Les types d’attaques de phishing vont des tentatives de phishing par email classiques aux approches plus inventives, comme le spear phishing et le smishing. Tous ont le même objectif : voler vos données personnelles.
Les attaques de phishing sont des attaques d’ingénierie sociale. Elles peuvent viser un large éventail de cibles en fonction de l’assaillant. Il peut s'agir d’emails d’escroquerie génériques, visant toute personne possédant un compte PayPal.
Le phishing peut également être une attaque ciblée sur une personne en particulier. L'assaillant crée souvent un email dans lequel il s'adresse directement à vous, et ajoute des informations dont seule une connaissance pourrait disposer. Un assaillant recueille généralement ces informations après être parvenu à accéder à vos données personnelles. Face à un email de ce type, il est très difficile de ne pas se faire piéger, même pour les destinataires les plus prudents. Selon PhishMe Research, les ransomware représentent plus de 97 % de tous les emails de phishing.
Pêcher avec une canne peut vous donner plusieurs résultats : une limande, un mangeur de fond ou un déchet. Pêcher avec un harpon (spear) vous permet de cibler un poisson en particulier. d’où le nom (« spear phishing » signifie « hameçonnage ciblé »).
Le spear phishing cible un groupe ou un type spécifique de personnes, par exemple l’administrateur système d’une entreprise. L’email ci-dessous est un exemple d’email de spear phishing. Notez l’attention portée au secteur dans lequel travaille le destinataire, le lien de téléchargement sur lequel l’assaillant demande à la victime de cliquer, et la réponse immédiate exigée.
Le whaling est un type de phishing encore plus ciblé qui s'attaque aux baleines, des animaux marins bien plus gros qu’un poisson. Ces attaques ciblent généralement les PDG, directeurs financiers ou autres directeurs de l’industrie ou d’une entreprise en particulier. Un email de whaling peut stipuler que l’entreprise du destinataire est poursuivie en justice et qu’il doit cliquer sur le lien afin d’obtenir plus d’informations.
Le lien vous conduit à une page où il vous est demandé de saisir des données essentielles sur l'entreprise, telles que le numéro d'identification fiscale et le numéro de compte bancaire.
Le smishing est une attaque qui utilise la messagerie texte ou SMS pour mener l’attaque. Une technique de smishing courante consiste à envoyer un message à un téléphone portable via un SMS contenant un lien cliquable ou un numéro de téléphone à rappeler.
Un exemple fréquent d’attaque de smishing est un SMS qui semble provenir de votre banque. Il vous indique que votre compte a été compromis et que vous devez réagir immédiatement. L’assaillant vous demande de vérifier votre numéro de compte bancaire, votre numéro de sécurité sociale, etc. Une fois que l’attaquant reçoit les informations, il peut contrôler votre compte bancaire.
Le but du vishing est le même que les autres types d'attaques de phishing. Les assaillants cherchent toujours à obtenir vos informations personnelles ou des informations d'entreprise sensibles. Cette attaque a lieu via un appel vocal. D’où le « v » à la place du « ph » dans son nom.
Une attaque de vishing fréquente consiste à recevoir un appel d’une personne qui prétend être un représentant de Microsoft. Cette personne vous indique qu’elle a détecté un virus sur votre ordinateur. On vous demande ensuite de fournir les informations de votre carte de crédit, pour permettre à l’assaillant d’installer une version mise à jour d’un antivirus sur votre ordinateur. L’assaillant dispose maintenant des informations relatives à votre carte de crédit et vous avez probablement installé un malware sur votre ordinateur.
Ce malware peut contenir n'importe quoi, depuis un cheval de Troie bancaire jusqu'à un bot (abréviation de robot). Le cheval de Troie bancaire surveille votre activité en ligne pour vous dérober davantage de détails, souvent vos informations bancaires, y compris votre mot de passe.
Un bot est un logiciel conçu pour effectuer les tâches voulues par le hacker. Il est contrôlé par « command and control » (C&C) pour exploiter des bitcoins, envoyer des spams ou lancer une attaque dans le cadre d’une attaque par déni de service distribué (DDoS).
Le phishing par email est le type de phishing le plus courant, et il est utilisé depuis les années 1990. Les pirates envoient ces emails à toutes les adresses électroniques qu'ils peuvent obtenir. L'email vous indique généralement que votre compte a été corrompu et que vous devez réagir immédiatement en cliquant sur un lien fourni. Ces attaques sont généralement faciles à détecter, car le corps de l’email contient souvent des fautes d’orthographe et/ou de grammaire.
Certains emails sont difficiles à identifier en tant qu’attaques de phishing, en particulier lorsque l’orthographe et la grammaire sont soignées. La vérification de la source de l'email et du lien vers lequel vous êtes dirigé peut vous donner des indices sur la nature légitime, ou non, de la source.
Une autre escroquerie par phishing, appelée sextorsion, se produit lorsqu'un pirate vous envoie un email qui semble provenir de vous. Le pirate prétend avoir accès à votre compte de messagerie et à votre ordinateur. Il déclare être en possession de votre mot de passe et d’un enregistrement vidéo de vous.
Il prétend que vous avez regardé des vidéos pour adultes depuis votre ordinateur alors que la caméra était allumée et enregistrait. Il vous demande de le payer, généralement en bitcoins, ou il diffusera la vidéo à votre famille ou à vos collègues.
Le phishing par moteur de recherche, également connu sous le nom de spamdexing ou cheval de Troie pour le référencement naturel, consiste, pour un pirate informatique, à faire en sorte de devenir le meilleur résultat d’une recherche sur un moteur de recherche. Cliquer sur le lien affiché dans le moteur de recherche vous redirige vers le site web du pirate informatique. Ensuite, les acteurs malveillants peuvent voler vos informations lorsque vous interagissez avec le site et/ou saisissez d'autres données sensibles. Les sites pirates peuvent se faire passer pour n’importe quel type de site web, mais les principaux candidats sont les banques, le transfert d’argent, les réseaux sociaux et les sites d’achat.