Phishing 101 : Guide du débutant sur les attaques de phishing

Table des matières

• 1. Qu'est-ce que l'hameçonnage ?

• 2. Comment fonctionne l'hameçonnage

• 3. Types d'hameçonnage

• 4. Escroqueries par hameçonnage : un aperçu

• 5. Comment prévenir les attaques de phishing

• 6. Comment signaler un hameçonnage

Qu'est-ce que l'hameçonnage ?

Le phishing peut être décrit comme un type de cybercriminalité dans lequel les victimes sont contactées par e-mail, téléphone ou message par un individu ou un groupe de personnes se faisant passer pour une institution légitime.

L'objectif est d'inciter les victimes à fournir des données sensibles telles que des informations personnelles, des coordonnées bancaires, des détails de carte de crédit et des mots de passe. Les données sont ensuite utilisées pour identifier des cibles significatives et escroquer ces victimes.

Le phishing existe depuis des années : les premières escroqueries par phishing se sont produites dans les années 90 avec des personnes se faisant passer pour des administrateurs AOL. Ces personnes ont collecté les identifiants de connexion de leurs victimes afin qu'elles puissent accéder gratuitement à Internet.

En mai 2000, une autre escroquerie par hameçonnage appelée Love Bug a commencé aux Philippines. Vous recevrez un message dans votre boîte aux lettres intitulé "ILOVEYOU". Ensuite, le corps du courrier vous demanderait de taper sur une pièce jointe, ce qui libérerait alors un virus sur votre système. Depuis lors, le phishing a évolué en complexité et en utilisation au fil des ans.

Comment fonctionne l'hameçonnage

Nous sommes lundi matin, vous triez vos e-mails et videz votre dossier spam. Par curiosité, vous ouvrez un e-mail, et le contenu est choquant. Quelqu'un prétend être un représentant de votre banque.

Votre compte sera bientôt désactivé et vous devrez cliquer sur un lien ou fournir des informations bancaires sensibles afin de ne pas perdre votre compte bancaire. C'est ainsi que le phishing se produit : comme un message aléatoire écrit pour que vous donniez vos données.

Le phishing en général utilise la manipulation comme outil principal. Les messages souvent envoyés par SMS, e-mails ou même messages sur les réseaux sociaux sont écrits avec l'intention de provoquer la peur et un sentiment d'urgence. Les cibles sont identifiées sur des sources d'information publiques comme les réseaux sociaux.

Une fois que les noms cibles, les intitulés de poste, les détails personnels et les adresses e-mail sont identifiés, des messages crédibles sont élaborés et envoyés. Ces messages incluent souvent un lien malveillant, une pièce jointe ou un appel à répondre avec des informations sensibles.

L'hameçonnage peut avoir pour but d'installer des logiciels malveillants, de rediriger les victimes vers un site Web frauduleux, d'obtenir des mots de passe et des coordonnées bancaires et d'escroquer des cibles. Les hameçonneurs utilisent souvent différentes astuces pour escroquer leurs victimes, et ils essaient de paraître aussi légitimes que possible. Ils peuvent utiliser des logos d'entreprise, imiter des e-mails officiels et masquer des URL uniquement pour escroquer leurs victimes.

Types d'hameçonnage

Il existe différents types d'hameçonnage : j'ai compilé une liste des types d'escroqueries par hameçonnage les plus courantes et comment elles se produisent. Les types d'hameçonnage sont :

• Hameçonnage par e-mail : il s'agit du type d'hameçonnage le plus courant dans lequel les victimes reçoivent des e-mails les informant que leurs comptes personnels ont été compromis et qu'une réponse immédiate est requise. Le phishing par e-mail vise à créer un sentiment d'urgence et à faire cliquer la victime sur un lien malveillant qui mène à une fausse page de connexion. Les informations personnelles sensibles sont livrées directement aux escrocs.

