Hameçonnage ou phishing

Fiabilité

Qu’est-ce que le phishing ?

Le phishing est l’exploitation d’une faille de sécurité dans lequel un auteur se fait passer pour une entreprise légitime ou une personne de confiance afin d’obtenir des informations privées et sensibles telles que des numéros de carte de crédit, des numéros d’identification personnelle (PIN) et des mots de passe.

L’hameçonnage repose sur la tromperie technique, ainsi que sur des tactiques de tromperie sociale conçues pour manipuler la victime. Ceci afin qu’elle prenne des mesures spécifiques au nom du cybercriminel, comme cliquer sur un lien malveillant, télécharger et/ou ouvrir une pièce jointe malveillante, ou encore divulguer des informations qui pourront être utilisé lors d’une future attaque.

Selon un projet conjoint mené par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), 90 % des cyberattaques commencent par un hameçonnage. L’une des principales raisons du taux élevé des attaques par hameçonnage est la polyvalence des moyens d’attaques et le retour sur investissement élevé pour les cybercriminels.

Pour réduire les risques associés au phishing, les individus et les organisations doivent donner la priorité à la sensibilisation au phishing. Mettre en place un filtrage robuste des courriels, envisager d’utiliser des services anti-phishing en nuage et suivre les meilleures pratiques pour un comportement en ligne sûr.

Comment fonctionne le phishing : Indicateurs d’attaque par hameçonnage

Lors d’une tentative d’hameçonnage réussie, l’un des principal objectif de l’escroc est de gagner la confiance de la victime. Pour ce faire, les escrocs utilisent des tactiques techniques et psychologiques pour faire en sorte que la communication avec les victimes potentielles paraisse crédible et légitime.

Pour se prémunir contre les escroqueries par hameçonnage, il est important de connaître les indicateurs d’une attaque par hameçonnage via les emails, les messages vocaux et les textos. Il est important de se méfier des messages qui demandent des données personnelles telles que les identifiants de connexion, les numéros de carte de crédit ou les numéros de sécurité sociale. L’un des principaux signes révélateurs est que la communication n’est pas sollicitée et qu’elle demande des informations sensibles ou demande à la victime de vérifier des informations sensibles. Les organisations légales ne font généralement pas ce genre de demande par courrier électronique, par SMS ou par message vocal.

Si les coordonnées de l’expéditeur ne correspondent pas exactement à ce que l’on attendrait d’une source légitime, c’est un autre signe que la communication, alors non sollicitée, pourrait être une tentative d’hameçonnage. Les hameçonneurs utilisent souvent des adresses électroniques trompeuses qui sont tres proche d’une entité légitime, ainsi que des numéros de téléphone qui ne correspondent pas à l’indicatif régional de l’entité légale.

Toutefois, certains hameçonneurs utilisent des comptes de messagerie ou des numéros de téléphone semblant légitime afin de mener leurs attaques. Il est alors plus difficile de repérer la tromperie.

C’est pourquoi d’autres facteurs, tels que le contenu du message, l’apparence et le contexte général de la demande, doivent également être pris en compte lors de l’évaluation de l’authenticité d’une communication. Toute communication non sollicitée demandant la vérification d’informations sensibles doit être considérée comme une possible tentative d’hameçonnage.

Types et exemples de tentatives d’hameçonnage

L’utilisation du phishing peut être adapté pour répondre aux besoins de différents types de cibles et objectifs d’attaque. C’est cette polyvalence qui permet aux cybercriminels de choisir le moyen de communication qui convient à leur public cible et leurs objectifs. Ils vont alors établir leur stratégie afin de lancer soit un large filet destiné à augmenter les chances de trouver une cible vulnérable, soit un filet étroit destiné à attraper une victime spécifique.

Les types d’hameçonnage les plus répandus sont les suivants

9 different types of phishing attack

Hameçonnage par email

Il s’agit du type d’attaque de phishing le plus courant. Le Cybercriminel envoie un email qui semble provenir d’une source légale, telle qu’une banque, une société de carte de crédit ou une agence gouvernementale. Le courriel contient souvent un lien qui, lorsqu’il est cliqué, amène la victime sur un faux site web similaire au vrai. Une fois que la victime a saisi ses identifiants de connexion ou d’autres informations sensibles sur le faux site web, les escrocs peuvent les voler.

