Les cybercriminels emploient des techniques de plus en plus sophistiquées pour cibler les personnes. Les sites Web en apparence légitimes, mais qui sont en réalité dangereux, constituent un vecteur courant pour leurs campagnes.
Les utilisateurs relâchent facilement leur vigilance lorsqu'ils effectuent des tâches quotidiennes telles que des recherches, des achats, le paiement de factures ou la consultation des réseaux sociaux. Découvrez les conclusions du rapport State of the Phish 2023 de Proofpoint, qui s'intéresse au paysage des menaces en 2022 :
- Plus d'un tiers des adultes actifs ont effectué au moins une action dangereuse : clic sur un lien malveillant, téléchargement d'un malware, divulgation de données personnelles ou d'identifiants de connexion, etc.
- Plus de 60 % des adultes actifs ignorent que l'intitulé d'un lien figurant dans un email peut ne pas correspondre au site Web vers lequel mène ledit lien.
Ces chiffres sont alarmants. Nos recherches montrent également que 84 % des entreprises ont été victimes d'une attaque de phishing fructueuse en 2022 — et que ces attaques nécessitent qu'un utilisateur clique sur un élément malveillant.
Les collaborateurs constituent la première ligne de défense d'une entreprise. Intéressons-nous aux dernières tendances en matière de menaces ciblant la navigation Web dont ils doivent se méfier.
- Chatbots optimisés par l'IA, comme ChatGPT
- Phishing de l'authentification multifacteur (MFA, Multi-Factor Authentication)
- Attaques de navigateur dans le navigateur (BitB, Browser-in-the-Browser)
La popularité et la dangerosité des chatbots d'IA
Les chatbots d'IA sont rapidement devenus populaires, car ils sont capables de venir immédiatement en aide aux utilisateurs par le biais d'interactions en langage naturel. ChatGPT est le plus connu, mais il en existe d'autres, comme Microsoft Bing et Google Bard.
Ces chatbots sont souvent accessibles depuis un navigateur Web. La possibilité de transmettre et de recevoir instantanément des informations engendre de nombreux risques de désinformation.
Les utilisateurs peuvent saisir des informations personnelles dans le navigateur en réponse à un chatbot d'IA. Comme nous l'avons déjà constaté avec les injections bancaires, toute transmission d'informations personnelles via le navigateur peut devenir une cible pour les cybercriminels.
Les chatbots collectent des données utilisateurs pour améliorer leurs performances et personnaliser leurs interactions. Cela peut également susciter des inquiétudes quant à la confidentialité des données personnelles. Si les données ne sont pas stockées de manière sécurisée ou chiffrées de façon adéquate, des accès non autorisés pourraient entraîner des usurpations d'identité ou des compromissions de données.
La menace du phishing de l'authentification multifacteur (MFA)
À mesure que l'authentification multifacteur (MFA) s'est imposée en tant que mesure de sécurité standard, les techniques de phishing MFA de type « man-in-the-middle » ont évolué afin de dérober des jetons MFA.
Lors d'une attaque de phishing MFA, la victime se rend sur une page frauduleuse qui utilise un proxy inverse pour afficher l'interface de connexion d'un service légitime. Sa tentative de connexion semble se dérouler normalement, mais lorsque la victime saisit son code MFA et d'autres identifiants de connexion utilisateur, le proxy inverse intercepte son jeton MFA et le vole.
Le cybercriminel peut désormais contourner la couche de sécurité MFA et accéder au compte utilisateur. Il peut ainsi mettre la main sur des données sensibles, des informations personnelles et des données financières, ainsi que dérober des informations personnelles à des fins d'usurpation d'identité ou utiliser le compte pour accéder à d'autres systèmes et données privées.
Méfiance face aux attaques de navigateur dans le navigateur (BitB)
Cette forme avancée de phishing d'identifiants de connexion est difficile à détecter. En plus de concevoir une page de phishing convaincante, le cybercriminel crée une fausse fenêtre contextuelle d'authentification unique (SSO). C'est la fenêtre que les utilisateurs voient lorsqu'ils décident de se connecter à un service avec les identifiants de connexion d'un site de confiance tel que Google, Apple ou Twitter.
