Ingénierie sociale : qu’est-ce que le phishing (ou hameçonnage) ?

Le phishing est l’attaque d’ingénierie sociale la plus connue. Elle consiste, pour cyberattaquant, à se faire passer pour une source fiable afin d’amener ses victimes à révéler leurs informations personnelles ou à télécharger des logiciels malveillants. Selon le National Institute of Standards and Technology (NIST – lien en anglais), les attaques de phishing sont de plus en plus nombreuses chaque année, avec une hausse vertigineuse de 61 % depuis 2021. Ces statistiques montrent la prévalence des attaques de phishing et la nécessité de s’en protéger. Découvrez comment fonctionne le phishing, comment l’éviter, et comment vous protéger, vous et votre entreprise.

Mailfence - Obtenez votre email gratuit et sécurisé.

4.1 sur base de 177 avis utilisateurs

Inscription

Qu’est-ce que le phishing ?

Le phishing (prononcé fishing en anglais), ou hameçonnage, est un type de vol d’identité. Dans ce type d’attaque par ingénierie sociale, les pirates tentent de voler vos données personnelles ou celles de votre entreprise, ou de vous inciter à télécharger un logiciel malveillant, en utilisant une méthode trompeuse pour gagner votre confiance, généralement un email.

Diverses tactiques de tromperie

La tromperie en question peut être :

• L’usurpation de l’identité d’une personne ou d’une organisation que vous connaissez, comme votre banque ou l’un de vos collègues de travail,
• L’utilisation de liens URL pour vous mener sur un faux site imitant un site légitme auquel vous faites confiance. Ce site factice aura été créé de toutes pièces pour obtenir les informations de connexion de l’utilisateur.
• Des fichiers apparemment utiles que vous serez invité à télécharger, contenant un cheval de Troie dissimulant un logiciel malveillant (malware).

Dans ce dernier cas, le logiciel malveillant caché peut être :

• Un logiciel espion conçu pour collecter des données et vous espionner,
• Un logiciel malveillant conçu pour créer une vulnérabilité, par exemple en créant une porte dérobée dans votre système informatique ou en transformant votre appareil en appareil zombie,
• Plus fréquemment de nos jours, un ransomware, c’est-à-dire, un logiciel malveillant conçu pour geler l’appareil de la victime. Pour le débloquer, vous devrez payer une rançon.

Plusieurs formes d’attaques de phishing

Il existe plusieurs types d’attaques de phishing, en fonction de la tactique adoptée par le pirate pour entrer en contact avec sa victime :

Le phishing classique : les “phishermen” envoient des emails en masse à des personnes choisies au hasard. Ces messages sont tous identiques et contiennent un lien pointant vers un site web usurpé pour inciter le lecteur à laisser ses informations de connexion. Ou bien ils invitent le destinataire à télécharger un fichier joint infecté par un logiciel malveillant.
Le Spear Phishing : une attaque de phishing qui cible des organisations et des individus spécifiques au lieu d’envoyer des emails en masse.
Le Smishing : une attaque de phishing qui utilise des SMS, plutôt que des emails. D’où la combinaison des mots SMS+phishing.
Le Vishing : Cette attaque fait appel à la voix du cybercriminel (via un appel téléphonique). Il appelle sa victime pour la pousser à effectuer une action.
Le Whaling : une attaque qui cible les “baleines”, c’est-à-dire, des personnalités puissantes, telles que les cadres de direction d’une organisation. Elles sont généralement incitées à exécuter une action telle que le virement d’une importante somme d’argent. L’attaquant en tirera généralement une énorme récompense.

Comment reconnaître le phishing ?

Outre l’installation d’un filtre anti-spam et d’un logiciel de sécurité, la meilleure façon de lutter contre les tentatives de phishing est de les repérer.

Les fautes d’orthographe et de grammaire dans un email étaient autrefois un bon indice permettant de reconnaître le phishing. Mais de nos jours, les attaques de phishing sont de plus en plus sophistiquées, et les emails de phishing sont souvent parfaitement écrits.

Vous devrez donc vous concentrer sur d’autres détails révélant la volonté de vous escroquer :

• Les liens dans l’email. Prenez l’habitude de survoler tous les liens hypertextes envoyés dans un email ou un SMS pour vérifier qu’ils correspondent à la page du site vers laquelle ils sont censés vous conduire, telle qu’elle a été saisie dans le message. Des URL mal assorties (ou des noms de domaine trompeurs) peuvent également vous conduire à des fichiers .exe contenant des logiciels malveillants.
• Les liens inclus dans un email vous invitant à vous connecter à un site web. Soyez particulièrement prudent avec tout site de “liquidation” ou de “fins de collection” apparemment lié à un portail de e-commerce bien connu, par exemple. Il pourrait s’agir d’un site créé à l’identique pour vous voler votre identité ou de l’argent.
• Les menaces – Vous a-t-on déjà menacé de fermer votre compte si vous ne répondiez pas à un email ? Les cybercriminels utilisent souvent les menaces. Ils vous enverront une fausse alerte prétendant que votre sécurité a été compromise, qu’un service est sur le point d’être résilié en raison de votre inaction, ou que votre compte bancaire est à découvert.
• Les messages imitant des sites Web ou des entreprises connus. Si vous recevez un message d’une organisation de confiance, d’un collègue de travail ou d’un ami vous demandant de faire quelque chose, soyez particulièrement prudent s’il s’agit :
  • d’une demande d’informations personnelles ;
  • d’une offre trop belle pour être vraie, ou d’une somme d’argent que vous devriez recevoir ou envoyer ;
  • de toute action que vous n’avez pas initiée.