Les chatbots qui utilisent l’IA générative ont rendu plus facile que jamais pour les hameçonneurs le moyen de créer des communications par email électronique qui semblent provenir d’une source légale.

Voici quelques exemples d’escroqueries par hameçonnage :

  • L’arnaque à la facture : L’escroc envoie un email qui semble provenir d’une entreprise légale, telle qu’une société de services publics ou de cartes de crédit. L’email indique alors que la victime a une facture impayée et lui demande de cliquer sur un lien pour la régler. Le lien renvoie la victime vers un faux site web similaire au vrai. Une fois que la victime a saisi ses informations de paiement sur le faux site web, les escrocs peuvent les voler.
  • Arnaque à la réinitialisation du mot de passe : L’escroc envoie un courriel qui semble provenir d’une entreprise légale, comme une banque ou un site d’un média social. Il indique que le mot de passe de la victime a été réinitialisé et lui demande de cliquer sur un lien pour le modifier. Le lien renvoie la victime vers un faux site web qui ressemble au réel. Une fois que la victime a saisi son nouveau mot de passe sur le faux site, les escrocs peuvent le voler.
  • Escroquerie au support technique : L’escroc envoie un email qui semble provenir d’une société d’assistance technique légale. L’email indique que l’ordinateur de la victime a un problème et lui demande d’appeler un certain numéro pour obtenir de l’aide. Lorsque la victime appelle ce numéro, elle est mise en relation avec un escroc qui tente de la convaincre de lui donner un accès à distance à son ordinateur. Une fois que l’escroc a accédé à distance à l’ordinateur de la victime, il peut voler ses informations personnelles ou installer des logiciels malveillants.
Email phishing example
Email phishing example from the New York Department of Motor Vehicles.

Spear Phishing

Il s’agit d’un type d’attaque de phishing plus ciblé dans lequel l’auteur de l’attaque élabore une communication spécifiquement adaptée à la victime. Par exemple, l’e-mail du pirate informatique peut porter sur un sujet auquel la victime s’est déjà intéressée car en rapport avec son travail. Lorsque l’intelligence artificielle (IA) et le Machine Learning (ML) sont utilisés pour la personnalisation, l’email a plus de chances d’être ouvert et la victime est plus susceptible de tomber dans le piège de l’escroquerie.

Voici quelques exemples d’escroqueries par spear phishing :

  • L’escroquerie par courriel ciblé : L’escroc envoie un courriel spécifiquement adapté à la victime. Le courriel peut mentionner le nom de la victime, son entreprise ou d’autres informations personnelles. La personnalisation rend l’email plus susceptible d’être ouvert et la victime a plus de chance de tomber dans le piège de l’escroc.
  • L’escroquerie à la compromission par courriel d’entreprise (BEC) : L’escroc envoie un courriel qui semble provenir d’un partenaire commercial légitime, tel qu’un fournisseur ou un client. Il peut demander à la victime d’effectuer un paiement ou de modifier son mot de passe. L’escroc utilise souvent un sentiment d’urgence pour pousser la victime à agir rapidement.
  • Escroquerie par appel à l’autorité : l’escroc envoie un courriel qui semble provenir d’un cadre de haut niveau dont la victime est susceptible de connaître le nom. Il demande alors à la victime de virer de l’argent sur un compte spécifique, généralement à l’étranger. L’escroc utilise souvent un sentiment d’urgence pour pousser la victime à agir rapidement.

La chasse à la baleine

Ce type d’attaque par spear phishing cherche à exploiter un “très gros poisson”, tel que le directeur financier d’une grande entreprise ou un autre cadre de haut niveau.

Voici quelques exemples d’escroqueries de type “whaling” :

  • Fraude au PDG : L’escroc envoie au vice-président des finances un courriel qui semble provenir du directeur général de l’entreprise. Cet email incite la victime potentielle à entreprendre immédiatement une action spécifique au nom de l’escroc, qui se traduira en fin de compte par une perte financière ou par la divulgation non autorisée d’informations sensibles.
  • Escroquerie par usurpation d’identité d’un fournisseur : L’escroc envoie un email au vice-président chargé des achats qui semble provenir d’une personne avec laquelle l’entreprise de la victime fait affaire. Le faux courriel demande à la victime d’autoriser le paiement d’une facture prétendument “en attente” ou de modifier l’adresse de livraison d’une commande importante.
  • Escroquerie interne aux employés : L’escroc cible le vice-président des ventes et lui envoie un courriel destiné à l’inciter à prendre une mesure spécifique qui lui permettra d’accéder à des informations sensibles contenues dans les dossiers des clients.

