Les attaques de phishing sont une situation critique pour les individus et les organisations depuis l’invention du courrier électronique. Ces dernières années, ces attaques sont devenues plus sophistiquées et difficiles à détecter. Les attaques de phishing sont l’une des méthodes les plus courantes utilisées par les pirates pour infiltrer les comptes et les réseaux des victimes. Selon Symantec, un e-mail sur 2 000 est une attaque de phishing, ce qui signifie qu’il y a 135 millions d’attaques chaque jour.
Bien que les attaques de phishing soient déjà fréquentes, nous avons tendance à constater une augmentation significative en période de crise. Les escrocs profitent du chaos et de la confusion causés par ces événements importants. Beaucoup de gens s’attendent à recevoir des courriels de sources officielles telles que des organisations d’experts, des compagnies d’assurance, des entités gouvernementales, etc., laissant amplement la possibilité aux escrocs de se faufiler leurs e-mails « assez réels » dans la mêlée. Ces e-mails apparemment anodins ont l’intention de rediriger les utilisateurs vers des sites frauduleux, tentant de les inciter à saisir des informations sensibles.
Qu’est-ce que le phishing?
En termes simples, le phishing est une tactique où les escrocs envoient des e-mails frauduleux et tentent de tromper les destinataires en cliquant sur un lien malveillant ou en téléchargeant une pièce jointe infectée pour voler leurs informations personnelles. Ces e-mails peuvent sembler provenir d’organisations, comme les détaillants et les banques, ou d’individus et d’équipes au sein de votre organisation, comme H.R., votre patron ou même le PDG.
Si vos employés ne connaissent pas les signes d’une arnaque de phishing, toute votre organisation est à risque. Selon Verizon, le temps moyen qu’il a fallu à la première victime d’une campagne de phishing à grande échelle pour cliquer sur un e-mail malveillant était de 16 minutes. Il a fallu deux fois plus de temps — 33 minutes – à un utilisateur pour LUI signaler la campagne de phishing.
Étant donné que 91% des cybercrimes sont déclenchées via une campagne d’e-mail de phishing réussie, ces 17 minutes pourraient être catastrophiques pour votre entreprise.
Méthodes d’attaque de phishing courantes
Comme mentionné ci-dessus, la plupart (sinon la totalité) des escroqueries par phishing commencent par un e-mail semblant provenir d’une source légitime, mais les méthodes d’attaque et d’infiltration peuvent différer de celles-ci. Certaines de ces techniques de phishing peuvent être aussi simples que de tromper quelqu’un en cliquant sur un lien pour entrer des informations sensibles ou aussi compliquées que l’exécution d’un fichier exécutable qui usurpe un processus légitime qui accède secrètement à votre ordinateur et à votre réseau pour exécuter des logiciels malveillants en arrière-plan.
Les escroqueries par hameçonnage utilisent généralement plusieurs méthodes de tromperie au sein d’une même attaque. En règle générale, ces escroqueries utilisent la manipulation de liens et la falsification de sites Web pour rendre leur arnaque aussi convaincante que possible. Lorsque vous recevez un e-mail de phishing, l’une des premières choses que vous verrez est une URL apparemment légitime vers un site Web connu et de confiance comme Facebook, Amazon, YouTube, etc. avec un message vous invitant à cliquer sur le lien. Ces messages inviteront les utilisateurs à saisir des informations sensibles en affirmant qu’il y a un problème avec leur compte ou leur commande qui doit être résolu, et c’est là que la falsification du site Web entre en jeu.
Alors que le lien pourrait ressembler à un vrai « amazon.com » le lien, les petites fautes de frappe ou les incohérences avec le domaine révèlent souvent sa véritable nature. Ces domaines frauduleux sont souvent appelés domaines typosquat. Ces sites malveillants sont conçus pour ressembler le plus possible à la page Web réelle, incitant les victimes sans prétention à entrer leurs informations d’identification pour que le pirate informatique puisse les voler et les utiliser sur le site réel.
Les pirates informatiques joignent souvent également un fichier d’apparence légitime ou incluent un lien qui, une fois cliqué, téléchargera secrètement des logiciels malveillants qui s’intégreront dans les systèmes de la victime. Ces attaques injectent souvent des logiciels malveillants qui se déguisent en un exécutable légitime qui s’exécutera en arrière-plan, se déplaçant latéralement à travers le réseau de l’utilisateur pour voler des informations sensibles telles que des comptes bancaires, des numéros de sécurité sociale, des informations d’identification de l’utilisateur, etc. Parfois, le logiciel malveillant inclut un ransomware qui se fraye un chemin à travers le réseau de la victime, cryptant et exfiltrant des données sensibles à conserver contre rançon.
