• Fort impact du contexte géopolitique et technologique actuel en matière de cyberattaques :
• Les technologies de l’IA continuent d’offrir des avantages uniques aux défenseurs et aux attaquants. Les analystes en cybersécurité peuvent analyser plus rapidement les événements de sécurité potentiels avec l’aide d’assistants IA, tandis que les intervenants en cas d’incident peuvent utiliser l’IA pour bloquer et remédier à une attaque plus rapidement et plus complètement. Les attaquants en profitent également : une étude de Mimecast utilisant l’analyse linguistique a révélé qu’environ 12 % des courriels - y compris les attaques de phishing - présentaient des signes d’écriture par de grands modèles de langage (LLM). Les faux sons et les fausses vidéos ont été utilisés efficacement pour imiter des PDG et demander à des employés d’effectuer des paiements frauduleux sur des comptes de cybercriminels.
• Les technologies clés d’authentification des courriels ont augmenté les défis pour les attaquants, tandis que l’IA a abaissé la barre pour la cybercriminalité. En utilisant des services de confiance, les attaquants peuvent répondre aux exigences croissantes d’authentification des technologies de messagerie électronique - telles que SPF, DKIM et DMARC - et donner l’impression de provenir d’une source fiable. Alors que les technologies rendent leurs attaques plus compliquées, les attaquants continuent à trouver des services pour passer les contrôles d’authentification et d’alignement. En outre, la diffusion des robots de conversation permet même aux cybercriminels en puissance d’acquérir les compétences nécessaires au piratage.
• La géopolitique augmente la probabilité de cyberattaques. Les élections françaises et allemandes, ainsi que l’incertitude persistante de la guerre entre la Russie et l’Ukraine, feront monter la tension dans la politique de l’Union européenne. L’écart du gouvernement américain par rapport aux normes prévisibles pourrait également se traduire par une plus grande activité dans le domaine cybernétique. Les experts en affaires, en politique et en cybersécurité sont de plus en plus nombreux à mettre en garde contre le lien entre les tensions géopolitiques et les risques de cybersécurité. Les deux principaux risques identifiés pour 2025 dans l’enquête annuelle du baromètre du risque systémique menée par la Depository Trust and Clearing Corporation sont le risque géopolitique et le risque cybernétique.
• Les secteurs du divertissement et de l’information particulièrement touchés :
• Les secteurs les plus menacés sont ceux des arts, du divertissement et des loisirs, avec plus de 10 menaces par utilisateur (TPU), et celui des services professionnels : services juridiques ainsi que médias et édition, qui ont enregistré près de 9 menaces par utilisateur.
• La plupart des secteurs d’activité présentent un profil de menace particulier. Le secteur des arts, du divertissement et des loisirs a connu une proportion beaucoup plus importante d’attaques utilisant des fichiers malveillants, tandis que les employés des cabinets d’avocats ont été victimes d’un nombre important d’attaques par usurpation d’identité. Les attaquants ont ciblé les travailleurs du secteur des médias et de l’édition principalement avec des liens malveillants, tandis que le secteur des logiciels et du SaaS a dû faire face à de nombreuses attaques d’usurpation d’identité.
• Les principales méthodes d’attaques et campagnes identifiées :
• Arnaque « Business email compromise » (BEC) ciblée avec Deepfake audio : les employés des secteurs de la banque, de l’assurance et d’autres secteurs financiers sont ciblés par des courriels de spear phishing qui prétendent provenir d’un cabinet d’avocats et qui sont envoyés à l’aide d’un service de confiance tel que DocuSign et Adobe Sign. Les messages ciblés demandent à l’employé de signer l’accord de confidentialité, puis d’appeler un numéro censé provenir d’un cabinet d’avocats, mais ce numéro est contrôlé par l’attaquant. L’acteur de la menace se fait passer pour le cabinet d’avocats en utilisant des techniques de deepfake audio pour déguiser sa voix et envoie un courrier électronique à partir d’un domaine contrôlé par l’attaquant qui semble proche du cabinet d’avocats dont l’identité a été usurpée. Enfin, l’attaquant envoie une facture censée provenir du cabinet d’avocats et fait suivre cet envoi d’un faux appel en se faisant passer pour le PDG de l’entreprise ou un autre cadre.
• Utilisation des offres d’emplois : une récente campagne de phishing s’est appuyée sur Recruitee, un CMS de recrutement tiers légitime, pour envoyer des courriels d’offres d’emploi frauduleux. Les acteurs de la menace enregistrent des domaines ressemblant à des marques connues afin d’ajouter de la crédibilité à l’escroquerie. Les pages d’hameçonnage utilisent des CAPTCHA et le filtrage des adresses IP pour empêcher la détection automatique et visent à recueillir les informations d’identification de Facebook.
• Manquer une livraison : les messages envoyés par l’intermédiaire de BIGLOBE, un service japonais souvent utilisé de manière abusive par les auteurs de menaces, ciblent des organisations à but non lucratif et des organismes de logement au Royaume-Uni avec des messages indiquant qu’une livraison a été manquée. Les acteurs de la menace profitent de ce service et d’autres FAI en achetant des comptes authentifiés sur des marchés clandestins, ce qui leur donne un accès légitime à leur infrastructure et leur permet d’envoyer des courriels malveillants qui contournent la plupart des protocoles d’authentification des courriels.
• Violation des droits d’auteur / notification d’abonnement : des emails malveillants envoyés par Gmail via un service de fusion d’emails se font passer pour des cabinets d’avocats réputés et prétendent que des entreprises violent des droits d’auteur. Le courriel contient un lien direct vers Dropbox ou une redirection vers Dropbox, qui entraîne le téléchargement d’un fichier zip contenant un exécutable. L’objectif de ces campagnes est d’utiliser divers infostealers pour voler des informations sensibles sur les machines infectées, telles que des informations d’identification et des données financières.
• Obtenir de l’utilisateur qu’il copie/colle des liens - Escroquerie aux comptes créditeurs : dans leurs efforts pour échapper aux logiciels et services de détection technique, les acteurs de la menace ont décidé de convaincre les utilisateurs de copier des liens malformés à partir d’un courriel - en général, il manque le préfixe « http:// » - et de coller ces liens dans leur navigateur. Les leurres analysés par Mimecast comprenaient généralement un bouton avec un lien brisé et un texte contenant une variante de « Si le lien ne fonctionne pas » : « Si le lien ne fonctionne pas, veuillez copier et coller le lien ci-dessous ».
• « Open spoofing » : les acteurs de la menace utilisent des routeurs de consommateurs compromis comme proxy pour envoyer des campagnes d’hameçonnage d’informations d’identification à grande échelle par le biais des services de messagerie des FAI, en masquant leur infrastructure et en contournant l’authentification de la messagerie. Les fournisseurs d’accès Internet concernés identifiés lors de l’étude de Mimecast utilisent des solutions de messagerie électronique telles que Zimbra et MagicMail, et ne semblent pas disposer de mesures anti-spam sortantes solides. La combinaison d’une authentification inadéquate et de contrôles de sécurité relâchés permet aux attaquants d’atteindre des taux d’envoi élevés et de mener des campagnes de spam à grande échelle sans perturbation notable.