Le phishing est un type de cyber-attaque consistant en l'envoi de courriels génériques par des cybercriminels se faisant passer pour des personnes légitimes. Ces courriels contiennent des liens frauduleux qui permettent de voler les informations privées des utilisateurs. Les attaques par hameçonnage sont plus efficaces lorsque les utilisateurs n'en ont pas conscience.
Le phishing est une méthode d’attaque qui existe depuis le milieu des années 1990. Elle a vu le jour lorsqu’un groupe de jeunes a conçu une fonctionnalité de salle de chat sur AOL dans laquelle ils se faisaient passer pour des administrateurs d’AOL. Ils volaient des numéros de carte de crédit à d'autres utilisateurs pour s’assurer qu’ils bénéficieraient toujours d’un accès gratuit à AOL.
La « salle de chat pour les nouveaux membres » d’AOL était conçue pour les utilisateurs qui avaient besoin d’une assistance pour l’accès au site. Les pirates informatiques ont créé ce qui semblait des pseudonymes valides d’administrateurs d’AOL tels que « BillingAccounting » (ComptabilitéFacturation) et informaient les utilisateurs de l’existence de problèmes avec leur compte.
L’utilisateur devait fournir un numéro de carte de crédit pour résoudre les problèmes. Les criminels utilisaient ensuite ce numéro pour payer leur propre abonnement. Le terme de « phishing » a été conçu pour décrire cette attaque et d'autres semblables, mais il est désormais principalement associé aux arnaques par email. Les escroqueries par phishing continuent abondamment à ce jour. Selon le Rapport d’enquête sur les compromissions de données en 2021 Verizon, 36 % des violations étaient liées au phishing.
Étant donné que le phishing repose essentiellement sur l’ingénierie sociale, il est primordial que l’ensemble des utilisateurs comprenne comment les assaillants exploitent la nature humaine. Tout d'abord, l'ingénierie sociale est une arnaque utilisée par les pirates pour convaincre les utilisateurs de faire quelque chose qu'ils ne feraient pas en temps normal.
L'ingénierie sociale peut être aussi simple qu'une personne aux mains pleines qui demande à ce qu'on lui ouvre une porte. De même, une attaque d’ingénierie sociale peut commencer de cette manière : une personne fait tomber une clé USB portant l’inscription « Photos de famille » dans un parking. La clé USB peut contenir un malware qui s’installe sur l’ordinateur, compromettant la sécurité dans une certaine mesure. On connaît cette méthode sous le nom de « baiting » (appâtage).
Le terme de phishing désigné principalement les attaques génériques par email. Il se produit lorsqu’un attaquant envoie des emails à un maximum d'adresses, à l’aide de services courants tels que PayPal ou Bank of America.
L'email indique que le compte est compromis et vous invite à cliquer sur un lien pour vérifier que le compte est légitime. En général, le lien effectuera une ou deux choses, ou les deux :
Le phishing a évolué au fil des ans pour inclure des attaques visant différents types de données. En plus de l’argent, les attaques peuvent cibler des données sensibles ou des photos.
Une attaque de phishing est une mesure ou un ensemble des mesures que prend un pirate informatique pour vous exploiter. Le phishing par email est souvent facile à détecter en raison d’erreurs de grammaire et/ou d’orthographe. Cependant, les attaquants sont de plus en plus sophistiqués techniquement. Les nouvelles attaques se concentrent sur l’exploitation des émotions humaines pour vous pousser à agir : peur, indignation et curiosité.
L’attaque contre RSA en 2011 visait simplement quatre personnes de l’organisation. L’email en lui-même n’était pas très sophistiqué, mais il s’est avéré fructueux, car il ciblait les bonnes personnes. L’email, intitulé « 2011 Recruitment plan.xls », était conçu pour éveiller l’intérêt de ces personnes, et n’aurait pas forcément intéressé d'autres membres de l’organisation.
Il existe plusieurs types différents d’attaques de phishing. Il s'agit notamment de l'attaque classique par email, des attaques sur les réseaux sociaux et des attaques à des mots-valises comme le smishing et le vishing.
