Qu'est-ce que l'hameçonnage ?

Qu'est-ce que l'hameçonnage ?

Le phishing (de l'anglais fishing - fishing) est un acte illégal commis dans le but d'obliger une personne à partager ses informations confidentielles, comme un mot de passe ou un numéro de carte bancaire. Comme les pêcheurs réguliers qui utilisent de nombreuses méthodes pour attraper du poisson, les hameçonneurs rusés utilisent également un certain nombre de méthodes pour "accrocher" leur proie, mais une tactique de phishing est la plus courante. La victime reçoit un e-mail ou un SMS qui se fait passer pour une personne ou une organisation en qui elle a confiance, comme un collègue de travail, un employé de banque ou un représentant d'un organisme gouvernemental. Lorsqu'un destinataire sans méfiance ouvre cet e-mail ou ce message, il découvre un texte intimidant, délibérément conçu pour submerger le bon sens et instiller la peur. Le texte oblige la victime à se rendre sur le site Web et à prendre immédiatement certaines mesures afin d'éviter tout danger ou toute conséquence grave. 

Si l'utilisateur « prend l'appât » et suit le lien, il accède alors à un site Web qui imite l'une ou l'autre des ressources Internet légitimes. Ce site Web demande à l'utilisateur de "se connecter" en utilisant son nom de compte et son mot de passe. S'il est suffisamment crédule et accepte, les données saisies vont directement aux attaquants, qui les utilisent ensuite pour voler des informations confidentielles ou de l'argent sur des comptes bancaires ; en outre, ils peuvent vendre les données personnelles obtenues sur le marché noir.

"Le phishing est la forme de cyberattaque la plus simple, mais l'une des plus dangereuses et des plus efficaces."

Contrairement aux autres menaces trouvées sur Internet, le phishing ne nécessite pas de connaissances techniques approfondies. Adam Kuyawa, directeur de Malwarebytes Labs, a déclaré : « Le phishing est la forme de cyberattaque la plus simple, mais l'une des plus dangereuses et des plus efficaces. Cela se produit parce que l'objet de l'attaque est l'ordinateur le plus puissant, mais en même temps le plus vulnérable au monde - l'esprit humain. Les escrocs par hameçonnage n'essaient pas de profiter des vulnérabilités techniques du système d'exploitation de l'appareil, ils recourent aux méthodes dites d'ingénierie sociale. De Windows et iPhone à Mac et Android, aucun système d'exploitation n'est entièrement protégé contre le phishing, quelle que soit la puissance de ses outils antivirus. En fait, les attaquants ont souvent recours au phishing, car ne trouve aucune vulnérabilité technique. Pourquoi perdre du temps à casser une sécurité en couches lorsque vous pouvez inciter un utilisateur à révéler volontairement ses données ? Dans la plupart des cas, le maillon le plus faible de la sécurité d'un système n'est pas un bug profondément enfoui dans le code, mais l'utilisateur lui-même, qui ne fait pas attention à l'expéditeur du prochain e-mail.

Histoire du phishing

L'origine du terme "hameçonnage" est assez facile à retracer. Une attaque de phishing est à bien des égards similaire à la pêche régulière. Vous devez d'abord obtenir un appât qui peut induire la victime en erreur, puis lancer l'appât et attendre que le «poisson» commence à picorer. En anglais, la combinaison des mots "fishing" (pêche) et "phony" (tromperie) a conduit au remplacement de la lettre "f" par le digraphe "ph", en conséquence, le terme désignant les activités malveillantes sur l'Internet a acquis l'orthographe "phishing". Cependant, certaines sources indiquent que son origine peut être quelque peu différente.

Dans les années 1970, une sous-culture s'est développée qui utilisait une gamme de méthodes low-tech pour pirater les réseaux téléphoniques. Ces premiers hackers étaient appelés "phreaks" (phreakers), qui est une combinaison des mots "phone" (téléphone) et "freak" (fraudeur). À cette époque, le nombre d'ordinateurs connectés au réseau était faible, le but du phreaking était donc de passer des appels internationaux gratuits ou des appels vers des numéros non répertoriés dans les annuaires téléphoniques.