Types d’attaques de phishing
La méthode d’attaque la plus courante utilisée par les escrocs de phishing consiste à jeter un large filet. Ils enverront des e-mails génériques à partir de sites couramment utilisés à autant de personnes que possible dans l’espoir de tromper quelques-uns en tombant pour leurs astuces. Bien que cette méthode soit efficace, ce n’est pas la seule façon pour les hameçonneurs d’attraper une prise. Certains escrocs utiliseront des méthodes plus précises comme le spear phishing, le clone phishing et la chasse à la baleine pour faire le travail.
Hameçonnage sous lance et chasse à la baleine
Comme les attaques de phishing générales, l’hameçonnage sous lance et la chasse à la baleine utilisent des e-mails provenant de sources fiables pour tromper leurs victimes. Plutôt que de jeter un large filet, cependant, le spear phishing cible des individus spécifiques ou se fait passer pour une personne de confiance pour voler des informations d’identification ou des informations.
Comme le spear phishing, la chasse à la baleine crée des campagnes autour d’une cible spécifique, mais avec un poisson plus gros à l’esprit. Plutôt que de cibler un large groupe comme un département ou une équipe, ces attaquants canalisent leur capitaine Achab intérieur en visant des cibles de haut niveau comme des cadres ou des influenceurs dans l’espoir de lancer leur baleine blanche. Les chasseurs de baleines cherchent à se faire passer pour des cadres supérieurs comme des PDG, des directeurs financiers, le responsable des ressources humaines, etc., pour convaincre les membres d’une organisation de révéler des informations sensibles qui seraient utiles aux attaquants. Pour qu’une excursion de chasse à la baleine réussisse, les attaquants doivent effectuer des recherches plus approfondies que d’habitude, dans l’espoir de se faire passer pour leur baleine avec précision. Les attaquants cherchent à utiliser l’autorité de la baleine pour convaincre les employés ou d’autres baleines de ne pas examiner ou remettre en question leurs demandes.
Pour l’anecdote, j’ai personnellement été visé par une attaque de baleine dans une entreprise précédente où un escroc s’est fait passer pour mon PDG, demandant mon numéro de téléphone afin qu’ils puissent m’appeler pour demander une faveur. Heureusement, l’e-mail contenait de nombreux signes révélateurs de fraude. Le plus évident étant que le bureau du PDG n’était qu’à 10 pieds de mon bureau, il aurait donc facilement pu passer s’il avait besoin de moi!
Clone Phishing
Les attaques de clone phishing sont moins créatives que la pêche à la lance et à la baleine, mais restent très efficaces. Ce style d’attaque a tous les principaux locataires d’une arnaque de phishing. Cependant, la différence ici est que plutôt que de se faire passer pour un utilisateur ou une organisation avec une demande spécifique, les attaquants copient un e-mail légitime qui a déjà été envoyé par une organisation de confiance. Les pirates utilisent ensuite la manipulation de liens pour remplacer le lien réel inclus dans l’e-mail d’origine afin de rediriger la victime vers un site frauduleux afin de tromper les utilisateurs en leur demandant d’entrer les informations d’identification qu’ils utiliseraient sur le site réel.
Exemples d’arnaques d’hameçonnage par e-mail
Il est courant que des escrocs usurpent des e-mails officiels de détaillants comme Amazon ou Walmart, affirmant que vous devez entrer vos informations d’identification ou vos informations de paiement pour vous assurer qu’ils peuvent compléter votre commande. Les liens intégrés dans l’e-mail vous mèneront à une page de destination d’apparence authentique pour saisir vos informations sensibles.
Avec plus de personnes qui achètent en ligne que jamais en raison de la pandémie et de l’évolution du paysage de la vente au détail numérique, les escrocs feront des heures supplémentaires cette année. Pendant la saison des fêtes, ces types d’escroqueries augmentent de manière exponentielle en raison de tous les achats de cadeaux. Beaucoup de gens ont tellement d’achats qu’ils ne réfléchissent pas à deux fois à un problème avec leurs commandes.
Un exemple d’escroquerie par hameçonnage qui a connu une légère hausse pendant la saison des fêtes de fin d’année 2020 est un e-mail usurpé d’Amazon informant les clients qu’ils doivent se connecter pour mettre à jour leurs informations de paiement et d’expédition afin de compléter leur commande.
Par expérience personnelle, je reçois des e-mails constants d’Amazon sur l’expédition, les dates d’arrivée, les confirmations, etc. Si je ne savais pas quoi rechercher dans ces attaques, je tomberais facilement dans l’arnaque.