Smishing

Ce type d’hameçonnage utilise des messages SMS pour communiquer avec la cible. Les messages contiennent souvent un lien qui, lorsque l’on clique dessus, conduit la victime sur un faux site web ou lui demande de fournir des informations sensibles.

Voici quelques exemples d’escroqueries par smishing :

  • Arnaque à la livraison de colis : L’escroc envoie un SMS qui semble provenir d’une société de transport, comme UPS ou FedEx. Le message indique que la victime a un colis qui l’attend et lui demande de cliquer sur un lien pour le suivre. Le lien renvoie la victime vers un faux site web qui ressemble à celui d’une véritable société de transport. Une fois que la victime a saisi ses informations personnelles sur le faux site web, les escrocs peuvent les voler.
  • Escroquerie bancaire : L’escroc envoie un SMS qui semble provenir d’une banque, telle que la Société Générale ou LCL. Le message indique que le compte de la victime a fait l’objet d’une tentative d’accès et lui demande de cliquer sur un lien pour vérifier ses informations. Le lien renvoie la victime vers un faux site web qui ressemble à celui d’une banque. Une fois que la victime a saisi ses identifiants de connexion sur le faux site web, les escrocs peuvent les voler.
  • Arnaque à la réinitialisation du mot de passe : L’escroc envoie un message texte qui semble provenir d’une entreprise populaire telle qu’Amazon ou eBay. Le message indique que le mot de passe de la victime n’est plus sécurisé et lui demande de cliquer sur un lien pour le modifier. Le lien renvoie la victime vers un faux site web qui ressemble à un vrai. Une fois que la victime a saisi son ancien mot de passe pour le remplacer par un nouveau sur le faux site web, les escrocs peuvent le voler.
Smishing scam examples
Smishing example from the Michigan Department of Attorney General.

Vishing

Ce type d’hameçonnage est réalisé par téléphone. Le pirate utilise sa propre voix ou une voix générée par l’intelligence artificielle pour se faire passer pour un représentant d’une entreprise ou d’une organisation légitime.

Voici quelques exemples d’escroqueries par hameçonnage :

  • L’escroquerie au support technique : L’escroc appelle la victime et prétend appartenir à une société d’assistance technique légale. Il informe la victime que son ordinateur a un problème et lui demande la permission d’accéder à l’ordinateur à distance. Une fois que l’escroc a obtenu l’accès à distance à l’ordinateur de la victime, il peut voler ses informations personnelles ou installer des logiciels malveillants.
  • Escroquerie à l’usurpation d’identité gouvernementale : L’escroc appelle la victime et prétend appartenir à une agence gouvernementale, comme l’Internal Revenue Service (IRS) ou l’Administration de la sécurité sociale. Il informe la victime qu’elle doit de l’argent et lui demande de le payer par téléphone. Dans ce type d’hameçonnage, l’escroc peut recourir à des menaces ou à l’intimidation pour pousser la victime à payer.
  • Arnaque au sweepstake : L’escroc appelle la victime et l’informe qu’elle a gagné un prix lors d’un concours ou d’une loterie. Il demande à la victime de fournir des informations personnelles, telles que son numéro de sécurité sociale ou son numéro de compte bancaire, afin de réclamer le prix. L’escroc utilisera ensuite les informations de la victime pour voler de l’argent ou procéder à une usurpation d’identité.

Crypto-hameçonnage

Ce type d’escroquerie vise les investisseurs et les négociants en crypto-monnaies. Les escrocs envoient des courriels ou des messages qui semblent provenir d’une source légale, telle qu’une bourse de crypto-monnaies ou un fournisseur de porte-monnaie. Les emails ou les messages contiennent souvent un lien qui, lorsqu’il est cliqué, renvoie la victime vers un faux site web qui ressemble au vrai site. Lorsque la victime saisit ses identifiants de connexion ou d’autres informations sensibles sur le faux site web, les escrocs peuvent voler ces informations.