"Le phishing est la forme de cyberattaque la plus simple, mais l'une des plus dangereuses et des plus efficaces."

Avant même que le terme "phishing" ne soit fermement établi, les méthodes de phishing étaient décrites en détail dans un rapport et une présentation préparés en 1987 par Interex (International HP Users Group).

L'utilisation du terme commence au milieu des années 1990, et sa première mention est attribuée au célèbre spammeur et hacker Khan C Smith. De plus, le premier cas de mention publique du terme "hameçonnage" a survécu sur Internet. C'est arrivé le 2 janvier 1996 sur Usenet, sur le newsgroup AOHell. À cette époque, America Online (AOL) était le plus grand fournisseur de services Internet, desservant des millions de connexions par jour.

Bien sûr, la popularité d'AOL en a certainement fait une cible pour les escrocs. Les pirates et les distributeurs de programmes piratés ont utilisé ses ressources pour échanger des messages, ainsi que pour mener des attaques de phishing sur les ordinateurs d'utilisateurs respectueux des lois. Quand AOL est intervenu et a fermé le groupe AOHell, les attaquants ont adopté d'autres méthodes. Ils ont envoyé des messages aux utilisateurs d'AOL se faisant passer pour des employés d'AOL et demandant aux utilisateurs de vérifier les informations de leur compte ou de leur donner leurs détails de paiement. Finalement, le problème s'est tellement aggravé qu'AOL a commencé à ajouter des avertissements à chaque e-mail, indiquant spécifiquement qu'aucun employé d'AOL ne demanderait le mot de passe ou les détails de paiement d'un utilisateur.

"Les médias sociaux deviennent une cible privilégiée pour les attaques de phishing."

Avec l'avènement des années 2000, les escrocs par hameçonnage ont commencé à porter leur attention sur les vulnérabilités des systèmes de paiement électronique. Les clients des banques et des systèmes de paiement sont devenus de plus en plus victimes d'hameçonnage et, dans certains cas, comme l'ont montré des enquêtes ultérieures, les attaquants ont même pu non seulement identifier avec précision leurs victimes, mais aussi savoir quelle banque ils utilisaient. Les réseaux sociaux sont également devenus l'une des principales cibles du phishing en raison de leur attrait pour les escrocs : les informations personnelles publiées sur les réseaux sociaux sont un excellent outil d'usurpation d'identité.

Les cybercriminels ont enregistré des dizaines de domaines qui imitaient des ressources telles qu'eBay et PayPal avec tant de grâce que de nombreux utilisateurs peu attentifs n'ont tout simplement pas remarqué la substitution. Les clients de PayPal ont reçu des e-mails de phishing (avec des liens vers un faux site Web) leur demandant de mettre à jour leur numéro de carte de crédit et d'autres informations personnelles. En septembre 2003, le magazine The Banker (détenu par The Financial Times Ltd.) a rendu compte de la première attaque de phishing contre la banque.

Ne manquez pas:  Meilleurs services de livraison de nourriture : comment commander de la nourriture en ligne cette semaine

Au milieu des années 2000, il était possible de commander des logiciels malveillants de phishing clés en main sur le marché noir. Dans le même temps, les pirates ont commencé à coordonner leurs actions afin d'organiser des attaques de phishing de plus en plus sophistiquées. Il est difficile d'estimer même les pertes approximatives des attaques de phishing réussies : selon un rapport de 2007 de Gartner, entre août 2006 et août 2007, environ 3,6 millions d'utilisateurs adultes ont perdu 3,2 milliards de dollars.

"En 2013, 110 millions de relevés de cartes de crédit et d'informations d'identification appartenant aux clients de Target ont été volés."

En 2011, des escrocs de phishing auraient même trouvé des sponsors gouvernementaux lorsque les autorités chinoises ont lancé une prétendue campagne de phishing ciblant des comptes Gmail appartenant à des hauts fonctionnaires et à l'armée aux États-Unis et en Corée du Sud, ainsi qu'à des militants politiques chinois.

L'attaque de phishing la plus célèbre a peut-être eu lieu en 2013, lorsque 110 millions de relevés de cartes de crédit et d'informations d'identification appartenant aux clients de détail de Target ont été volés. Le coupable était un compte compromis d'un sous-traitant.

