Attaques de phishing , un type de cybercriminalité dans lequel les criminels envoient des e-mails frauduleux pour inciter des individus sans méfiance à révéler des informations personnelles ou à cliquer sur des liens malveillants, constitue une menace importante pour les individus et les organisations du monde entier. La capacité d'identifier avec précision les e-mails de phishing est essentielle pour se protéger contre ces attaques, mais des recherches menées au CyLab de l'Université Carnegie Mellon ont révélé que notre capacité à repérer ces messages malveillants est loin d'être parfaite.
L'étude CyLab, intitulée « Gone Phishin' :Understanding and Improving User Perception of Phishing Emails », a mené plusieurs expériences impliquant des sujets humains pour évaluer leur capacité à identifier les e-mails de phishing. Les résultats ont révélé plusieurs informations clés :
1. Précision : La précision globale des participants dans l'identification des e-mails de phishing était relativement faible, avec un taux de précision moyen d'environ 50 % seulement. . Cela met en évidence la difficulté rencontrée par les individus pour faire la distinction entre les e-mails légitimes et les e-mails de phishing.
2. Indices visuels : Les participants se sont largement appuyés sur des indices visuels, tels que la présence d’erreurs grammaticales, de fautes d’orthographe et d’adresses d’expéditeur suspectes, pour identifier les e-mails de phishing. Cependant, les criminels sont de plus en plus sophistiqués dans leurs techniques, ce qui rend difficile de s'appuyer uniquement sur des indicateurs visuels.
3. Confiance dans l'expéditeur : La confiance dans l’identité de l’expéditeur a joué un rôle important dans les décisions des participants. Les e-mails provenant d’expéditeurs ou d’organisations familiers étaient plus susceptibles d’être perçus comme légitimes, même s’ils contenaient des éléments suspects.
4. Appels émotionnels : Les e-mails évoquant des émotions, telles que l’urgence ou la peur de rater quelque chose, étaient plus susceptibles d’être considérés comme légitimes. Cela suggère que les criminels exploitent des tactiques psychologiques pour accroître le succès de leurs attaques de phishing.
5. Indicateurs techniques : Les participants avaient une connaissance et une compréhension limitées des indicateurs techniques du phishing, tels que les URL suspectes ou les types de pièces jointes. Cela met en évidence la nécessité d’une meilleure éducation et d’une meilleure sensibilisation à ces indicateurs techniques.
L'étude CyLab souligne l'importance d'améliorer l'éducation et la sensibilisation des utilisateurs aux attaques de phishing. Pour lutter contre la menace croissante des e-mails de phishing, les individus et les organisations doivent prendre en compte les recommandations suivantes :
1. Éduquer les utilisateurs : Informez continuellement les utilisateurs sur les différentes techniques utilisées dans les attaques de phishing, notamment les indices visuels, les appels émotionnels et les stratégies de renforcement de la confiance.
2. Formation technique : Proposez une formation sur les indicateurs techniques du phishing, tels que les URL suspectes, les pièces jointes et les adresses des expéditeurs.
3. Défense multicouche : Mettez en œuvre plusieurs couches de mesures de sécurité, telles que des filtres de messagerie et une authentification multifacteur, pour améliorer la protection contre les attaques de phishing.
4. Encourager le signalement : Encouragez les utilisateurs à signaler les e-mails suspects aux services informatiques ou aux équipes de sécurité pour faciliter une action et une analyse rapides.
5. Restez informé : Tenez-vous au courant des dernières tendances et techniques de phishing en suivant des sources de cybersécurité et des blogs de sécurité fiables.
En combinant éducation des utilisateurs, formation technique et mesures de sécurité robustes, les individus et les organisations peuvent améliorer considérablement leur capacité à détecter et à se défendre contre les attaques de phishing, réduisant ainsi le risque de violations de données et de pertes financières.