Voici quelques exemples d’escroqueries par crypto-hameçonnage:

  • Arnaque de l’avertissement de sécurité : L’escroc envoie un email qui semble provenir d’une bourse de crypto-monnaies, avertissant la victime que son compte a été piraté. Le courriel demande à la victime de cliquer sur un lien pour vérifier son compte. Le lien renvoie la victime vers un faux site web qui ressemble à celui de la véritable bourse de crypto-monnaies. Une fois que la victime a saisi ses identifiants de connexion sur le faux site web, les escrocs peuvent les voler.
  • L’arnaque au cadeau : L’escroc envoie un message sur les réseaux sociaux qui semble provenir d’une célébrité ou d’un influenceur. Le message demande à la victime d’envoyer des crypto-monnaies à une certaine adresse pour participer à un concours ou à un concours de crypto-monnaies. L’adresse appartient à l’escroc et les crypto-monnaies de la victime seront volées.
  • Arnaque du faux site web : L’escroc crée un faux site web sur les crypto-monnaies qui ressemble à une bourse d’échange ou à un fournisseur de porte-monnaie légitime. Il fait ensuite de la publicité pour ce faux site sur les réseaux sociaux ou d’autres plateformes en ligne. Lorsque les victimes visitent le faux site web et saisissent leurs identifiants de connexion, les escrocs peuvent les voler.

Attaques de type “Watering Hole

Ce type d’escroquerie par hameçonnage cible les sites web que les professionnels d’un secteur ou d’un segment de marché spécifique sont susceptibles de visiter.

Voici quelques exemples d’escroqueries de type “watering hole” :

  • L’escroquerie du forum communautaire : L’escroc pirate un forum sectoriel ou un site web communautaire que les professionnels d’un domaine particulier sont susceptibles de visiter. Lorsque les personnes ciblées visitent le forum, leurs appareils sont infectés par des logiciels malveillants ou ils sont dirigés vers une fausse page de connexion qui recueille leurs informations d’identification.
  • Escroquerie au portail des employés : L’escroc cible un portail d’avantages sociaux ou un site intranet auquel les employés accèdent fréquemment pour gérer leurs avantages sociaux, consulter leurs fiches de paie ou accéder aux ressources de l’entreprise. En piratant ce portail, l’attaquant peut potentiellement voler les identifiants de connexion et les informations personnelles des employés, voire injecter des logiciels malveillants dans leurs appareils. Ces informations peuvent être utilisées à des fins d’espionnage ou pour d’autres attaques au sein du réseau de l’entreprise.
  • Escroquerie au VPN malveillant : L’attaquant crée un faux site web qui offre l’accès à des VPN gratuits. Les personnes qui s’inscrivent pour utiliser ces faux réseaux privés virtuels risquent de se faire voler les données de leur carte de crédit, de voir leurs photos et vidéos privées divulguées ou vendues en ligne, et de voir leurs conversations privées enregistrées et envoyées sur le serveur du cybercriminel.

Annonces malveillantes

Ce type d’attaque par hameçonnage place des publicités malveillantes sur des sites web légaux. Lorsque les victimes cliquent sur ces publicités, elles sont dirigées vers un faux site web qui les infecte avec des logiciels malveillants.

Voici quelques exemples d’escroqueries par malvertising :

L’escroquerie du téléchargement à la volée : Ce type d’escroquerie se produit lorsque des logiciels malveillants sont automatiquement installés sur l’ordinateur d’un utilisateur qui visite un site web infecté par un code malveillant. Le logiciel malveillant peut être utilisé pour voler des informations personnelles, installer d’autres logiciels malveillants ou prendre le contrôle de l’ordinateur.
Escroquerie aux fenêtres publicitaires : Ce type d’escroquerie consiste à afficher des fenêtres publicitaires indésirables sur l’ordinateur de l’utilisateur. Ces publicités peuvent contenir un code malveillant qui détourne le navigateur de la victime ou permet à l’attaquant de se déplacer latéralement dans le réseau de la victime et de rechercher d’autres vulnérabilités à exploiter.
Escroquerie par détournement de clics : Ce type d’escroquerie consiste à inciter un utilisateur à cliquer sur un lien ou un bouton de site web malveillant. Le lien ou le bouton peut sembler légitime, mais il est en fait conçu pour installer des logiciels malveillants ou voler des informations personnelles.

