Dans une attaque de phishing, les pirates essaient de vous pousser à partager des informations sensibles. Leur objectif est de voler des identifiants de connexion, des numéros de carte de crédit et des informations professionnelles sensibles. Ils peuvent également essayer d'infecter votre ou vos ordinateurs avec un malware.
Table des matières
Qu’est-ce que le phishing ?
Le phishing désigne l’acte de tentative de vol via des appareils connectés. L'action peut être manuelle ou exécutée par un outil qui automatise le processus. Il peut également s'agir d'une combinaison qui commence par un outil scripté ouvrant la porte au pirate qui termine l'attaque manuellement.
La première utilisation du terme « phishing » remonte à 1994, lorsque des adolescents rebelles se sont employés à voler manuellement les numéros de carte de crédit d'utilisateurs peu méfiants sur AOL. En 1995, ils ont créé un programme appelé AOHell pour automatiser leur travail.
Depuis lors, les pirates continuent d’inventer de nouvelles façons de récolter des détails auprès de toute personne connectée à Internet. Ils ont créé un certain nombre de programmes et de logiciels malveillants, encore utilisés aujourd'hui. Certains de ces outils ont été créés dans le seul but de tester la pénétration, ou « piratage avec autorisation ». Mais lorsqu’un outil est publié, les auteurs de menaces peuvent découvrir comment l’utiliser à des fins malveillantes.
Dans les années qui ont suivi, les pirates sont parvenus à créer des logiciels malveillants spécifiquement conçus pour les applications de phishing. L'un de ces outils, PhishX, est conçu pour voler des informations bancaires. À l'aide de PhishX, les assaillants créent un faux site web de banque qui semble être une vraie banque où vous pourriez avoir un compte. Ils personnalisent la page avec leur numéro de téléphone et leur adresse électronique. En cliquant sur « Contactez-nous », vous entrez en contact direct avec les pirates.
Phishing Frenzy est un exemple d’outil de phishing par email créé à l'origine pour des tests de pénétration. Phishing Frenzy était intuitif et beaucoup de pirates l’ont utilisé en raison de sa simplicité d’utilisation.
Swetabhsuman8 en est un autre. Il sert à pirater les comptes Instagram en permettant aux assaillants de créer de fausses pages de connexion. Lorsque vous essayez de vous connecter, le pirate recueille votre identifiant et votre mot de passe.
En plus des faux sites Web, des outils de phishing par email et des pages de connexion malveillantes visant à voler vos informations, les pirates créent des centres d'appels associés à un numéro de téléphone que vous recevez par email, sur un faux site web ou par SMS.
Les acteurs de ransomware modernes ciblent généralement les grandes entreprises pour leur soutirer de grosses sommes. Ils passent souvent beaucoup de temps à conquérir chaque section du réseau de la victime, avant de lancer leur attaque de ransomware. Ce type d'attaque en plusieurs phases commence souvent par un seul email de phishing.
Exemples d’attaques de phishing
Bien qu’il existe différentes attaques de phishing, celles par email sont les plus répandues et reconnaissables. Cette méthode d’attaque est devenue de plus en plus sophistiquée avec l’arrivée du spear phishing, du whaling et des attaques guidées par laser. Les attaques de phishing se sont également étendues des programmes de messagerie aux plateformes de communication, notamment les SMS et les réseaux sociaux.
Les attaques de phishing comprennent :
- Le phishing par email - Un pirate envoie un email contenant un lien, avec l’intention de vous inquiéter ou de vous intriguer. Le but de l’email est de vous pousser à cliquer sur le lien.
- Vishing - Un acteur malveillant appelle une ligne fixe, mobile ou VoIP pour engager une conversation avec l’utilisateur.
- Smishing - Un criminel envoie un SMS vous demandant de cliquer sur un lien ou de téléphoner à l’expéditeur.
- Pharming - Les acteurs malveillants ont créé le pharming pour contrer le fait que de plus en plus d’utilisateurs sont conscients des dangers liés au fait de cliquer sur un lien dans un email non sollicité. Une attaque de pharming comprend une URL malveillante, dans l’espoir que vous allez copier-coller l’adresse Web dans votre navigateur et accéder directement au site web. Le pharming compromet le cache local des informations du système de nom de domaine (DNS) qui permet à la victime d'atteindre la bonne destination. Lorsque vous suivez le lien malveillant, vous accédez à un faux site web.