Tout ce qui ne semble pas normal doit éveiller vos soupçons. Même les emails semblant provenir de certains types d’organisations, comme les associations caritatives ou les agences gouvernementales, peuvent être dangereux. Les attaquants profitent souvent de l’actualité et de certaines périodes de l’année, telles que :

• les catastrophes naturelles (par exemple, tremblements de terre, ouragans, etc.) ;
• les épidémies et les alertes sanitaires (par exemple, Covid-19) ;
• les préoccupations économiques (par exemple, l’inflation) ;
• les élections ou événements politiques (par exemple, la guerre en Ukraine) ;
• les bonnes affaires au détail ;
• les vacances ;
• …

Comment se protéger et protéger son entreprise contre le phishing ?

1. Méfiez-vous des emails demandant des informations confidentielles, en particulier des informations de nature financière. Les organisations légitimes ne demanderont jamais de telles informations par email, par téléphone ou par d’autres moyens. Au contraire, faites toujours attention à l’adresse email de l’expéditeur. Elle peut imiter une entreprise connue avec seulement quelques caractères modifiés ou omis.
2. N’ouvrez jamais une pièce jointe suspecte, car il s’agit d’un moyen de diffusion classique des logiciels malveillants. Les phishermen aiment utiliser des tactiques d’intimidation et peuvent menacer de désactiver un compte ou de retarder des prestations de services jusqu’à ce que vous mettiez à jour certaines informations. Pensez à contacter directement le commerçant en question pour confirmer l’authenticité de sa demande.
3. Méfiez-vous des demandes d’informations non personnalisées. Les emails frauduleux ne sont souvent pas personnalisés, alors que les emails authentiques de votre banque font souvent référence à un compte que vous avez chez elle. De nombreux emails de phishing commencent par “Cher Monsieur/Madame” ou d’autres salutations/signatures génériques. Certains peuvent même provenir d’une banque avec laquelle vous n’avez aucun compte.
4. Ne vous laissez pas convaincre à fournir des informations sensibles et ne les soumettez jamais par le biais de formulaires intégrés à des emails. Cette pratique de phishing est très courante et vous trouverez chaque jour ce type d’emails dans votre dossier de courrier indésirable ou de spam.
5. N’utilisez jamais de liens inclus dans un email pour vous connecter à un site web, car il pourrait s’agir d’une imitation d’hyperliens. Les liens ne correspondant pas au texte qui s’affiche lorsque vous les survolez doivent vous alerter. De même, les URL “raccourcies”. Ouvrez plutôt une nouvelle fenêtre de navigateur et tapez l’URL directement dans la barre d’adresse (ou vérifiez où mène ce lien court, par exemple, voir les liens ci-dessous). Souvent, l’URL d’un site de phishing sera très similaire à l’originale. Par exemple, https://wwwpaypal.com/ est différent de https://www.paypal.com/. De même, https://www.paypaI.com/ (avec un “i” majuscule au lieu d’un “L” minuscule) est différent de https://www.paypal.com/ – regardez la barre d’adresse pour vous assurer que c’est bien le cas (et que la connexion est sécurisée – comme https://).

Autres conseils pour vous protéger

Veillez à maintenir un environnement propice à la lutte contre le phishing. Utilisez des anti-virus et des navigateurs de confiance. Maintenez tous vos logiciels à jour. Utilisez des services chiffrés tels que Mailfence pour communiquer et renforcer la protection de votre vie privée.

Utilisez un gestionnaire de mots de passe pour remplir automatiquement les mots de passe afin de vérifier à quels sites ces mots de passe appartiennent. Si le gestionnaire de mots de passe refuse de remplir automatiquement un mot de passe, vous devrez vous méfier et vérifier à nouveau le site sur lequel vous vous trouvez. Lisez cet article de blog pour éviter les mauvaises habitudes en matière de mots de passe.
Soyez toujours méfiant – Les emails d’hameçonnage tentent de vous effrayer avec des avertissements, puis vous proposent une solution facile si vous “cliquez ici !” (ou “Vous avez gagné un prix ! Cliquez ici pour le réclamer !”) En cas de doute, ne cliquez pas. Ouvrez plutôt votre navigateur, allez sur le site Web de l’entreprise, puis connectez-vous comme d’habitude pour voir s’il y a des signes d’activité étrange. Si vous êtes inquiet, changez votre mot de passe.
Utilisez toujours l’authentification à deux facteurs (2FA) lorsqu’un service le propose.
Vous pouvez tester un lien particulier avant de l’ouvrir pour savoir où il mène : Where Goes, Redirect Detective, Internet Officer Redirect Check, Redirect Check, URL2PNG, Browser Shots, Shrink The Web, Browserling.
Enfin et surtout, renseignez-vous sur les nouvelles tendances en matière de phishing. Vous pouvez commencer par lire notre cours de sensibilisation à la sécurité et à la confidentialité des emails. Il est simple et accessible à tous, tout en étant instructif.