L’hameçonnage de type “angler” (pêcheur à la ligne)

Ce type d’attaque par hameçonnage utilise des sites de médias sociaux populaires (Facebook, TikTok) comme vecteur d’attaque. Le cybercriminel crée de faux comptes de médias sociaux pour interagir avec de vrais utilisateurs sur les plateformes et gagner leur confiance. Il finit par envoyer un message direct (DM) ou poster quelque chose sur le site qui contient un lien vers un site web d’hameçonnage.

Voici quelques exemples d’escroqueries de pêcheurs à la ligne :

  • Plaintes sur les médias sociaux : Dans cette escroquerie, le pirate crée un faux compte de média social qui ressemble à un compte de service clientèle réel pour une entreprise. Il contacte ensuite les personnes qui ont publié des plaintes concernant l’entreprise sur les médias sociaux et leur propose de les “aider” à résoudre leurs problèmes. L’attaquant redirige ensuite la victime vers un site web d’hameçonnage qui lui demande son adresse électronique, son numéro de téléphone ou d’autres informations personnelles qu’il peut utiliser pour voler son identité.
  • Escroquerie à la page communautaire : Dans cette escroquerie, le pirate crée une fausse page communautaire qui demande des informations personnelles telles que le nom, l’adresse ou le numéro de téléphone avant d’accorder l’accès. Une fois que l’escroc a recueilli les informations de la victime, il peut les utiliser avec d’autres informations pour commettre une fraude ou une usurpation d’identité.
  • Escroqueries au remboursement : Dans cette escroquerie, l’agresseur envoie un email ou un message texte qui semble provenir d’une entreprise légale, telle qu’une banque ou une société émettrice de cartes de crédit. L’email ou le SMS indique que la victime a droit à un remboursement et lui fournit un lien pour le réclamer. Le lien renvoie la victime vers un faux site web qui ressemble à celui de l’entreprise légitime. Une fois que la victime a saisi ses informations personnelles sur le faux site web, le criminel peut les voler.

Stratégies psychologiques utilisées dans l’hameçonnage

Les stratégies d’hameçonnage visant à amener une victime à effectuer une action spécifique pour le compte de l’attaquant exploitent souvent la psychologie humaine. En se faisant passer pour des entités de confiance, en créant un sentiment d’urgence ou en faisant appel au désir des victimes d’aider ou de faire partie d’un groupe, un attaquant peut susciter des réponses impulsives.

Si les tactiques techniques telles que l’usurpation d’adresse électronique, l’imitation de domaine ou la diffusion de logiciels malveillants sont des éléments essentiels, c’est la manipulation psychologique qui détermine souvent le succès. Paradoxalement, la plupart des stratégies utilisées par les hameçonneurs sont des techniques de marketing bien connues.

Les stratégies psychologiques utilisées pour mener à bien des attaques sont les suivantes :

  • Créer un sentiment d’urgence : Les hameçonneurs conçoivent souvent leur communication de manière à créer un sentiment d’urgence. Les gens ont tendance à donner la priorité aux questions urgentes et sont plus susceptibles d’agir de manière impulsive lorsqu’ils perçoivent une menace liée au temps.
  • Inspirer la peur : la communication du cybercrimel prétend que le compte de la victime sera suspendu ou qu’une action en justice sera engagée si la victime n’agit pas immédiatement. Les personnes craintives sont plus susceptibles de réagir de manière impulsive.
  • Inspirer la curiosité : La communication de l’attaquant est conçue pour piquer la curiosité de la victime en lui fournissant des informations erronées ou des détails alléchants qui l’inciteront à cliquer sur un lien ou à ouvrir une pièce jointe pour en savoir plus.
  • Appel à l’autorité : La communication de l’hameçonneur semble provenir d’une figure d’autorité telle qu’un PDG, un administrateur informatique ou un fonctionnaire.
  • Appel à la familiarité : L’attaquant utilise la confiance de la victime dans une marque, une organisation ou une personne connue pour créer un faux sentiment de sécurité.
  • Créer un sentiment de rareté : L’agresseur donne l’impression d’une exclusivité ou d’une disponibilité limitée pour inciter les victimes à agir rapidement.
  • Inspirer la culpabilité : La communication de l’attaquant est conçue pour que la victime se sente coupable ou honteuse de ne pas avoir accédé à une demande en prétendant que la communication n’est pas la première envoyée.
  • Utiliser des preuves sociales : L’auteur de l’attaque fournit de faux témoignages, de fausses approbations ou de fausses références pour que la demande paraisse digne de confiance et validée par la société.
  • Encourager la réciprocité : L’auteur de l’attaque offre quelque chose de valeur à la victime (comme une réduction ou un cadeau) en échange de l’exécution d’une action souhaitée.
  • Faire appel au passé : La communication de l’agresseur contient une demande qui correspond à une action antérieure que la victime connaît bien.
  • Appel à l’amitié : La communication de l’agresseur imite étroitement le style d’écriture d’un collègue ou d’un ami afin de faire baisser la garde de la victime.
  • Inspirer la sympathie : la communication de l’agresseur est conçue pour exploiter le sentiment de sympathie de la victime et son désir d’aider l’agresseur à se sortir d’un mauvais pas.
  • Utiliser la peur de manquer (FOMO) : La communication de l’escroc exploite la peur de la victime de manquer une occasion ou un événement. En général, l’escroc prétend qu’une action immédiate est nécessaire pour participer.
  • Faire appel aux préjugés d’un groupe : La communication de l’attaquant est conçue pour inspirer à la victime un sentiment d’appartenance à un groupe social ou “un groupe” qu’elle connaît bien. L’hameçonneur conçoit des emails ou des messages d’hameçonnage qui semblent provenir de sources partageant une identité ou une caractéristique commune avec la cible.