Encore plus tristement célèbre, une attaque de phishing lancée au premier trimestre 2016 par le groupe de hackers Fancy Bear (dont les activités sont associées aux services spéciaux russes et au renseignement militaire). Cette attaque visait les adresses e-mail du Comité national démocrate américain. En particulier, John Podesta, le directeur de campagne d'Hillary Clinton pour l'élection présidentielle de 2016, a déclaré que les attaquants avaient piraté son compte Gmail et volé sa correspondance parce qu'il était tombé dans le piège de la plus ancienne astuce frauduleuse : il avait reçu un e-mail de phishing avertissant que le mot de passe du compte avait été compromis. (vous devez donc "cliquer ici" pour le modifier).

En 2017, une attaque de phishing massive sur Google et Facebook a été lancée, obligeant les services comptables de ces sociétés à transférer plus de 100 millions de dollars au total sur les comptes bancaires étrangers des pirates.

Types d'attaques de phishing

Malgré de nombreuses variantes, une caractéristique commune à toutes les attaques de phishing est l'utilisation de faux afin de s'approprier certaines valeurs. Voici quelques-unes des principales catégories :

hameçonnage

Alors que la plupart des campagnes de phishing impliquent l'envoi massif d'e-mails à autant d'utilisateurs que possible, le spear phishing est ciblé. De cette manière, les attaquants attaquent un individu ou une organisation spécifique, en utilisant souvent un contenu personnalisé qui, selon eux, aura le plus grand impact sur la victime. Pour mener à bien une telle attaque, il est nécessaire de procéder à une préparation approfondie afin de connaître les noms, postes, adresses e-mail et autres informations connexes. Les hackers bouleversent tout Internet en comparant ces informations à toutes les informations disponibles sur les relations professionnelles de la victime : ils s'intéressent par exemple au nom des collègues et à leurs responsabilités dans l'organisation concernée. Ayant obtenu toutes ces données, les malfaiteurs font la lettre plausible.

En particulier, une attaque de phishing peut cibler un employé dont les tâches incluent l'autorisation de paiements. Les pirates lui envoient une lettre prétendant provenir d'un haut responsable de l'organisation, lui ordonnant d'effectuer un paiement important en faveur de cette personne ou en faveur du fournisseur de l'entreprise (cependant, le lien malveillant joint ne conduit pas au système de paiement, mais à un site Web pirate).

Le spear phishing représente un risque important pour les entreprises (et les gouvernements) car il peut entraîner des pertes importantes. Selon un rapport de 2016 d'une étude multi-entreprises sur la question, le spear phishing représentait 38 % des cyberattaques subies en 2015. Pour les entreprises aux États-Unis qui ont été victimes de harponnage, les dommages moyens étaient de 1,8 million de dollars par attaque réussie.

"Un e-mail de phishing verbeux d'un inconnu prétendant être un prince nigérian est l'une des manifestations les plus anciennes et les plus durables de telles attaques."

Cloner l'hameçonnage

Ce type d'attaque implique que les attaquants copient (clonent) un message légitime précédemment livré qui contient un lien ou une pièce jointe. L'escroc modifie ensuite les liens ou les fichiers joints en objets malveillants se faisant passer pour de vrais. Les utilisateurs peu méfiants cliquent sur un lien ou ouvrent une pièce jointe, ce qui est souvent suffisant pour que les pirates prennent le contrôle de l'ordinateur. Les attaquants peuvent alors se faire passer pour des expéditeurs de confiance et envoyer des e-mails similaires au nom de la victime à d'autres utilisateurs au sein de la même organisation.

Arnaque 419/Lettres nigérianes

Un e-mail de phishing verbeux d'une personne inconnue prétendant être un prince nigérian est l'une des manifestations les plus anciennes et les plus durables de ces attaques. Wendy Zamora, directrice du contenu chez Malwarebytes Labs, a déclaré : « Il n'est pas rare qu'un e-mail de phishing provienne d'un prince nigérian prétendant être un employé du gouvernement ou un membre de la famille royale et a un besoin urgent d'aide pour transférer plusieurs millions de dollars hors de Nigeria. Généralement, un tel e-mail est marqué comme urgent ou privé, et son expéditeur demande un numéro de compte bancaire sur lequel il pourrait transférer de l'argent en lieu sûr.