- Spear phishing - Un pirate envoie un email personnalisé et ciblé à une organisation ou à une personne. Les emails de spear phishing ciblent généralement les cadres ou les collaborateurs des services financiers.
- Whaling - Le whaling est semblable au spear phishing, mais il cible souvent la haute direction d’une organisation.
Attaques de phishing en ligne
Les pirates informatiques adorent exploiter notre cyberespace. Pour cela, ils créent de faux sites Web ou pages de connexion pour recueillir des données sensibles. En plus d’obtenir un accès aux numéros de carte de crédit, aux comptes bancaires et aux informations d’identification sur les réseaux sociaux, les acteurs malveillants ciblent les réseaux sociaux de vos amis ou collègues. Cela se produit lorsqu’un criminel parvient à accéder à votre compte et envoie des attaques de phishing à vos abonnés, amis ou collègues, par message direct. La popularité répandue des réseaux sociaux a renforcé l’utilisation de cette méthode au cours de la dernière décennie.
Comment éviter les attaques de phishing
Il y a beaucoup de choses que vous pouvez faire pour vous protéger. La première et la plus importante est de rester prudent.
- Inspectez les emails soigneusement avant de cliquer. Passez la souris sur l'adresse électronique d'origine ou sur le lien sur lequel vous devez cliquer. Cela peut révéler des informations indiquant qu’il s’agit d’un email de phishing.
- Avant de saisir des données sensibles sur un site web, regardez à deux fois l’URL en haut de la page. S'agit-il du vrai site web ? Y a-t-il des lettres supplémentaires dans l'adresse ? Y a-t-il des lettres remplacées par des chiffres, comme un O pour un 0 ? Il peut être difficile de faire la différence.
- Réfléchissez avant de cliquer sur les publications de vos amis. Si une offre semble trop belle pour être vraie, elle l'est probablement !
- Réfléchissez avant de répondre à une publication affirmant que votre ami est en difficulté et a besoin d’argent. Est-ce vraiment comme cela qu’il vous contacterait ?
- Réfléchissez avant de cliquer sur une fenêtre contextuelle (pop-up) ou une fenêtre affichée à l’arrière-plan (pop-under).
- Réfléchissez avant d’ouvrir la pièce jointe d’un email. Attendez-vous une pièce jointe de cette personne ? Si la réponse est non, posez-lui la question.
- Réfléchissez avant de répondre à des textos (SMS). Il est peu probable que votre opérateur de téléphonie, votre banque, etc. vous contactent par textos.
- Ne donnez pas vos données personnelles à moins d'être sûr de parler à une personne de confiance.
La deuxième chose à faire est de protéger vos comptes. Vos mots de passe doivent comporter près de 20 caractères ou plus. Vous n’avez pas besoin d’inclure les 4 options (majuscule, minuscule, chiffre, symbole) dans votre mot de passe. Deux ou trois suffisent, mais faites des changements lorsque vous créez de nouveaux mots de passe. De nombreuses personnes ont des difficultés à retenir les mots de passe. Créez-en un long dont vous vous souviendrez. Verrouillez le reste dans un gestionnaire de mots de passe tel que LastPass ou Password Safe.
Ensuite, surtout, activez l’authentification à double facteur (2FA) sur vos comptes. Si le seul choix proposé par le site est d'utiliser votre téléphone pour recevoir un texto avec un mot de passe à usage unique, c'est mieux que d'utiliser simplement un mot de passe pour y accéder.
Le National Institute of Standards and Technology (NIST) a abandonné sa prise en charge des mots de passe texto à usage unique. Une meilleure solution consiste à créer un mot de passe à usage unique à l'aide d'un outil, tel que Google Authenticator, Microsoft Authenticator ou LastPass Authenticator. Recherchez ces options dans les paramètres de vos comptes.
Utilisez des outils logiciels pour vous aider à surveiller les éléments qui vous échappent. Utilisez un pare-feu, un antivirus, un antimalware et des outils anti-phishing. Choisissez judicieusement vos navigateurs. Celui que vous utilisez vous protège-t-il en recherchant des éléments tels que les tentatives de phishing ? Est-il possible d'ajouter un plug-in ? Si la réponse est non, choisissez un autre navigateur.
