Accueil > Blog > Quotidien > Le phishing ne s’attaque pas qu’aux gros poissons
Le phishing ne s’attaque pas qu’aux gros poissons
Le phishing (hameçonnage en français) est une technique d’escroquerie informatique qui existe depuis les années 1990, mais avec l’augmentation des données personnelles stockées en ligne et la prévalence des sites de réseaux sociaux, il est plus important que jamais de comprendre comment fonctionnent les arnaques par phishing.
Cet article vise à vous familiariser avec certains éléments de base afin de mieux vous protéger de situations potentiellement dangereuses.
Comment ça marche ?
Le phishing n’est pas une attaque informatique à proprement parler, mais plutôt une technique d’escroquerie que les pirates utilisent pour obtenir illégalement des informations sensibles et personnelles des utilisateurs.
Les attaques de phishing peuvent être menées par le biais d’e-mails ou de SMS, dans le but d’obtenir le nom d’utilisateur et le mot de passe d’une personne pour son compte bancaire, son numéro de carte de crédit et d’autres données personnelles.
Lorsqu’un mail vous semble suspect, qu’il contient un lien ou vous demande de réaliser une action immédiate, restez prudent. Vérifiez bien l’adresse de l’expéditeur, ne cliquez sur aucun lien et ne communiquez pas vos données personnelles ou bancaires. En cas de doute, envoyez-nous un mail à phishing@foyer.lu
Que se passe-t-il lorsque vous êtes hameçonné et comment s’en prémunir?
Si vous êtes victime d’un hameçonnage en ligne, les conséquences peuvent être graves. Vos informations personnelles peuvent tomber entre de mauvaises mains et conduire à une usurpation d’identité ou à d’autres crimes commis en votre nom. Au Luxembourg, 2/3 des attaques informatiques proviennent d’un phishing selon la Chambre de Commerce.
Sur le plan personnel, les risques sont :
- De l’argent volé sur votre compte bancaire
- Des achats réalisés avec vos cartes de crédit
- Une perte d’accès à vos photos, vidéos et fichiers
- De fausses publications sur vos profils de réseaux sociaux
- Les cybercriminels peuvent également mettre en danger un ami ou un membre de votre famille en usurpant votre identité
Sur le plan professionnel, les risques sont encore plus importants et peuvent avoir des impacts graves :
- L’interruption d’activité et donc la perte de revenu
- La diffusion d’informations personnelles de vos clients et collègues
- Le verrouillage de vos fichiers (réactivables contre rançon)
- Une atteinte à la réputation de votre entreprise
Les risques pour les entreprises proviennent régulièrement de facteurs comme : des mots de passe à sécurité faible, une faible politique de protection des données (respect du RGPD), pas assez de sauvegardes automatiques, un mauvais suivi (voir inexistant) de leur antivirus, notamment des mises à jour et enfin la formation des collaborateurs sur les logiciels utilisés en interne.
Vous l’aurez compris, pour le bon fonctionnement de votre métier, il s’agira de tout mettre en œuvre pour prévenir ce type d’attaques. Il existe des assurances telles que cyberpro de Foyer. De la prévention à la réparation des dommages, cyber pro assiste les entreprises, lorsque les filtres de la cyber-sécurité ne suffisent plus.
Comment reconnaître un e-mail de phishing ?
Ne vous fiez pas aux apparences, il est presque aussi simple d’usurper une adresse email que de changer l’adresse d’un destinataire sur une enveloppe de papier.
- C’est trop beau pour être vrai
Les offres lucratives, les gains faciles et les promesses de don sont conçus pour attirer immédiatement l’attention. Certains mails prétendront que vous avez gagné un iPhone, une loterie ou un autre prix sympa. Si cela semble trop beau pour être vrai, c’est probablement le cas ! - Sens de l’urgence
L’une des tactiques préférées des cybercriminels consiste à vous demander d’agir rapidement, car les super offres proposées ont une durée limitée. Parfois, ils vous diront que votre compte sera suspendu à moins que vous ne mettiez à jour vos informations personnelles immédiatement (compte bancaire, compte sur les réseaux sociaux). La plupart des organisations fiables donnent suffisamment de temps avant de résilier un compte et ne demandent jamais aux clients de mettre à jour leurs informations personnelles sur Internet. En cas de doute, visitez directement la source plutôt que de cliquer sur un lien dans un e-mail. - Les hyperliens
Ne cliquez pas tout de suite sur les liens. En les survolant, vous découvrez la véritable URL vers laquelle vous serez dirigé en cliquant dessus. S’il ne s’agit pas du site annoncé ou que l’URL contient une faute d’orthographe, par exemple https://www.foyerasssurances.lu (il y a un « s » de trop), ne cliquez pas et supprimez l’e-mail.
