Dans une attaque de phishing, les pirates essaient de vous pousser à partager des informations sensibles. Leur objectif est de voler des identifiants de connexion, des numéros de carte de crédit et des informations professionnelles sensibles. Ils peuvent également essayer d'infecter votre ou vos ordinateurs avec un malware.
Le phishing désigne l’acte de tentative de vol via des appareils connectés. L'action peut être manuelle ou exécutée par un outil qui automatise le processus. Il peut également s'agir d'une combinaison qui commence par un outil scripté ouvrant la porte au pirate qui termine l'attaque manuellement.
La première utilisation du terme « phishing » remonte à 1994, lorsque des adolescents rebelles se sont employés à voler manuellement les numéros de carte de crédit d'utilisateurs peu méfiants sur AOL. En 1995, ils ont créé un programme appelé AOHell pour automatiser leur travail.
Depuis lors, les pirates continuent d’inventer de nouvelles façons de récolter des détails auprès de toute personne connectée à Internet. Ils ont créé un certain nombre de programmes et de logiciels malveillants, encore utilisés aujourd'hui. Certains de ces outils ont été créés dans le seul but de tester la pénétration, ou « piratage avec autorisation ». Mais lorsqu’un outil est publié, les auteurs de menaces peuvent découvrir comment l’utiliser à des fins malveillantes.
Dans les années qui ont suivi, les pirates sont parvenus à créer des logiciels malveillants spécifiquement conçus pour les applications de phishing. L'un de ces outils, PhishX, est conçu pour voler des informations bancaires. À l'aide de PhishX, les assaillants créent un faux site web de banque qui semble être une vraie banque où vous pourriez avoir un compte. Ils personnalisent la page avec leur numéro de téléphone et leur adresse électronique. En cliquant sur « Contactez-nous », vous entrez en contact direct avec les pirates.
Phishing Frenzy est un exemple d’outil de phishing par email créé à l'origine pour des tests de pénétration. Phishing Frenzy était intuitif et beaucoup de pirates l’ont utilisé en raison de sa simplicité d’utilisation.
Swetabhsuman8 en est un autre. Il sert à pirater les comptes Instagram en permettant aux assaillants de créer de fausses pages de connexion. Lorsque vous essayez de vous connecter, le pirate recueille votre identifiant et votre mot de passe.
En plus des faux sites Web, des outils de phishing par email et des pages de connexion malveillantes visant à voler vos informations, les pirates créent des centres d'appels associés à un numéro de téléphone que vous recevez par email, sur un faux site web ou par SMS.
Les acteurs de ransomware modernes ciblent généralement les grandes entreprises pour leur soutirer de grosses sommes. Ils passent souvent beaucoup de temps à conquérir chaque section du réseau de la victime, avant de lancer leur attaque de ransomware. Ce type d'attaque en plusieurs phases commence souvent par un seul email de phishing.
Bien qu’il existe différentes attaques de phishing, celles par email sont les plus répandues et reconnaissables. Cette méthode d’attaque est devenue de plus en plus sophistiquée avec l’arrivée du spear phishing, du whaling et des attaques guidées par laser. Les attaques de phishing se sont également étendues des programmes de messagerie aux plateformes de communication, notamment les SMS et les réseaux sociaux.
Les attaques de phishing comprennent :
Les pirates informatiques adorent exploiter notre cyberespace. Pour cela, ils créent de faux sites Web ou pages de connexion pour recueillir des données sensibles. En plus d’obtenir un accès aux numéros de carte de crédit, aux comptes bancaires et aux informations d’identification sur les réseaux sociaux, les acteurs malveillants ciblent les réseaux sociaux de vos amis ou collègues. Cela se produit lorsqu’un criminel parvient à accéder à votre compte et envoie des attaques de phishing à vos abonnés, amis ou collègues, par message direct. La popularité répandue des réseaux sociaux a renforcé l’utilisation de cette méthode au cours de la dernière décennie.
Il y a beaucoup de choses que vous pouvez faire pour vous protéger. La première et la plus importante est de rester prudent.
La deuxième chose à faire est de protéger vos comptes. Vos mots de passe doivent comporter près de 20 caractères ou plus. Vous n’avez pas besoin d’inclure les 4 options (majuscule, minuscule, chiffre, symbole) dans votre mot de passe. Deux ou trois suffisent, mais faites des changements lorsque vous créez de nouveaux mots de passe. De nombreuses personnes ont des difficultés à retenir les mots de passe. Créez-en un long dont vous vous souviendrez. Verrouillez le reste dans un gestionnaire de mots de passe tel que LastPass ou Password Safe.
Ensuite, surtout, activez l’authentification à double facteur (2FA) sur vos comptes. Si le seul choix proposé par le site est d'utiliser votre téléphone pour recevoir un texto avec un mot de passe à usage unique, c'est mieux que d'utiliser simplement un mot de passe pour y accéder.
Le National Institute of Standards and Technology (NIST) a abandonné sa prise en charge des mots de passe texto à usage unique. Une meilleure solution consiste à créer un mot de passe à usage unique à l'aide d'un outil, tel que Google Authenticator, Microsoft Authenticator ou LastPass Authenticator. Recherchez ces options dans les paramètres de vos comptes.
Utilisez des outils logiciels pour vous aider à surveiller les éléments qui vous échappent. Utilisez un pare-feu, un antivirus, un antimalware et des outils anti-phishing. Choisissez judicieusement vos navigateurs. Celui que vous utilisez vous protège-t-il en recherchant des éléments tels que les tentatives de phishing ? Est-il possible d'ajouter un plug-in ? Si la réponse est non, choisissez un autre navigateur.
En tant qu’organisation, en plus des recommandations susmentionnées pour votre personnel, vous devez :