Le phishing ou l’hameçonnage est une forme de fraude dans laquelle un attaquant se fait passer pour une entité ou une personne réputée dans un courrier électronique ou un autre canal de communication. L’attaquant utilise des courriels de phishing pour distribuer des liens malveillants ou des pièces jointes pouvant exécuter diverses fonctions, notamment l’extraction des informations de connexion ou des informations de compte des victimes.
Le phishing est populaire auprès des cybercriminels, car il est beaucoup plus facile de tromper quelqu’un en cliquant sur un lien malveillant dans un courrier électronique de phishing apparemment légitime plutôt que d’essayer de percer les défenses d’un ordinateur.
Comment fonctionne le phishing
Les attaques de phishing reposent généralement sur des techniques de réseautage social appliquées à la messagerie électronique ou à d’autres méthodes de communication électroniques, notamment des messages directs envoyés sur des réseaux sociaux, des SMS et d’autres modes de messagerie instantanée.
Les pirates peuvent utiliser l’ingénierie sociale et d’autres sources publiques d’information, notamment les réseaux sociaux tels que LinkedIn, Facebook et Twitter, pour rassembler des informations générales sur l’histoire personnelle et professionnelle de la victime, ses intérêts et ses activités.
Les informations sont ensuite utilisées pour accéder à des comptes importants et peuvent entraîner un vol d’identité et une perte financière.
Le premier procès en phishing avait eu lieu en 2004 contre un adolescent californien qui avait créé l’imitation du site Web «America Online». Avec ce faux site Web, il a pu obtenir des informations sensibles des utilisateurs et accéder aux informations de carte de crédit pour retirer de l’argent de leurs comptes. Outre le courrier électronique et le phishing sur les sites Web, il existe également le vishing (phishing vocal), le smishing (phishing par SMS) et plusieurs autres techniques de phishing proposées en permanence par les cybercriminels.
Exemple d’email d’hameçonnage (phishing)
Caractéristiques communes des courriels de phishing
- Trop beau pour être vrai – Des offres lucratives et des déclarations qui attirent le regard ou attirent l’attention sont conçues pour attirer immédiatement l’attention des gens. Par exemple, beaucoup affirment que vous avez gagné un iPhone, une loterie ou un autre prix somptueux. Il suffit de ne pas cliquer sur les courriels suspects. Rappelez-vous que si cela semble trop beau pour être vrai, c’est probablement le cas!
- Sentiment d’urgence: l’une des tactiques préférées des cybercriminels consiste à vous demander d’agir rapidement, car les super offres ne sont valables que pour un temps limité. Certains vous diront même que vous ne disposez que de quelques minutes pour répondre. Lorsque vous rencontrez ce type de courrier électronique, il est préférable de simplement les ignorer. Parfois, ils vous diront que votre compte sera suspendu, à moins que vous ne mettiez immédiatement à jour vos informations personnelles. La plupart des organisations fiables donnent suffisamment de temps avant de mettre fin à un compte et ne demandent jamais aux clients de mettre à jour leurs données personnelles sur Internet. En cas de doute, visitez directement la source plutôt que de cliquer sur un lien dans un courrier électronique.
- Hyperliens – Un lien peut ne pas être tout ce qu’il semble être. En survolant un lien, vous affichez l’URL réelle vers laquelle vous serez dirigé en cliquant dessus. Cela pourrait être complètement différent ou ce pourrait être un site Web populaire avec une faute d’orthographe, par exemple www.bankofarnerica.com – le «m» est en fait un «r» et un «n», alors regardez bien.
- Pièces jointes – Si vous voyez une pièce jointe dans un courriel que vous ne vous attendiez pas ou qui n’a pas de sens, ne l’ouvrez pas! Ils contiennent souvent des ransomwares ou d’autres virus. Le seul type de fichier sur lequel vous pouvez toujours cliquer en toute sécurité est un fichier .txt.
- Expéditeur inhabituel – Qu’il provienne de quelqu’un que vous ne connaissez pas ou que vous connaissez, si quelque chose qui sort de l’ordinaire, vous semble inhabituel, inattendu, ou tout simplement suspect, ne cliquez pas dessus!
Prévenir les attaques de phishing:
Bien que les pirates informatiques développent sans cesse de nouvelles techniques, vous pouvez prendre certaines mesures pour vous protéger et protéger votre organisation:
- Des filtres anti-spam peuvent être utilisés pour se protéger contre les spams. Généralement, les filtres évaluent l’origine du message, le logiciel utilisé pour envoyer le message et l’apparence du message afin de déterminer s’il s’agit d’un spam. Parfois, les filtres anti-spam peuvent même bloquer les courriels provenant de sources légitimes, de sorte que ce n’est pas toujours précis à 100%.
- Les paramètres du navigateur doivent être modifiés pour empêcher l’ouverture de sites Web frauduleux. Les navigateurs conservent une liste de faux sites Web. Lorsque vous essayez d’accéder au site Web, l’adresse est bloquée ou un message d’alerte s’affiche. Les paramètres du navigateur ne devraient permettre qu’aux sites Web fiables de s’ouvrir.
- De nombreux sites Web exigent que les utilisateurs saisissent leurs informations de connexion lorsque l’image de l’utilisateur est affichée. Ce type de système peut être exposé à des attaques de sécurité. Un moyen d’assurer la sécurité consiste à modifier les mots de passe régulièrement et à ne jamais utiliser le même mot de passe pour plusieurs comptes. Il est également judicieux que les sites Web utilisent un système CAPTCHA pour une sécurité accrue.
- Les banques et les organismes financiers utilisent des systèmes de surveillance pour prévenir le phishing. Les individus peuvent signaler des cas de phishing à des groupes du secteur où des actions en justice peuvent être intentées contre ces sites Web frauduleux. Les organisations doivent dispenser aux employés une formation de sensibilisation à la sécurité leur permettant de reconnaître les risques.
- Des changements dans les habitudes de navigation sont nécessaires pour empêcher le phishing. Si une vérification est requise, contactez toujours personnellement la société avant d’entrer des informations en ligne.
- S’il existe un lien dans un courrier électronique, survolez d’abord l’URL. Les sites Web sécurisés avec un certificat SSL (Secure Socket Layer) valide commencent par «https». Finalement, tous les sites devront avoir un SSL valide.
En règle générale, les courriers électroniques envoyés par un cybercriminel sont masqués et semblent donc être envoyés par une entreprise dont les services sont utilisés par le destinataire. Une banque ne vous demandera pas d’informations personnelles par courrier électronique ni ne suspendra votre compte si vous ne mettez pas à jour vos informations personnelles dans un délai donné. La plupart des banques et des institutions financières fournissent également généralement un numéro de compte ou d’autres données personnelles dans le courrier électronique, ce qui garantit qu’il provient d’une source fiable.