Parfois, les lettres nigérianes classiques prennent un contenu plutôt amusant. Par exemple, en 2016, le site britannique Anorak rapportait que sa rédaction avait reçu un mail d'un certain Dr Bakare Tunde, qui se présentait comme un chef de projet astronautique travaillant pour la Nigerian National Space Agency. Le Dr Tunde a affirmé que son cousin, le major de l'air Abaka Tunde, était sur l'ancienne station spatiale soviétique depuis plus de 25 ans. Mais pour seulement 3 millions de dollars, les dirigeants de Roscosmos Corporation ont accepté d'organiser un vol d'un vaisseau spatial habité et de ramener un cosmonaute nigérian sur Terre. Le destinataire d'une telle lettre n'était tenu "que" de fournir les coordonnées de son compte bancaire afin que les spécialistes nigérians puissent transférer la somme nécessaire à leurs collègues russes. En récompense, le Dr Tunde a promis de payer 600 000 $.

Ne manquez pas:  Je suis trop émotif : bon ou mauvais ? Peut-on faire quelque chose à ce sujet?

Au hasard, cette attaque de phishing est également connue sous le nom de "arnaque 419". Ce numéro correspond au numéro d'article du code pénal nigérian qui réprime la fraude.

Hameçonnage téléphonique

Les attaques de phishing peuvent avoir lieu à l'aide d'un téléphone ordinaire, auquel cas elles sont parfois appelées phishing vocal ou "vishing": l'escroc appelle sa victime et se fait passer pour un employé d'une banque locale, de la police ou du bureau des impôts. Il intimide ensuite la victime en signalant un problème et en insistant sur le fait qu'il doit être résolu immédiatement, et pour cela, vous devez lui donner des coordonnées bancaires ou payer une amende. En règle générale, les escrocs vous demandent de transférer de l'argent par virement bancaire ou à l'aide d'une carte prépayée afin qu'ils ne puissent pas être retrouvés.

Le SMS phishing (ou « smishing ») est le jumeau maléfique du vishing, réalisant les mêmes escroqueries, mais uniquement via des messages SMS (en y ajoutant parfois des liens malveillants).

"Dans un e-mail, le destinataire trouve une offre qui semble trop belle pour être vraie."

Comment reconnaître une attaque de phishing ?

Reconnaître une attaque de phishing n'est pas toujours facile, mais quelques conseils simples, un peu de discipline et de bon sens vous aideront. Faites attention à tout ce qui semble étrange et inhabituel. Demandez-vous si le contexte du message est suspect. Faites confiance à votre intuition et ne vous laissez pas intimider. Les attaques de phishing utilisent souvent la peur pour étouffer votre capacité à penser correctement.

Voici d'autres signes d'hameçonnage :

Dans un e-mail, le destinataire trouve une offre qui semble trop belle pour être vraie. Cela peut indiquer que vous avez gagné à la loterie, reçu un prix coûteux ou un objet unique.  

  • Vous connaissez l'expéditeur du message, mais c'est une personne avec qui vous ne communiquez pas. Même si vous connaissez le nom de l'expéditeur, mais qu'il n'appartient pas à vos contacts habituels, cela devrait déjà être suspect - surtout si le contenu de la lettre n'a rien à voir avec vos tâches professionnelles habituelles. De même, il convient de considérer si le champ "Cc" indique des destinataires secondaires de la lettre que vous ne connaissez pas du tout, ou un groupe d'employés d'autres parties de votre organisation.
  • Le texte du message inspire la peur. Soyez vigilant si le corps de l'e-mail est menaçant ou dérangeant et tend à créer une atmosphère d'urgence en vous incitant à prendre certaines mesures en urgence, comme cliquer sur un lien, avant que votre compte ne soit bloqué. N'oubliez pas que les organisations responsables ne demandent jamais aux clients de transférer des données personnelles sur Internet.
  • Le message contient des pièces jointes inattendues ou inhabituelles. Ces pièces jointes peuvent contenir des logiciels malveillants, des rançongiciels ou d'autres menaces en ligne.
  • Le message contient des liens qui semblent bizarres. Même si votre intuition n'a pas révélé les signes décrits ci-dessus, vous ne devez toujours pas faire aveuglément confiance aux hyperliens intégrés dans la lettre. Survolez un lien pour voir sa véritable URL. Regardez attentivement pour voir si une orthographe brouillée à peine perceptible d'un site Web bien connu s'est glissée dans l'hyperlien - si c'est le cas, alors c'est un signe clair de contrefaçon. Il est préférable de saisir manuellement l'URL plutôt que de cliquer sur un lien intégré dans le texte.

