Le phishing fait partie des techniques d’hacking les plus anciennes pour soutirer de l’argent aux internautes. Dès les années 1990, les escrocs utilisaient cette méthode pour obtenir des renseignements sensibles sur les utilisateurs. Ils se servent par ailleurs de nombreuses astuces afin de tromper la vigilance de leur victime. Il existe néanmoins différentes méthodes pour vous prémunir de ce type de fraude.
Qu’est-ce que le phishing ?
Il est parfois compliqué de se protéger des attaques de phishing face à des pirates particulièrement ingénieux. Cependant, cette pratique mise surtout sur le manque de vigilance des utilisateurs. Les cybercriminels profitent donc de la situation pour leur voler des informations personnelles, puis de l’argent. Cette forme d’escroquerie est également appelée hameçonnage ou filoutage.
Les attaques classiques de phishing se présentent sous forme d’e-mails malveillants. Le message vous incitera à ouvrir une pièce jointe ou à cliquer sur un lien intégré. Vous serez ensuite invité à remplir un formulaire ou infecté par un malware. En tout cas, les pirates tenteront de récupérer vos coordonnées bancaires ou vos identifiants sur des plateformes de paiement.
L’attaquant usurpe généralement l’identité d’une banque, d’une grande marque ou d’un organisme d’État pour gagner votre confiance. Vous serez donc plus enclin à coopérer et à fournir les renseignements souhaités. Certains hackers réussissent même à créer une imitation si crédible que vous répondez au mail sans hésiter.
En raison de sa simplicité, le phishing est particulièrement courant sur le Web. Ce type d’attaque est même à la portée d’un novice dans l’univers de la cybercriminalité. Néanmoins, vous pourrez reconnaître assez facilement les actions menées par ces pirates débutants.
Comment se passe l’hameçonnage ?
Avant l’attaque, le pirate informatique constitue une liste de contacts mails. L’opération est notamment facilitée par les réseaux sociaux et l’énorme quantité d’informations personnelles laissées par les internautes sur le Web. De nombreuses applications permettent par ailleurs d’effectuer cette collecte automatiquement.
Pour une attaque ciblée, le criminel peut aussi acquérir des données personnelles sur le darkweb. Cette partie du cyberespace est en effet remplie d’informations sensibles issues d’incidents antérieurs (piratage massif, fuite de données, etc.). S’il recherche plus de précision, le hacker mènera une attaque préliminaire pour collecter les renseignements souhaités. Il disposera ainsi d’une base de données à jour. Les enjeux de la cybersécurité sont plus importants que jamais.
L’attaquant s’efforcera ensuite d’imiter de manière crédible l’acteur choisi pour ne pas éveiller les soupçons. Il peut s’agir d’un site e-commerce, d’un service financier, d’une institution, d’un FAI, d’un fournisseur d’énergie, etc. L’usurpation repose entre autres sur l’identité visuelle de l’organisation (logo, typo, slogan, etc.).
Le contenu de l’e-mail varie sensiblement en fonction des pirates informatiques et des destinataires. Néanmoins, l’expéditeur vise généralement à créer un sentiment d’urgence ou à appâter la victime avec des lots attrayants. Il peut, par exemple, vous faire gagner une voiture neuve juste en cliquant sur le lien. En revanche, les versions plus formelles impliquent souvent des impayés ou des avantages financiers.
Quelles sont les différentes attaques ?
Pour vous protéger des attaques de phishing, vous avez besoin de connaître les différentes formes de cette pratique. L’hameçonnage par e-mail est notamment la plus connue du public et la principale cible des acteurs de la cybersécurité en France. Malheureusement, elle reste efficace des décennies après son apparition. En effet, le contenu est convaincant, si le pirate a réussi voler des données sensibles en amont.
Dans l’ensemble, les différents types d’hameçonnage s’alignent sur la thématique de la pêche ou la sonorité de « phishing ». Ils se distinguent seulement par les cibles privilégiées ou les supports utilisés. Ainsi, les hackers peuvent également recourir au :
- Spear phishing ou hameçonnage ciblé, du mot « spear » (harpon) ;
- Whaling, de l’anglais « whale » (baleine) ;
- Smishing, dérivé de SMS ;
- Vishing, contraction de « voice » (voix) et de « phishing » ;
- Spamdexing, issu de « spam » et « indexing ».
