juin 2015, on a découvert qu'Ubiquiti Networks avait été victime d'une attaque par spear phishing qui lui a coûté 46,7 millions de dollars. Ils ont pu récupérer environ 15 millions de dollars car ils ont contacté leur banque dès qu'ils se sont aperçus qu'ils avaient été victimes d'une escroquerie.  Ubiquity a révélé que la supercherie résultait de « l'usurpation de l'identité d'un employé et de demandes frauduleuses d'une entité extérieure ciblant le département financier de la société ». Jetez un œil à notre Threat Spotlight de juin 2017, vous y trouverez un exemple et une analyse de ce type d'attaque.

FACC a fait une croix sur 55 millions de dollars

FACC fabrique des pièces de moteur et des pièces intérieures pour Airbus, Boeing et autres constructeurs aérospatiaux.  La société a perdu 55 millions de dollars lorsqu'elle a été victime d'une cyberattaque le 19 janvier 2016. Après cet épisode, les actions de la société ont chuté de 17 %.

FACC a démis Walter Stephan de ses fonctions de PDG en mai de la même année :

Le comité de direction est arrivé à la conclusion que M. Walter Stephan avait gravement manqué à ses obligations, notamment en ce qui concerne le « Fake President Incident »

Les détails de l'attaque et le rôle du PDG dans cette attaque n'ont pas été rendus publics.

La banque Crelan a perdu 75,8 millions de dollars

Le 19 janvier 2016, cette banque néerlandaise a publié un communiqué indiquant qu'elle avait été victime d'une fraude qui lui avait fait perdre environ 75,8 millions de dollars.  Crelan a assuré que les réserves de la banque protégeraient ses clients et partenaires de cette perte et que des mesures de sécurité supplémentaires avaient été déployées pour éviter que ce type de fraude ne survienne à nouveau.   Luc Versele, PDG de Crelan, a déclaré que « la rentabilité intrinsèque de la banque n'en a pas souffert. »

Facebook et Google ont été victimes d'une fraude à hauteur de 100 millions d'euros

Le 21 mars 2017, le ministère de la Justice a publié un communiqué concernant une escroquerie lituanienne par e-mail qui a soutiré environ 100 millions de dollars à deux géants de la technologie. Bien qu'elles aient refusé tout commentaire, les principales sources d'informations technologiques telles que CNET et Fortune pensent que ces deux entreprises sont Google et Facebook. Cela démontre que même les entreprises les plus expérimentées peuvent être victimes d'attaques de Social Engineering très ciblées.

Ces chiffres ne rendent pas compte de l'ensemble des dommages occasionnés aux entreprises.  Il y a des coûts liés aux interruptions de service, aux enquêtes et aux fuites de données.  L'attaque contre Sony Pictures Entertainment a été estimée à 35 millions de dollars au titre de l'exercice fiscal se terminant le 31 mars 2015. Les pirates responsables de l'attaque de Sony ont détruit des données et divulgué des informations privées et sensibles sur ses employés.  Sept mois plus tard, Sony a accepté de verser des indemnités allant jusqu'à 8 millions de dollars aux employés estimant avoir été victimes de la négligence de Sony. L'attaque contre Sony résulte « probablement » d'une vague d'e-mails de phishing demandant à certains employés de confirmer leur identifiant Apple.

La plupart des entreprises ne peuvent pas supporter un tel revers financier et rester en activité. Barracuda Email Protection est une suite de sécurité complète conçue pour prévenir les menaces, détecter et répondre aux incidents de sécurité, sécuriser les données et assurer la conformité.  Rendez-vous sur notre site web pour découvrir comment Barracuda peut vous aider à protéger votre entreprise contre les attaques par spear phishing et d'autres menaces e-mail.