L’anatomie d’un e-mail de phishing
Nous avons présenté les composants les plus courants d’un e-mail de phishing. Consultez notre infographie complète pour tester vos connaissances.
Ligne d’objet
Les campagnes de phishing visent généralement à créer un sentiment d’urgence en utilisant un langage intense et des tactiques de peur, en commençant par la ligne d’objet de l’e-mail.
Champ » De »
L’e-mail semble provenir d’une entité légitime au sein d’une entreprise reconnue, telle que le support client. Cependant, en y regardant de plus près, vous pouvez voir que le nom et l’adresse e-mail de l’expéditeur sont une usurpation d’identité sur une marque connue, pas un véritable fournisseur.
Champ « À »
Les e-mails de phishing sont souvent impersonnels, s’adressant au destinataire en tant qu' » utilisateur » ou « client « . »
Copie du corps
Comme avec la ligne d’objet, la copie du corps d’un e-mail de phishing utilise généralement un langage urgent pour encourager le lecteur à agir sans réfléchir. Les e-mails de phishing sont également souvent truffés d’erreurs de grammaire et de ponctuation.
Lien malveillant
Un lien suspect est l’un des principaux cadeaux d’un e-mail de phishing. Ces liens sont souvent raccourcis (par bit.ly ou un service similaire) ou sont formatés pour ressembler à un lien légitime qui correspond à l’entreprise et au message du faux e-mail.
Tactiques de peur
En plus du langage urgent, les e-mails d’hameçonnage utilisent souvent des tactiques de peur dans l’espoir que les lecteurs cliqueront sur des liens malveillants par alarme ou confusion
Signature par e-mail
Comme pour le message d’accueil de l’e—mail, la signature est souvent impersonnelle – généralement un titre générique de service à la clientèle, plutôt que le nom d’une personne et les coordonnées correspondantes.
Pied de page
Le pied de page d’un e-mail d’hameçonnage comprend souvent des signes révélateurs d’un faux, y compris une date de copyright incorrecte ou un emplacement qui ne correspond pas à celui de l’entreprise.
Page de destination malveillante
Si vous cliquez sur un lien de phishing, vous serez souvent redirigé vers une page de destination malveillante
Comment prévenir les attaques
La meilleure défense contre les campagnes de phishing est la connaissance. Les attaquants créent des escroqueries par hameçonnage pour paraître aussi convaincantes que possible, mais ils ont souvent des signes révélateurs révélant la farce. Exiger une formation régulière en sécurité des données et en ingénierie sociale est une excellente méthode de prévention qui aide votre organisation à détecter les signes d’e-mails malveillants.
Voici quelques éléments à vérifier chaque fois que vous recevez un e-mail vous demandant de cliquer sur un lien, de télécharger un fichier ou de partager vos informations d’identification, même s’il semble provenir d’une source de confiance:
- Vérifiez le nom et le domaine d’origine de l’e-mail
-
- La plupart des e-mails légitimes ne proviendront pas de @gmail.com , @live.com , etc. Ils proviennent généralement de domaines privés
-
- Vérifiez les fautes d’orthographe évidentes dans le sujet et le corps
- Les lignes « à » et » de » sont génériques
- Ne partagez pas les informations d’identification — les expéditeurs légitimes ne les demanderont jamais
- N’ouvrez aucune pièce jointe ni ne téléchargez aucun lien suspect
- Signalez des e-mails suspects à quiconque s’occupe de votre sécurité informatique
Si vous pensez même que vous avez reçu des informations un e-mail de phishing, ne cliquez pas dessus ni sur les pièces jointes. Au lieu de cela, signalez-le et signalez-le aux autorités compétentes. Cela peut être au service informatique de votre organisation, à l’entreprise dans laquelle l’e-mail est usurpé ou à votre fournisseur de domaine de messagerie comme Google, Microsoft, etc.
Ne prenez pas l’appât
La connaissance est un pouvoir lorsqu’il s’agit de se protéger contre les attaques de phishing. Ces escrocs comptent entièrement sur vous qui craquez pour leur ruse pour que leur arnaque réussisse. Même si vous pensez être un expert en matière de détection des escroqueries par hameçonnage, vous ne pouvez pas baisser la garde; le danger se cache derrière chaque lien. Les techniques de phishing et les e-mails continueront de devenir plus sophistiqués et difficiles à détecter avec le temps. Tant que notre vie quotidienne continuera à être numérisée, les pirates informatiques seront toujours là pour exploiter des innocents à des fins financières. La meilleure façon de rester en sécurité et de rester au courant de tout est de continuer à vous renseigner sur les formes les plus récentes d’escroqueries par hameçonnage.