Les attaques de phishing interne sont une préoccupation croissante. Elles se produisent lorsqu'un utilisateur de confiance envoie un email de phishing à un autre utilisateur de la même organisation. L'utilisateur d'origine étant digne de confiance, les destinataires sont plus susceptibles de cliquer sur un lien, d’ouvrir une pièce jointe ou de répondre en fournissant les informations demandées.
Pour envoyer des emails de phishing interne, un assaillant contrôle votre compte de messagerie avec des informations d'identification compromises. Un assaillant peut également prendre le contrôle de votre appareil, soit physiquement en raison de la perte ou du vol de l'appareil, soit par le biais d'un malware présent sur l'appareil. Les emails de phishing interne font partie d'une attaque en plusieurs étapes dont l'objectif final est l'extorsion avec un ransomware, par exemple, ou le vol d'actifs financiers ou intellectuels.
Le smishing est une attaque qui exploite les appareils mobiles. Aujourd’hui, on vend plus d'appareils mobiles que de PC. Les pirates se sont donc tournés vers cette plateforme pour voler des données personnelles. Les attaques de smishing se produisent souvent lorsque des attaquants envoient un SMS à votre numéro de téléphone, avec un message vous informant d’un problème lié à votre compte et contenant un numéro à appeler pour résoudre le problème. Si vous appelez ce numéro, vous serez souvent mis en contact avec le pirate personnellement, ou avec un « employé » embauché par l’acteur malveillant.
Si vous n'appelez pas ce numéro, les pirates peuvent vous appeler pour vous indiquer que « votre compte a été attaqué et [que] vous devez partager les informations de votre compte pour résoudre le problème ». Pour assurer leur réussite, les pirates s'appuient souvent sur la quantité d'appels sortants. C'est ce qu'on appelle le vishing.
En savoir plus sur le smishing.
Au lieu de recevoir l'attaque de phishing par e-mail, l'attaque de phishing Angler cible nos comptes de médias sociaux.
Les réseaux sociaux sont devenus une partie essentielle de notre monde en ligne, à tel point que les pirates s’en servent facilement pour mener à bien des attaques de phishing. Une attaque de phishing courante sur Facebook consiste à publier des « offres » sur des comptes d’« amis », avec des instructions pour cliquer. Pour réussir cette attaque, les pirates doivent pouvoir accéder à votre compte.
Ils peuvent y parvenir facilement sur de nombreux comptes, lorsqu’il existe une faille dans les serveurs en ligne d’une autre société qui causent une fuite des mots de passe. Les pirates essaient les mêmes combinaisons d’adresse email et de mot de passe sur d'autres plateformes courantes, comme Facebook ou LinkedIn.
En savoir plus sur le phishing sur les réseaux sociaux.
À mesure que les utilisateurs ont appris l’existence des attaques de phishing, les pirates ont créé de nouvelles méthodes d'attaque. Le pharming compromet le cache DNS (système de noms de domaine) dans votre ordinateur. Cette opération s’effectue grâce à l’utilisation de téléchargements furtifs.
Tandis que vous naviguez sur des sites Web et cliquez d’un site à l’autre, l’assaillant exploite le manque de sécurité que l’on observe souvent sur les sites Web. C’est assez facile de modifier le texte HTML qui compose le site web pour qu’il comporte un téléchargement d’informations lorsque vous arrivez sur un site web ou cliquez pour y parvenir.
Si vous ne cliquez pas dans l’email, l’assaillant attend simplement que vous vous connectiez à votre banque. L’information du cache DNS modifiée vous dirigera vers la version piratée du site web de votre banque. Vous saisissez votre identifiant et votre mot de passe. L’attaquant récupère ainsi vos données d’identification pour accéder à votre compte bancaire et voler des fonds.
Il existe des choses très spécifiques que vous pouvez faire en tant que particulier pour vous protéger :
En tant qu’organisation, en plus des recommandations susmentionnées, vous devez :