Que faire si vous êtes victime d’une attaque de phishing ?

Si vous avez été victime d’une attaque de phishing, consultez notre article de blog sur les emails piratés.

Vous pouvez également signaler les tentatives de phishing à :

•  suspect@safeonweb.be : la plateforme belge de signalement de phishing.
• https://www.antiphishing.ch/fr/ : la plateforme suisse de signalement de phishing
• www.signal-spam.fr : la plateforme française de signalement de phishing.
• Et aussi Google pour signaler le phishing ou les logiciels malveillants.

L’évolution du phishing : les tendances du phishing en 2023

Aujourd’hui, les phishermen travaillent souvent pour de grandes organisations criminelles disposant de ressources importantes pour améliorer leurs techniques et multiplier leurs tentatives. Par conséquent, les attaques sont de plus en plus sophistiquées et difficiles à détecter.

Voici les tendances du phishing qui se dessinent en 2023 :

1/ Les cybercriminels utilisent plus souvent les appareils mobiles et les canaux de communication personnels (comptes de médias sociaux…) pour contacter leurs victimes. De ce fait, les SMS sont devenus un moyen populaire pour entrer en contact avec des victimes potentielles. (voir notre article consacré au Smishing)

2/ L’usurpation de marque devient de plus en plus sophistiquée et difficile à détecter.

3/ Les campagnes de Spear Phishing demandent beaucoup de préparation. Pour cette raison, par le passé, les pirates ciblaient principalement les grandes organisations, plus aptes à fournir de grosses récompenses (c’est ce qu’on appelle la “chasse au gros gibier”). Mais aujourd’hui, en raison de l’optimisation des techniques de phishing, les petites entreprises sont également visées.

4/ Les pirates ciblent l’accès au cloud.

5/ Parfois, les cyberpirates sont prêts à payer pour obtenir les informations d’identification des utilisateurs.

6/ Même les phishermen débutants peuvent utiliser ces techniques sophistiquées, grâce àux RaaS (Ransomware as a service). Un RaaS leur fournit une panoplie de services et de lignes de code nécessaires pour lancer une attaque de ransomware contre une rémunération. Ces outils comprennent également les modèles d’emails de phishing souvent utilisés pour lancer une attaque de ransomware.

7/ Un nouveau genre de cybercriminels, les Initial access brokers, ou IAB, se concentrent désormais sur l’obtention d’identifiants de connexion ou d’email. Ils tentent de les voler en s’introduisant dans le système d’information des organisations. Lorsqu’ils parviennent à s’en emparer, ils peuvent les vendre à d’autres cybercriminels. Ces derniers pourront alors lancer des campagnes de phishing très dangereuses avec ces informations d’identification, puisqu’elles sont légitimes.

Conclusion

Les cybercriminels, souvent soutenus par des gouvernements ou des mafias très puissantes, évoluent très vite et leur créativité est sans limite. Ils trouvent constamment de nouvelles tactiques et de nouvelles vulnérabilités à exploiter.

De l’autre côté, nous (utilisateurs) avons tendance à multiplier le nombre d’appareils connectés… qui offrent de nouvelles portes d’entrée pour d’éventuelles attaques. Il est donc important de se tenir au courant de la cybersécurité.

Avant tout, il faut faire preuve de bon sens. Vous ne pouvez pas gagner un concours auquel vous n’avez pas participé. Votre banque ne vous contactera pas en utilisant une adresse email que vous n’avez jamais enregistrée. Sachez reconnaître les signes avant-coureurs, réfléchissez avant de cliquer et ne donnez jamais votre mot de passe ou vos informations financières à moins de vous être identifié à votre compte de manière sûre.

Au fait, il est essentiel de disposer d’une suite d’emails chiffrée comme Mailfence pour sécuriser vos communications et vous aider à éviter toutes sortes d’escroqueries.

Mailfence a été conçu pour vous protéger contre les cybermenaces et les atteintes à la vie privée, y compris le phishing. Outre son email chiffré de bout en bout, il inclut des signatures numériques et la 2FA (lien en anglais). Et au fait, ce n’est pas seulement une solution d’email, mais aussi une suite bureautique collaborative.

Pourquoi ne pas l’essayer maintenant ? Ouvrez dès maintenant un compte gratuit et passez dès à présent à des communications plus sûres.