Techniques utilisées dans le phishing

Les stratégies psychologiques ci-dessus, combinées aux tactiques techniques ci-dessous, sont ce qui rend les attaques par hameçonnage si efficaces. Lorsque les destinataires agissent sur des déclencheurs psychologiques, ils sont souvent victimes des pièges techniques dissimulés dans les courriels d’hameçonnage, les appels téléphoniques d’hameçonnage et les messages SMS. (Note de la rédaction : les agresseurs qui n’ont pas les compétences techniques nécessaires pour mener à bien une attaque peuvent acheter des kits d’hameçonnage sur le dark web).

Les tactiques techniques couramment utilisées dans les attaques de phishing sont les suivantes :

  • L’usurpation d’adresse électronique : L’attaquant manipule les en-têtes des courriels pour qu’ils semblent provenir d’une source fiable. L’usurpation d’adresse électronique est facilitée par les faiblesses du protocole standard d’envoi des courriels, le Simple Mail Transfer Protocol (SMTP). Le SMTP n’exige pas que les expéditeurs vérifient l’exactitude de l’adresse “From” qu’ils fournissent, ce qui rend la falsification de cette information relativement facile pour les attaquants.
  • Manipulation de liens : L’attaquant utilise de faux liens dans les emails pour diriger les victimes vers des sites web malveillants. Les attaquants intègrent souvent de fausses URL à des sous-domaines légitimes afin de contourner les filtres URL.
  • Usurpation de nom de domaine : L’assaillant achète des noms de domaine qui semblent légitimes parce qu’ils ressemblent beaucoup à des noms de domaine réel et bien connus.
  • Prise de contrôle de sous-domaines : Le pirate identifie les sous-domaines vulnérables d’une organisation et en prend le contrôle pour héberger des sites d’hameçonnage.
  • Attaques basées sur les attaques : Le pirate envoie des emails d’hameçonnage avec des pièces jointes contenant des macros ou des scripts qui exécutent un code malveillant. Les emails utilisent généralement des tactiques d’ingénierie sociale conçues pour convaincre le destinataire d’activer les instructions de la macro ou les scripts malveillants contenus dans la pièce jointe.
  • Redirections malveillantes : L’attaquant utilise des iframes cachés ou du JavaScript pour rediriger les victimes de sites légitimes vers des pages d’hameçonnage.
  • Téléchargements abusifs : L’attaquant exploite les vulnérabilités du navigateur ou du logiciel de la victime pour télécharger et installer des logiciels malveillants à son insu.
  • Techniques d’obscurcissement : L’attaquant utilise des techniques de codage ou d’obscurcissement pour dissimuler un code malveillant dans des courriels ou des sites web.
  • Chargement dynamique de contenu : L’agresseur utilise un service web ou un framework JavaScript, tel que React ou Angular, pour créer du contenu dynamique qui n’est pas intégré dans le code du site web. Le contenu dynamique généré à la volée ne peut pas être détecté par une analyse statique.
  • Attaques basées sur JavaScript : Le Cybercriminel insère un code JavaScript malveillant dans des courriels ou sur des sites web compromis pour diffuser un logiciel malveillant qui permet une attaque par ransomware.
