Hameçonnage psychologique : l’effet de prévalence

Le paradoxe de la prévalence expliquerait le succès de l’hameçonnage

Depuis toujours, les cybercriminels utilisent la psychologie comme instrument de tromperie. Cependant, nous pouvons également nous baser sur les phénomènes psychologiques pour expliquer pourquoi certaines méthodes criminelles fonctionnent et ainsi vous aider à trouver la bonne stratégie de protection. De nombreux psychologues analysent les plans d’attaque et les raisons pour lesquelles ils sont efficaces. Aujourd’hui, nous analysons une hypothèse ayant pour objectif d’expliquer pourquoi, malgré la puissance des technologies anti-hameçonnage, les pièges par e-mail font encore autant de victimes et causent d’importants dégâts. Plus important : nous vous expliquons ce que vous devez faire à cet égard.

Les mesures anti-spams et anti-hameçonnages sont des éléments-clés de la sécurité en ligne de toute entreprise. Après avoir analysé plusieurs incidents informatiques, nos experts ont découvert que tout commence généralement par un e-mail, qu’il s’agisse d’un envoi de masse ou d’une attaque ciblée. De nos jours, les filtres peuvent repérer les e-mails d’hameçonnage classiques avec un haut degré de certitude. Toutefois, les cybercriminels parviennent encore à passer à travers ces filtres, en piratant, par exemple, la boîte e-mail d’un partenaire et en délivrant un message à une victime humaine, toujours le maillon le plus faible. Plus les filtres sont efficaces, plus il y a de chances que le message qui parvient à se faufiler puisse tromper l’utilisateur.

L’expérience

Deux chercheurs américains, Ben D. Sawyer du Massachusetts Institute of Technology et Peter A. Hancock de l’Université de Floride centrale, ont émis l’hypothèse selon laquelle il existe une corrélation directe entre la fréquence d’envoi d’e-mails malveillants et la réussite de leur identification par les utilisateurs. Leur théorie repose sur « l’effet de prévalence « , bien connu dans le domaine de la psychologie, et déclare qu’une personne est plus encline à manquer, ou ne pas détecter, un signal peu commun qu’un signal fréquent.

Les chercheurs ont décidé de vérifier cette théorie dans la pratique en menant une expérience au cours de laquelle les participants ont reçu des e-mails, dont certains contenaient des pièces jointes malveillantes. Le pourcentage d’e-mails malveillants variait d’un participant à l’autre. Pour certains, seulement 1 % avait un logiciel malveillant dans la pièce jointe, pour d’autres, 5 % ou 20 %. Les résultats ont confirmé leur hypothèse : moins une menace est fréquente, plus il est difficile de la détecter. De plus, la dépendance ne serait pas linéaire mais plus proche du logarithmique.

Il est à noter que cet essai avait un échantillon assez restreint (33 sujets) et que tous les participants étaient des étudiants. Il faut éviter de tirer des conclusions trop hâtives car il est encore trop tôt. La psychologie considère généralement que l’effet de prévalence a été prouvé, alors pourquoi ne devrait-il pas s’appliquer aux e-mails d’hameçonnage ? Quoi qu’il en soit, Sawyer et Hancock promettent d’affiner leur hypothèse en la soumettant à des tests plus poussés.

Les chercheurs expliquent ce phénomène par une confiance accrue dans la sécurité du système. En résumé, ils considèrent que les technologies anti-hameçonnage protègent les utilisateurs contre les menaces tout en leur faisant baisser la garde. À ce propos, les chercheurs soutiennent également que les cybercriminels connaissent sûrement cet effet et que c’est pour cela qu’ils envoient délibérément mois souvent des logiciels malveillants.

Conclusions pratiques

Comme vous l’aurez deviné, nous ne recommandons pas l’abandon des systèmes de sécurité automatisés. Toutefois, si l’hypothèse de Sawyer et Hancock est correcte, il est possible que les utilisateurs rencontrent occasionnellement des e-mails d’hameçonnage. Pas en personne, bien sûr.

Kaspersky Automated Security Awareness Platform, notre solution pour former les employés d’entreprises de toutes tailles dans le domaine de la cybersécurité, vous permet de vérifier périodiquement dans quelle mesure les personnes en formation acquièrent ces compétences. Elles reçoivent notamment de faux e-mails d’hameçonnage et doivent répondre correctement. Cela aidera les employés à rester sur leurs gardes afin qu’ils n’oublient pas à quoi ressemble l’hameçonnage.

Même si cette théorie est finalement discréditée, ces e-mails ne feront aucun mal. Au moins, le responsable de la formation saura qui sont les maillons les plus faibles.

Conseils