• Hameçonnage HTTPS : dans le cas de l'hameçonnage HTTPS, les pirates peuvent accéder à des conversations sécurisées en utilisant des certificats SSL expirés ou supprimer le cryptage des sites Web sécurisés en rétrogradant les sites HTTPS vers HTTP. De faux sites Web similaires à des sites Web d'organisations sont alors créés, pour être liés dans des e-mails. Les hameçonneurs envoient ensuite de faux e-mails en utilisant les identifiants d'organisation aux employés, infiltrant les organisations et volant des données précieuses.

• Spear phishing : le spear phishing est utilisé pour cibler des individus, des groupes et des organisations spécifiques. Le spear phishing implique souvent des recherches sur la cible et des sources d'informations accessibles au public. Le spear phishing a pour objectif d'accéder à un compte individuel ou d'usurper l'identité d'un personnel de haut rang ainsi que d'un personnel en possession d'informations confidentielles. Un e-mail comprenant le nom, le rang et une pièce jointe de la cible est généralement envoyé pour effectuer du spear phishing.

• Whaling : le whaling est un type de harponnage qui s'adresse généralement aux cadres supérieurs. Les escrocs prétendent être des sources légitimes et encouragent les victimes à partager des informations sensibles ou à transférer de grosses sommes d'argent. La chasse à la baleine se produit souvent sous la forme d'un e-mail provenant d'une source fiable, telle qu'un contact de l'entreprise, un partenaire, un fournisseur ou un compte client. L'e-mail comprend souvent des données personnelles ou des références glanées sur Internet pour paraître dignes de confiance. L'e-mail peut inclure des liens vers un faux site Web qui collecte des informations ou installe des logiciels malveillants. Alternativement, l'e-mail peut inclure des demandes de données sensibles telles que la paie, les déclarations de revenus, les numéros de compte bancaire ou pour un transfert d'argent par virement vers un compte spécifique. La chasse à la baleine est pratiquée pour voler des données ou de l'argent à des cadres supérieurs.

• Smishing : Le smishing, également connu sous le nom de SMS phishing, est une forme de phishing dans laquelle les victimes sont amenées à cliquer sur un lien ou à fournir des informations privées par SMS. Le smishing est effectué à l'aide d'informations de base sur la cible telles que le nom, l'âge et l'emplacement. Si un lien est inclus dans le message texte, cela peut conduire à un faux site Web ou à un logiciel malveillant conçu pour compromettre le téléphone. Le logiciel malveillant peut être utilisé pour espionner les données téléphoniques des utilisateurs ou envoyer des données sensibles à un serveur contrôlé par un attaquant. Le smishing se présente sous différentes formes : des messages indiquant que vous avez des problèmes aux messages indiquant que vous avez gagné un colis.

• Vishing : Le vishing ou phishing vocal est une forme de phishing dans laquelle les victimes sont manipulées pour révéler des informations personnelles telles que des coordonnées bancaires et des numéros de carte de crédit par le biais d'appels téléphoniques et de messages vocaux. Dans la plupart des cas, les escrocs prétendent appartenir à des organisations réputées comme les banques, les services fiscaux, la police ou le gouvernement. Le vishing se fait en utilisant des menaces et un langage convaincant pour faire croire aux victimes qu'elles doivent rappeler immédiatement ou faire face au risque d'être arrêtées et de perdre des comptes bancaires.

• Hameçonnage des pêcheurs : l'hameçonnage des pêcheurs est un type d'hameçonnage dans lequel les escrocs se font passer pour du personnel d'assistance à la clientèle en utilisant des plates-formes et des comptes de médias sociaux. L'hameçonnage des pêcheurs cible généralement les clients mécontents qui se plaignent du service d'une organisation sur les réseaux sociaux. Ces clients sont amenés à révéler leurs données lorsqu'un faux personnel client leur envoie un message direct. Le message demandera des informations personnelles ou un lien vers un faux site qui installe ensuite des logiciels malveillants ou collecte des données sensibles du client sans méfiance.