  • Attaques de type “Man-in-the-Middle” (MitM) : L’attaquant intercepte les communications entre la victime et un site web réel pour s’emparer de données sensibles.
  • Exfiltration de données : L’attaquant envoie les données volées sur les appareils des victimes vers un serveur qu’il contrôle, afin que les informations puissent être utilisées ultérieurement.
  • Récolte d’informations d’identification : L’attaquant crée de fausses pages de connexion pour des services populaires afin de capturer les noms d’utilisateur, les mots de passe et d’autres informations d’identification.
  • Détournement de session : Le pirate vole des cookies ou des jetons de session actifs pour se faire passer pour un utilisateur et obtenir un accès non autorisé à ses comptes.
  • Tabnabbing : L’attaquant exploite la confiance de l’utilisateur dans les onglets du navigateur en remplaçant les onglets inactifs par des pages de phishing.
  • Attaques par homographe : Le pirate utilise des caractères Unicode qui ressemblent à des caractères latins dans les noms de domaine pour tromper les victimes.
  • Usurpation de contenu : Le pirate manipule le contenu d’un site web piraté pour inciter les visiteurs à effectuer des actions qui lui profitent.
  • Transfert de courrier électronique : L’auteur de l’attaque met en place des filtres de courrier électronique (règles) sur les comptes du courrier électronique piraté qui transfèrent alors automatiquement à l’auteur de l’attaque les messages sensibles contenant des informations sur le compte.
  • DNS Spoofing (usurpation d’identité) : L’attaquant manipule les enregistrements DNS pour rediriger les utilisateurs vers de faux sites web lorsqu’ils saisissent des URL légitimes.
  • Scripts intersites (XSS) : L’auteur de l’attaque injecte un script malveillant dans le code d’une page web qui exécutera une action au nom de ce dernier. Le XSS peut être utilisé pour voler des cookies de session, qui peuvent contenir des identifiants de connexion ou d’autres informations sensibles permettant au pirate d’usurper l’identité de la victime.
  • Usurpation de marque : L’auteur de l’attaque sollicite des informations sensibles auprès de la victime en tirant parti de la confiance qu’elle accorde à une marque particulière.
  • Injection SQL : Le pirate saisit un code SQL spécialement élaboré dans les champs de saisie d’un site web afin d’obtenir un accès non autorisé aux bases de données utilisées par ce dernier. Bien que l’injection SQL soit plus communément associée aux violations de données et aux attaques d’applications web, elle peut être utilisée dans les attaques de phishing pour recueillir des informations ou délivrer des charges malveillantes.

Comment prévenir les attaques de phishing

Avec les informations sensibles obtenues lors d’une escroquerie par hameçonnage réussie, les criminels peuvent porter atteinte à l’historique financier, à la réputation personnelle et à la réputation professionnelle de leurs victimes. Ce qui peut prendre des années avant d’être réparé. La combinaison d’éléments psychologiques et techniques dans les attaques de phishing amplifie leur efficacité et souligne l’importance de l’éducation à la cybersécurité et de défenses solides pour contrer ces menaces.

Les précautions de sécurité suivantes sont recommandées pour empêcher les attaques par hameçonnage de réussir :

