Définition du phishing (hameçonnage)

Les 5 types les plus dangereux

Phishing (hameçonnage)

Le modus operandi des spécialistes de l’hameçonnage est similaire à celui des pêcheurs : les pêcheurs jettent des filets pour attraper des poissons, les spécialistes de l’hameçonnage envoient des courriels sur internet pour attraper vos informations personnelles. Les pêcheurs utilisent des appâts pour tromper les poissons, les spécialistes de l’hameçonnage utilisent la falsification et la manipulation pour vous duper. Si vous tombez victime d’une attaque par hameçonnage, vous pouvez perdre votre vie privée, vos revenus et même votre identité.

Sommaire: L’hameçonnage est une tentative d’acquérir les informations personnelles d’une personne par tromperie. Mené à bien par l’utilisation de courriels et faux sites web, l’hameçonnage permet aux pirates d’obtenir l’accès à vos identifiants, informations bancaires et de carte de crédit ou encore votre numéro de sécurité sociale. Continuez votre lecture pour en apprendre plus sur les types d’attaques par hameçonnage courantes et les moyens de vous protéger sur internet.

Phishing

Qu’est-ce que l’hameçonnage ?

L’hameçonnage est une tentative d’obtenir les informations personnelles ou confidentielles d’une personne par tromperie. Probablement le type de fraude sur internet la plus fréquence, l’hameçonnage est généralement pratiqué à l’aide de courriels ou sites web visant à leurrer la victime potentielle afin qu’elle partage des informations sensibles avec l’escroc qui en est l’auteur. Plutôt qu’utiliser les informations ainsi acquises eux-mêmes, beaucoup de fraudeurs les vendent sur le « dark web », généralement à des pirates et cybercriminels spécialisés dans le vol d’identité.

Avec les progrès de la cybersécurité, beaucoup de cybermenaces n’ont pas vécu longtemps mais l’hameçonnage est toujours une méthode très prisée. La raison principale pour laquelle les attaques par hameçonnage sont toujours aussi populaires est qu’elles utilisent la falsification, la manipulation et des techniques d’ingénierie sociale pour duper les victimes potentielles. Les courriels d’hameçonnage sont rédigés sous forme de notification urgente (mais fausse) semblant provenir de fournisseurs d’accès, portemonnaies numériques, institutions financières et autres organismes. Un grand nombre d’entre eux contiennent aussi des logos et autres images officielles.

Les fraudeurs spécialistes de l’hameçonnage responsables de ces attaques demandent à la victime potentielle de leur donner une information personnelle d’importante : numéro de sécurité sociale, numéro de carte de crédit ou identifiants. Pour ajouter un sentiment d’urgence à leur message, ils donnent même une raison qui semble importante pour laquelle la victime doit se plier à leur demande : le risque de perdre l’accès à leur compte en banque ou ne plus être en mesure de se connecter à leurs réseaux sociaux s’ils ne fournissent pas les informations demandées dans un certain délai.

Pour rassembler les informations dont ils ont besoin, les spécialistes en hameçonnage construisent de faux sites web entièrement identiques aux vrais. Ils vont jusqu’à utiliser des URL très similaires, ce qui rend la détection d’un faux encore plus difficile pour les victimes. Selon des statistiques récentes, plus d’un million et demi de nouveaux sites d’hameçonnage sont créés chaque mois, avec une durée de vie moyenne comprise entre trois et cinq jours par site. Ceci équivaut à un total de près de 50 000 nouveaux sites par jour… il n’est donc pas surprenant que l’hameçonnage soit la cause principale des violations de données dans le monde.

Quels sont les types d’hameçonnage ?

Il existe plusieurs types d’arnaques à l’hameçonnage, certaines uniquement possibles par téléphone (hameçonnage vocal, ou « vishing ») ou textos (hameçonnage par texto/SMS, ou « SMSiShing). En ce qui concerne les arnaques à l’hameçonnage en ligne, les cinq types les plus fréquents sont les suivants :

  1. Hameçonnage « Spray and Pray »

Connu sous le nom d’hameçonnage trompeur, le « spray and pray » est la forme la plus ancienne et la plus primitive de l’hameçonnage. Les spécialistes de l’hameçonnage utilisent cette technique pour envoyer un lot de courriels notés « urgent » dans lesquels ils demandent à la victime potentielle de mettre leur mot de passe PayPal à jour ou saisir leurs données personnelles pour toucher un gain de loterie. Ces messages contiennent généralement des liens vers de fausses pages de connexion. Lorsque la victime saisit ses identifiants dans les formulaires falsifiés, ceux-ci sont immédiatement enregistrés sur un serveur situé dans un autre lieu, auquel le pirate a accès.

  1. Spear Phishing

Le « spear phishing » est bien plus sophistiqué que l’hameçonnage par tromperie, pour la simple raison qu’il est personnalisé. Plutôt que d’envoyer un message général, les escrocs ciblent des organismes, groupes ou même individus spécifiques dans le but d’obtenir leurs informations personnelles. Ils recueillent leurs noms, adresses e-mail et autres informations confidentielles sur des réseaux sociaux telles que LinkedIn ou dossiers e-mail piratés.

Ce type d’hameçonnage cible principalement les entreprises et organisations, raison pour laquelle les e-mails d’hameçonnage sont quelque peu différents des e-mails trompeurs. Bien qu’ils soient rédigés sur le même principe, ils contiennent généralement de fausses demandes de renseignement ou factures de partenaires commerciaux. Les spécialistes de l’hameçonnage peuvent prétendre qu’ils ont joint un document important au message et demandent à la victime de le télécharger sur son ordinateur. Une fois le fichier téléchargé, le fichier installe un maliciel qui observe discrètement leur activité et recueille leurs informations personnelles.