L’hameçonnage ciblé se focalise sur une audience spécifique, par exemple des ingénieurs R&D, chimistes, représentants pharmaceutiques, etc. Suivant la même logique, le whaling vise les « gros poissons », soit les PDG, DAF, DRH, etc. Avec le smishing et le vishing, les attaquants utilisent respectivement le SMS et le téléphone pour obtenir des informations confidentielles.
Enfin, le spamdexing est souvent défini comme une menace informatique à part entière. La pratique peut néanmoins être rapprochée du phishing, car l’internaute est poussé à ouvrir un lien trompeur. Le cybercriminel se sert cette fois-ci des résultats des moteurs de recherche pour attirer ses victimes.
Comment identifier une attaque de phishing ?
Le phishing est une menace problématique pour la sécurité informatique en entreprises. De ce fait, les experts IT partagent en permanence leurs observations par rapport à ce type d’attaque. La langue est généralement l’indice le plus flagrant de l’hameçonnage par mail. En effet, les pirates lancent souvent des actions dans plusieurs langues. Ainsi, vous remarquerez facilement le français issu d’un logiciel.
Les attaques sophistiquées utilisent toutefois des applications de traduction plus performantes. Dans ce cas, vous risquez de ne pas suspecter un mail infecté. Vous pourrez néanmoins les reconnaître en analysant la source du message. Vous réussirez à identifier un piège en recherchant l’adresse de l’expéditeur sur Google.
Si le mail contient un lien, vérifiez également son authenticité sans cliquer dessus. Des fautes dans les URL devraient également vous inquiéter. Recherchez la page cible manuellement dans un autre onglet du navigateur pour confirmer. S’il s’agit de liens courts, utilisez les applications dédiées pour montrer le lien originel, puis passez à la vérification.
Enfin, les grandes entreprises ne demandent jamais de renseignements sensibles par mail, SMS ou téléphone. Méfiez-vous de toute personne exigeant ce type d’informations sur ces canaux. Vous pouvez par ailleurs vérifier sur Internet les références fournies par votre interlocuteur.
Comment se protéger des attaques de phishing ?
Une bonne hygiène numérique est indispensable pour se protéger des attaques de phishing. À travers cette démarche, vous réduisez les points d’entrée potentiels des cybercriminels. Vous éviterez en effet de :
- Répondre aux mails demandant des données personnelles ou bancaires ;
- Cliquer sur une URL intégrée à un courrier électronique de source inconnue ;
- Renseigner des informations sensibles dans des pop-up ;
- Communiquer vos coordonnées bancaires à un site non-HTTPS ;
- Rester sur une landing page avec une URL différente du lien cliqué.
Vous pouvez aussi vous prémunir de cette menace avec des outils du quotidien comme votre antivirus et votre navigateur. Toutefois, vous devez mettre à jour régulièrement vos logiciels pour profiter d’une protection optimale. L’option est intégrée aux différentes fonctionnalités de l’antivirus. En revanche, vous avez besoin d’activer la « protection contre les menaces en ligne » sur un navigateur.
Elle devrait être active par défaut. Cependant, il vaut mieux vérifier avant de vous connecter. La fonction antiphishing se trouve notamment dans les paramètres, dans la rubrique Navigation sécurisée (Chrome), Vie privée et sécurité (Firefox) ou Confidentialité et sécurité (Edge).
Protection contre le phishing au sein des entreprises
Une erreur humaine peut compromettre une bonne stratégie SSI impliquant de sécuriser les données d’une entreprise en infogérance. De ce fait, vous devez former et responsabiliser vos collaborateurs pour protéger votre système informatique. Cette sensibilisation est par ailleurs favorable à la cybersécurité en général.
Selon les spécialistes en sécurité IT, 80 % des cyberattaques sont réalisées par des hackers exploitant une faille apparue au niveau des utilisateurs. Ces derniers ont pourtant ouvert cette brèche par inadvertance. Vous devez donc concentrer vos efforts sur la prévention pour éviter ce type d’incidents de sécurité. Cette démarche requiert notamment une communication efficace et une implication de toute l’équipe.
Pour compléter la formation, il serait également intéressant de mettre en place des simulations et des contrôles aléatoires. Vous pouvez, par exemple, créer et envoyer de faux mails d’hameçonnage à certains salariés. Ensuite, leurs réactions serviront d’exemple aux autres membres du personnel et d’indicateur concernant l’efficacité du programme de sensibilisation.