Faites également attention https ne garantit pas l’identité du propriétaire du site. - Pièces jointes
Si l’e-mail s’accompagne d’une pièce jointe que vous n’attendiez pas ou qui n’a pas de sens, ne l’ouvrez pas ! Elles peuvent contenir des moyens d’intrusion tels que des ransomwares ou d’autres virus. Le seul type de fichier sur lequel il est toujours possible de cliquer en toute sécurité est un fichier .txt.
Il n’y a pas que l’email qui peut vous berner
À mesure que les technologies numériques progressent, le phishing trouve de nouvelles façons d’exploiter les vulnérabilités. En voici 10 exemples :
L’hameçonnage standard par e-mail
Sans doute la forme d’hameçonnage la plus connue, cette attaque est une tentative de voler des informations sensibles via un e-mail qui semble provenir d’un organisme officiel ou familier. Ce n’est pas une attaque ciblée et peut être mené en masse.
Le Malware Phishing
Utilisant les mêmes techniques que le phishing par e-mail, cette attaque encourage les cibles à cliquer sur un lien ou à télécharger une pièce jointe afin que des logiciels malveillants puissent être installés sur l’appareil. Il s’agit actuellement de la forme d’attaque de phishing la plus répandue.
Le Spear Phishing
Là où la plupart des attaques de phishing visent un large réseau, le spear phishing est une attaque très ciblée et bien documentée qui cible généralement les dirigeants d’entreprise, les personnalités publiques et d’autres cibles lucratives.
Le Smishing
Le phishing activé par SMS fournit des liens courts malveillants aux utilisateurs de smartphones, souvent déguisés en avis de compte, notifications de prix et messages politiques.
Le Search Engine Phishing
Dans ce type d’attaque, les cybercriminels mettent en place des sites Web frauduleux conçus pour collecter des informations personnelles et des paiements directs. Ces sites peuvent apparaître dans les résultats de recherche organiques ou sous forme de publicités payantes pour des termes de recherche populaires.
Le Vishing
Le vishing, ou hameçonnage vocal, implique un appelant malveillant prétendant provenir du support technique, d’une agence gouvernementale ou d’une autre organisation et essayant d’extraire des informations personnelles, telles que des informations bancaires ou de carte de crédit.
Le Pharming
Également connu sous le nom d’empoisonnement DNS, le pharming est une forme techniquement sophistiquée de phishing impliquant le système de noms de domaine (DNS) d’Internet. Le pharming redirige le trafic Web légitime vers une page falsifiée à l’insu de l’utilisateur, souvent pour voler des informations précieuses.
L’Attaque de l’homme du milieu
Une attaque de l’homme du milieu implique une personne surveillant la correspondance entre deux parties sans méfiance. Ces attaques sont souvent menées en créant de faux réseaux WiFi publics dans des cafés, des centres commerciaux et d’autres lieux publics. Une fois connecté, l’homme du milieu peut hameçonner pour obtenir des informations ou installer des logiciels malveillants sur les appareils de ses victimes.
Le BEC (Business Email Compromise)
La compromission d’un courriel d’entreprise se produit lorsqu’un courriel frauduleux semble provenir d’une personne de l’organisation de la cible ou liée à celle-ci, et demande une action immédiate, comme le virement d’argent ou l’acquisition de cartes-cadeaux. Cette technique devrait avoir causé plus de la moitié de toutes les pertes commerciales liées à la cybercriminalité en 2019.
Le Malvertising
Ce type de phishing utilise un logiciel de publicité numérique pour publier des publicités d’apparence normale avec un code malveillant implanté à l’intérieur.