  1. CEO Phishing

Le « CEO phishing » est une forme d’escroquerie en ligne très sophistiquée qui peut aussi prendre beaucoup de temps au pirate. Les cybercriminels ciblent les employés des services des ressources humaines ou finance d’une organisation et se font passer soit pour le PDG de la société ou autres cadre supérieur. Ils correspondent avec leur cible et établissent progressivement une relation de confiance.

Au bout de quelques temps, le pirate demande soudainement à sa cible de lui envoyer des informations personnelles concernant les employés ou, plus fréquemment, de transférer des fonds sur un compte défini. Dans la majorité des cas, ils déclarent avoir besoin de ces fonds pour un nouveau contrat et stipulent que le virement est très urgent. Aussi aberrant que cela puisse paraitre, des entreprises situées dans le monde entier ont perdu plus de 5 milliards de dollars suite à des arnaques de type CEO phishing.

  1. Hameçonnage par hébergement de fichier

Les services d’hébergement en ligne tels que Dropbox et Google Drive sont utilisés par de nombreuses personnes pour sauvegarder leurs fichiers et y accéder et les partager facilement. Les pirates spécialistes de l’hameçonnage le savent et tentent de compromettre les identifiants de leurs victimes. Le principe de l’arnaque est très similaire à l’hameçonnage par tromperie utilisant de fausses pages de connexion. Mais au lieu de rechercher quelque chose de spécifique, les pirates recherchent à accéder aux fichiers que leurs victimes ont sauvegardés en ligne pour recueillir toutes les informations importantes qu’ils pourront y trouver.

  1. Hameçonnage par cryptodevise

L’hameçonnage par cryptodevise est une forme de fraude en ligne relativement nouvelle. Pour la mettre en œuvre, les pirates créent de fausses pages de connexion à des sites de cryptodevises. Lorsque les utilisateurs innocents saisissent leurs identifiants sur ces fausses pages, les pirates ont immédiatement accès aux comptes virtuels de leurs victimes et peuvent retirer des fonds en quelques secondes. Une seule attaque par cryptodevise n’a été réalisée à ce jour, mais avec l’essor des cryptodevises, il n’est pas exagéré de penser qu’il y en aura d’autres.

Exemples d’attaques par hameçonnage

Certaines des attaques par hameçonnage les plus destructrices de ces récentes années sont notamment :

  • À la fin de l’année 2014, des pirates ont utilisé des e-mails de « spear phishing » pour collecter les identités Apple d’un certain nombre d’employés de Sony Pictures. Supposant que la majorité des employés utilisaient le même mot de passe sur plusieurs comptes en ligne, les pirates ont utilisé ces identifiants pour se connecter à leurs e-mails professionnels. Mission accomplie, car ils ont réussi à diffuser des milliers d’e-mails personnels et autres documents confidentiels, provoquant un ouragan médiatique à Hollywood.
  • En 2014 et 2015, les pirates ciblent Anthem, un fournisseur d’assurance maladie basé aux États-Unis. Ils avaient utilisé des e-mails d’hameçonnage pour infecter les ordinateurs de cinq employés avec des enregistreurs de frappe, un type de logiciel qui enregistre ce qu’ils tapent sur le clavier. Ceci permit aux escrocs de voler près de 80 millions de dossiers médicaux des serveurs Anthem, qui contenaient tous les numéros de sécurité sociale des patients.
  • En 2017, un groupe de pirates envoie des courriels d’hameçonnage aux employés de trois grandes chaines de restaurant aux États-Unis : Chipotle, Arby’s, et Chili’s. Un maliciel était joint aux courriels. Ce maliciel s’installait discrètement sur les ordinateurs ciblés, et donnaient accès aux réseaux internes des entreprises aux pirates. Les pirates ont utilisé ce logiciel pour voler plus de 15 millions de dossiers de carte de crédit des clients de ces trois chaines.

Comment vous protéger contre l’hameçonnage

Comme avec tous les autres types de cybermenaces, la meilleure manière de rester en sécurité est d’adopter des habitudes de navigation en ligne responsable et d’utiliser le meilleur logiciel antivirus. De bonnes habitudes en ligne sont particulièrement importantes car certains types de courriels d’hameçonnage sont capables de voler vos données tout en contournant votre logiciel de cybersécurité.

Ne divulguez jamais d’informations personnelles telles que les coordonnées de votre carte de crédit, identifiants de connexion ou numéro de sécurité sociale dans des e-mails ou sur des messageries instantanées. Si votre e-mail, votre banque en ligne, portemonnaie virtuel ou page de e-commerce a l’air différente que d’habitude, vérifiez le texte de la page et cherchez s’il contient des fautes d’orthographe ou erreurs de grammaire, signes typiques d’un site falsifié. Cherchez toujours le préfix « https » dans la barre d’adresse ainsi que le dessin d’un cadenas, preuves que les informations que vous saisissez sont sécurisées.

N’ouvrez jamais d’e-mails envoyés depuis des adresses qui vous sont inconnues, ni ne cliquez sur des liens ou pièces jointes qu’ils pourraient contenir, ce qui pourrait installer un logiciel espion sur votre ordinateur et donner accès à vos informations personnelles aux pirates. Heureusement, le meilleur logiciel antivirus sera capable de détecter immédiatement tout maliciel présent sur votre ordinateur et le supprimer de votre disque dur. Ces programmes examinent aussi les certificats de sécurité de toutes les adresses sur lesquelles vous vous rendez et vous empêchent d’accéder aux sites d’hameçonnage.

Sources (en anglais)

 

Êtes-vous protégé?

Avec des millions de courriels d’hameçonnage envoyés à des et des milliers de nouveaux sites d’hameçonnage créés chaque jour, vous ne devez pas prendre votre sécurité en ligne à la légère.