En tant qu’organisation, en plus des recommandations susmentionnées pour votre personnel, vous devez :
- Utiliser une passerelle d’emails pour bloquer les spams et supprimer les emails contenant des liens ou pièces jointes suspects.
- Installer un filtre de phishing pour supprimer les emails d’expéditeurs inconnus et les emails dont le contenu est suspect.
- Utiliser un outil d'authentification d’email DMARC (domain-based message authentication, reporting, and conformance) pour empêcher les criminels de falsifier l’adresse d’expédition dans un email.
- Utiliser des méthodes de filtrage faisant appel à l’intelligence artificielle (IA) pour détecter les usurpations d’identité par email. Les emails d’usurpation d’identité sont envoyés par des criminels qui se présentent comme des membres de la direction d’une organisation. Ils demandent généralement aux collaborateurs de transférer des fonds depuis un compte de l’entreprise vers le faux compte du pirate.
- Utilisez une solution de sécurité à service intégré pour vous protéger contre les attaques de phishing provenant de l’intérieur de votre organisation.
- Aidez vos collaborateurs à prendre conscience des dangers des attaques de phishing en les incluant dans des simulations et formations régulières sur le phishing.
Foire aux questions (FAQ)
Que sont les attaques de phishing ?
Les attaques de phishing trompent les utilisateurs via faux courriels ou sites web afin d’obtenir identifiants, informations sensibles ou accès non autorisés.
Les attaques de phishing affectent-elles les petites entreprises différemment des grandes entreprises ?
Les attaques de phishing entraînent souvent des pertes financières, des temps d’arrêt et des dommages à la réputation plus importants pour les petites entreprises, car elles ne disposent pas des mêmes ressources de cybersécurité.
Quelle est la différence entre le phishing et le pharming ?
Le phishing incite les victimes à partager des informations sensibles. Pharming redirige secrètement un utilisateur d'un site Web authentique vers un site frauduleux.
Les attaques de phishing peuvent-elles contourner l’authentification à deux facteurs (2FA) ?
Oui. Il est possible qu’un kit de phishing capture un code à usage unique ou utilise un proxy inverse pour pirater une session de connexion, contournant essentiellement la 2FA.
Quel est un exemple d’e-mail de phishing en situation réelle ?
Un faux e-mail d’Amazon qui indique que votre compte a été suspendu et vous demande de cliquer sur un lien pour vérifier que votre compte serait un exemple de phishing.
Comment les cybercriminels utilisent-ils l’IA ou les deepfakes dans le phishing ?
Les acteurs malveillants utilisent l’IA pour écrire des messages ciblés et crédibles, ou créer de fausses voix ou vidéos qui ressemblent à quelqu’un que le destinataire connaît.
Quels secteurs sont les plus ciblés par les attaques de phishing ?
Les secteurs les plus ciblés par les attaques de phishing comprennent les services financiers, les soins de santé et la vente au détail, car ils stockent une grande quantité de données client et d’informations de paiement.
Comment les utilisateurs d’appareils mobiles peuvent-ils se protéger contre le phishing ?
Les utilisateurs d'appareils mobiles doivent vérifier les expéditeurs de messages, utiliser des applications de sécurité mobiles, maintenir leurs appareils et navigateurs à jour et éviter de cliquer sur des liens suspects.
Combien de temps faut-il aux organisations pour détecter une attaque de phishing ?
La détection d’une attaque de phishing peut prendre des semaines ou des mois, car le phishing ne devient souvent évident qu’après une utilisation abusive des identifiants ou une activité suspecte.
Quelles sont les conséquences juridiques pour les attaquants de phishing ?
Les conséquences juridiques pour les attaquants de phishing comprennent des amendes, des peines d’emprisonnement, la saisie d’actifs et même l’extradition.
Quel rôle la sécurité DNS joue-t-elle dans la prévention du phishing ?
La sécurité DNS empêche un utilisateur d'accéder à des domaines malveillants connus ou à de faux sites et prend en charge des protocoles d'authentification tels que DMARC, SPF et DKIM pour vérifier les expéditeurs.