•Clone phishing : le clonage phishing utilise un e-mail légitime ou déjà envoyé qui contient des liens. Le clone est similaire à l'e-mail légitime, mais les liens inclus sont des liens malveillants. L'e-mail clone est ensuite envoyé en tant que renvoi de l'expéditeur d'origine aux victimes. Lorsque les victimes cliquent sur le lien de l'e-mail de clonage, le pirate peut transférer le même e-mail aux contacts de la boîte aux lettres de la victime. C'est le type de phishing le plus difficile à identifier : le phishing clone fait de nombreuses victimes.

• Evil twin phishing : Evil twin phishing implique la mise en place d'un point d'accès Wi-Fi qui se déguise en point d'accès légitime pour accéder à des informations sensibles à l'insu de la victime. Les escrocs observent les détails d'un point d'accès Wi-Fi légitime et créent un point d'accès identique portant le même nom. Les victimes se connectent au point d'accès Wi-Fi et le Wi-Fi jumeau diabolique devient leur point d'accès sans fil. Les pirates peuvent alors intercepter des données sensibles telles que les informations de connexion, les coordonnées bancaires ou les informations de carte de crédit.

• Hameçonnage des médias sociaux : l'hameçonnage des médias sociaux est une forme d'hameçonnage qui utilise l'utilisation de plateformes de médias sociaux telles que Facebook, LinkedIn, Twitter, Instagram, etc., pour tromper les victimes afin qu'elles révèlent des données sensibles. À certaines occasions, ces escroqueries par hameçonnage se produisent lorsque les victimes reçoivent des messages leur demandant de payer pour des abonnés. À d'autres occasions, les messages pourraient inclure des liens malveillants vers une fausse page de connexion aux médias sociaux. Lors de la connexion, les informations d'identification de la victime sont enregistrées pour l'usurpation d'identité et l'accès aux informations financières et personnelles.

• Pharming : souvent décrit comme une combinaison des mots hameçonnage et élevage, le pharming est une méthode d'escroquerie dans laquelle un code malveillant est installé sur un ordinateur ou un serveur dans le but de rediriger les utilisateurs vers des sites Web frauduleux. Le pharming peut se faire en envoyant des codes dans un e-mail. Ces codes modifient les sites hôtes locaux qui convertissent les URL en adresse IP que l'ordinateur utilise pour accéder aux sites Web. Même si les utilisateurs saisissent la bonne adresse Web, ils sont dirigés vers un faux site Web où leurs informations sensibles sont transmises aux escrocs.

Escroqueries par hameçonnage : un aperçu

Les escroqueries par phishing sont très populaires : selon le rapport Verizon Data Breach 2021, le phishing est impliqué dans 36 % des violations. En outre, ce rapport a révélé que 95 % des pertes de compromis de messagerie professionnelle se situaient entre 250 $ et 984 855 $, la perte médiane étant fixée à 30 000 $ pour les compromissions de messagerie professionnelle. Cela montre que de nombreuses personnes et organisations ont perdu un pourcentage important de leurs fonds à cause d'escroqueries par hameçonnage.

En 2019, l'analyse d'Avanan de 55,5 e-mails a révélé qu'un e-mail sur quatre-vingt-dix-neuf est un e-mail de phishing. Il est en outre inquiétant que plus de 70 % de ces e-mails soient ouverts par leurs cibles ; entre octobre 2013 et mai 2018, les e-mails commerciaux compromis ont coûté aux entreprises 12,5 milliards de dollars.

Le phishing, en général, a de nombreux effets négatifs , notamment sur les entreprises. Ces effets comprennent la perte de fonds, la perte de données sensibles, la perte de propriété intellectuelle, l'atteinte à la réputation de la marque, la perte de productivité, l'interruption des activités de travail et l'installation de logiciels malveillants. En dehors de tous ces effets, les clients peuvent perdre confiance dans l'entreprise et les produits que l'organisation essaie de vendre.

Les effets d'une attaque de phishing peuvent dépendre du motif de l'escroc : usurpation d'identité, fraude ou même amusement. Si les hameçonneurs réussissent à installer des logiciels malveillants, il est probable qu'ils extorquent l'organisation ou l'individu. Si les coordonnées bancaires ou les informations de carte de crédit sont révélées, les individus peuvent perdre leurs économies. L'hameçonnage n'entraîne pas seulement une perte monétaire : il peut créer un sentiment d'insécurité lors de l'utilisation d'ordinateurs, d'appareils mobiles et de médias sociaux.