  • N’ouvrez jamais les pièces jointes d’un email qui ne sont pas attendues ;
  • Ne jamais cliquer sur des liens qui demandent des informations personnelles ;
  • Valider un URL avant de cliquer dessus en passant le curseur de la souris sur le lien pour afficher l’URL réel auquel il mène. Les URL doivent correspondre ;
  • Ne cliquez jamais sur des liens commençant par HTTP au lieu de HTTPS ;
  • Méfiez-vous de tous les appels téléphoniques demandant des informations personnelles identifiables (PII) ou des transferts de fonds d’un compte à un autre ;
  • Ne répondez pas aux appels de téléphones portables provenant de numéros inconnus ;
  • Si quelqu’un vous appelle en prétendant venir d’une agence gouvernementale ou d’une entreprise légitime, raccrochez et appelez le numéro figurant sur le site officiel de l’agence ou de l’entreprise en question ;
  • Ne donnez jamais votre numéro de carte de crédit par téléphone ;
  • Toujours autoriser les mises à jour des navigateurs web, des systèmes d’exploitation et des applications logicielles fonctionnant localement sur les appareils accessibles par internet ;
  • Utiliser des outils de sécurité informatique actualisés, tels que des logiciels antivirus et des pare-feu de nouvelle génération ;
    Vérifier le numéro de téléphone d’un site web avant d’appeler le numéro fourni dans un email ;
    Utiliser des mots de passe forts et une authentification à deux facteurs (2FA) pour tous les comptes en ligne ;
  • Signaler les escroqueries présumées à l’entreprise dont l’auteur se fait passer pour un autre, ainsi qu’aux autorités gouvernementales telles que la Federal Trade Commission (FTC) ;
  • Le cas échéant, demander à l’équipe chargée des technologies de l’information et de la communication (TIC) d’examiner et de réduire le nombre de comptes d’entreprise ayant accès aux données et aux appareils critiques. Mais aussi de restreindre le partage des mots de passe et de réduire les possibilités d’escalade des privilèges en limitant les privilèges d’accès.

10 tips to protect yourself against a phishing attack

Logiciel anti-hameçonnage

Les logiciels anti-hameçonnage peuvent être considérés comme une boîte à outils de cybersécurité qui utilise un large éventail de techniques pour identifier et neutraliser les menaces. Voici quelques caractéristiques et fonctions clés des suites logicielles anti-hameçonnage :

  1. Filtrage des courriels : Les solutions anti-hameçonnage comprennent souvent des fonctions de filtrage des emails qui permettent d’analyser les messages entrants à la recherche de contenus suspects et d’analyser les adresses des expéditeurs. Mais aussi contenu des courriels et les liens intégrés afin d’identifier les tentatives d’hameçonnage. Les applications adaptatives de sécurité du courrier électronique peuvent détecter les comportements anormaux et restreindre automatiquement l’accès d’un employé aux données et systèmes sensibles.
  2. Analyse des liens : Ces outils inspectent les URL contenues dans les courriels ou les messages afin de vérifier leur légitimité. Ils comparent les liens à des listes noires connues de domaines malveillants et évaluent leur réputation.
  3. Analyse du contenu : Ce type de logiciel anti-phishing analyse le contenu des courriels, à la recherche d’indicateurs de phishing tels que des fautes d’orthographe, des pièces jointes suspectes ou des demandes d’informations sensibles.
    Renseignant en temps réel sur les menaces : De nombreux services anti-hameçonnage s’appuient sur des systèmes immunitaires numériques avec des flux de renseignements sur les menaces en temps réel. Afin de rester au fait des nouvelles menaces et tactiques d’hameçonnage. Cela permet d’identifier et de bloquer rapidement les nouveaux types de campagnes de phishing.
  4. Apprentissage automatique et IA : les logiciels anti-hameçonnage avancés utilisent des algorithmes d’apprentissage automatique et d’IA pour adapter et améliorer leurs capacités de détection. Ils peuvent reconnaître des schémas indiquant des attaques d’hameçonnage, même dans des menaces qui n’avaient pas été vues auparavant.

Si les logiciels et les services cloud anti-phishing sont des armes redoutables contre les cybercriminels, il ne faut pas oublier que la vigilance humaine reste un élément essentiel d’une cybersécurité efficace. Aucun logiciel ne peut remplacer la nécessité pour les individus d’être prudents, sceptiques et bien informés sur les menaces.

La formation à la sensibilisation à la sécurité doit aller de pair avec des solutions anti-hameçonnage pour créer un dispositif de défense solide.

Termes connexes

Margaret Rouse
Experte en technologie

Margaret Rouse est une écrivaine technique primée et enseignante reconnue pour sa capacité à expliquer des sujets techniques complexes à un public non technique et commercial. Au cours des vingt dernières années, ses explications ont été publiées sur les sites Web de TechTarget et elle a été citée comme une autorité dans des articles du New York Times, du Time Magazine, de USA Today, de ZDNet, de PC Magazine et de Discovery Magazine. L'idée que Margaret se fait d'une journée amusante est d'aider les professionnels de l'informatique et des affaires à apprendre à parler leurs langages hautement spécialisés respectifs. Si…