La fausse page SSO est créée en modifiant le code du site Web de phishing pour ajouter une autre page Web distincte incorporée à la page de phishing. Si l'utilisateur saisit ses identifiants de connexion au site de confiance, le cybercriminel les collecte et a potentiellement accès à un composant clé de l'identité numérique de la victime.
Leçon à retenir : les actions des utilisateurs sont les meilleures défenses
Les navigateurs Web sont dotés de fonctionnalités de sécurité qui vous avertissent des risques potentiels. Mais elles n'empêchent pas les utilisateurs d'effectuer des actions dangereuses. Il revient à chacun de prendre le temps de réfléchir avant d'agir ou de réagir. C'est pourquoi les formations de sensibilisation à la sécurité informatique sont essentielles pour aider les utilisateurs à comprendre comment reconnaître les menaces et mettre en application leurs connaissances dans des situations concrètes.
Il est primordial de prêter attention aux détails d'un site Web et de tenir compte des éléments et comportements relatifs à sa sécurité, par exemple :
- Fenêtres contextuelles ressemblant à des messages de navigateur qui vous demandent d'installer ou de mettre à niveau des logiciels
- Téléchargements gratuits, comme des films, de la musique ou des vidéos qui dissimulent des logiciels malveillants
- Offres gratuites demandant des informations personnelles pour vous faire parvenir des cadeaux
- Apparence des marques connues pouvant créer un faux sentiment de sécurité : vous reconnaissez peut-être la marque, mais les images semblent-elles légitimes ?
- Utilisation du nom de domaine principal du site Web correct (p. ex. « microsoft.com »), mais présence de mots ou d'une orthographe inhabituels dans le reste de l'URL
- URL de sites Web qui apparaissent dans les résultats de recherche, mais qui ne sont pas des liens légitimes
- URL raccourcies par des services comme Bitly ou TinyURL pouvant dissimuler la véritable destination d'un lien
- Messages d'avertissement de navigateur indiquant qu'un site Web n'est pas sécurisé ou qu'il ne peut pas être authentifié
- Fonctionnalité suspecte du navigateur, comme un certificat de sécurité manquant
- Site Web vous demandant de saisir des informations sensibles ou financières (ne le faites que si vous avez confiance en la source)
- Maintien à jour du navigateur afin de se protéger contre les problèmes de sécurité connus. Méfiez-vous des extensions et des mises à jour automatiques de modules d'extension.
« Navigation Web : Road Trip » est le thème du kit de sensibilisation à la cybersécurité 2023 de Proofpoint.
Étape suivante : téléchargez le kit du mois de sensibilisation à la cybersécurité
Chaque année en octobre a lieu le mois de sensibilisation à la cybersécurité, l'occasion idéale d'apprendre aux utilisateurs à se protéger, eux et leur entreprise, contre les menaces actuelles.
Pour soutenir vos initiatives en ce mois d'octobre, Proofpoint a publié un kit de sensibilisation à la cybersécurité 2023, disponible gratuitement, qui se concentre sur le thème essentiel de sécurisation de la navigation Web. Le kit Navigation Web : Road Trip propose, sur une période de quatre semaines, des contenus et des communications sur la sécurité en ligne, ainsi que des supports de préparation pré-lancement et des suggestions pour clôturer la campagne.
Téléchargez et utilisez notre kit du mois de sensibilisation à la cybersécurité tout au long du mois d'octobre, ou lorsque vous avez besoin de booster votre programme.
Un programme de sensibilisation à la sécurité informatique en place toute l'année offre de meilleurs résultats en termes de réduction des risques liés aux utilisateurs. Visitez notre Centre de sensibilisation à la cybersécurité pour découvrir comment transformer vos utilisateurs en superhéros de la cybersécurité, au travail comme à la maison.