Comment prévenir les attaques de phishing

La prévention des attaques de phishing implique un mécanisme à double sens : identifier les attaques de phishing et prendre des mesures actives pour les empêcher. Savoir identifier les attaques de phishing est la première étape pour les prévenir. Le point clé est d'être prudent : faites attention aux principaux signes de phishing .

Des signes tels que les expéditeurs d'e-mails pour la première fois, les demandes urgentes d'informations personnelles, les salutations génériques, les fautes d'orthographe dans les messages, les pièces jointes non sollicitées, les liens étranges dans les messages et les noms de domaine étranges sont des marqueurs clairs que quelque chose ne va pas.

Vous devez ignorer tous les e-mails, appels téléphoniques ou messages demandant vos informations personnelles telles que les détails de votre compte bancaire, les détails de votre carte et les données de l'entreprise si vous manipulez des données sensibles sur votre lieu de travail.

La prévention du phishing implique de prendre des mesures actives pour empêcher que vos données ne tombent entre les mains d'escrocs. La première chose à faire est d'éviter de cliquer sur les liens suspects envoyés dans vos e-mails et messages. Ensuite, vous devez installer des navigateurs anti-phishing sur vos navigateurs Web. De plus, installez un logiciel antivirus sur votre ordinateur.

Tous vos navigateurs et logiciels doivent être tenus à jour pour éviter les violations de données qui exposent vos données aux hameçonneurs. Utilisez des pare-feu protecteurs sur votre ordinateur : un pare-feu de bureau et un pare-feu réseau pour protéger votre système contre les pirates. N'oubliez pas non plus de ne pas utiliser de sites non sécurisés : en règle générale, respectez les sites HTTPS et non HTTP.

En fin de compte, même après avoir utilisé ces tactiques, personne n'est complètement à l'abri des hameçonneurs. Cependant, vous pouvez réduire votre risque de devenir une victime.

Comment signaler un hameçonnage

À certaines occasions, après toutes vos tentatives pour vous protéger contre le hameçonnage, les hameçonneurs peuvent encore casser vos défenses. Vous ne devriez pas vous en vouloir; la solution réside dans le signalement du phishing. Signaler un hameçonnage peut aider les forces de l'ordre à attraper les cybercriminels, fournir un filet de sécurité pour vos pertes et empêcher d'autres personnes d'être victimes d'hameçonnage.

Aux États-Unis, le site Web de la Federal Trade Commission a expliqué comment signaler un e-mail de phishing. Vous devez transmettre l'e-mail de phishing à [email protected] et signaler le crime à la Federal Trade Commission dans la section des plaintes. Vous devez également contacter l'organisation ou la personne dont l'identité a été usurpée et informer les clients et le personnel de votre organisation.

L'organisation US-CERT s'associe au groupe de travail anti-hameçonnage (APWG) pour collecter les e-mails d'hameçonnage et les emplacements des sites Web. Vous pouvez signaler un hameçonnage à APWG en envoyant un e-mail à [email protected] .

Au Royaume-Uni, le National Cyber Security Center (NCSC) a le droit d'enquêter et de supprimer les e-mails et les sites Web frauduleux. Tout ce que vous avez à faire est d'envoyer un e-mail ou des captures d'écran à [email protected] . Si vous recevez un SMS de phishing au Royaume-Uni, transférez le message au 7726.

Pour les organisations telles que Google et Microsoft , vous pouvez signaler les messages et e-mails de phishing sur leurs sites Web et applications. Il vous suffit de cliquer sur le message, puis sur les boutons Plus et Signaler. Lorsque vous signalez ces hameçonneurs, leurs e-mails sont bloqués et les autres personnes sont à l'abri des attaques de phishing.

Néanmoins, il vaut mieux prévenir le phishing que de devoir signaler un cas de phishing. Par conséquent, vous devez rester vigilant et envoyer cet e-mail suspect au spam. À l'heure actuelle!