Voici un exemple d'attaque de phishing qui imite un message du système de paiement PayPal vous demandant de cliquer sur le bouton "Confirmer maintenant". Si vous survolez ce bouton, le navigateur affichera l'URL réelle de la page de destination - elle est marquée d'un rectangle rouge.

Voici une image d'un autre message de phishing se faisant passer pour une notification Amazon. Attention à la menace de fermer le compte s'il n'y a pas de réponse dans les 48 heures.

En cliquant sur le lien, vous accédez à ce formulaire, qui vous propose de fournir les données qui ouvriront la voie aux attaquants pour voler vos objets de valeur.

Comment se protéger du phishing ?

Comme indiqué ci-dessus, le phishing est une menace qui est tout aussi susceptible d'apparaître sur un ordinateur de bureau, un ordinateur portable, une tablette ou un smartphone. La plupart des navigateurs Internet vérifient la fiabilité des liens, mais votre première ligne de défense contre le phishing doit être votre capacité à juger de la situation. Apprenez à reconnaître les signes de phishing et respectez les principes de sécurité de base lorsque vous consultez vos e-mails, lisez vos publications sur Facebook ou jouez à un jeu en ligne.

Notre collègue Adam Kuyava a formulé certaines des règles les plus importantes qui vous aideront à ne pas tomber dans le piège des escrocs :

  • N'ouvrez pas les e-mails d'expéditeurs inconnus.
  • Ne cliquez sur un lien dans un e-mail que si vous savez exactement où il mène.
  • Lorsque vous recevez un e-mail d'un expéditeur douteux, suivez manuellement le lien ci-joint - entrez l'adresse d'un site Web légitime dans la barre d'adresse de votre navigateur à l'aide de votre clavier, cela vous donnera une autre couche de sécurité.
  • Vérifiez les certificats numériques du site Web.
  • Si vous êtes invité à divulguer des données sensibles, assurez-vous que l'URL de la page Web commence par "HTTPS" et pas seulement par "HTTP". La lettre "S" signifie "sécurisé" (sécurisé), c'est-à-dire que la connexion avec cette adresse est sécurisée. Cependant, cela ne garantit pas que le site Web est légitime, mais la plupart des sites Web légitimes utilisent le protocole HTTPS en raison de sa plus grande sécurité. Cependant, même les sites Web légitimes utilisant le protocole HTTP sont vulnérables aux attaques de pirates. 
  • Si vous pensez qu'un e-mail que vous avez reçu a été envoyé par un escroc, entrez le nom de l'expéditeur ou un extrait de texte dans un moteur de recherche et vous verrez s'il y a des attaques de phishing associées à cet e-mail.
  • Passez votre souris sur les liens pour vous assurer qu'ils sont dignes de confiance.

Comme toujours, nous vous recommandons également d'utiliser un programme capable de résister aux logiciels malveillants. La plupart des logiciels de cybersécurité sont capables de détecter les liens et les pièces jointes dangereux masqués, afin que vos informations ne tombent pas entre de mauvaises mains, même si vous ne sentez pas que quelque chose ne va pas à temps.

Toutes les versions premium des produits Malwarebytes offrent une protection fiable contre le phishing. Ils peuvent reconnaître les sites frauduleux, vous empêchant de les ouvrir, même si vous êtes sûr qu'ils sont légitimes.

Alors restez vigilant, soyez prudent et faites attention aux signes d'une éventuelle attaque de phishing.

5/5 - (1 voix)
Translate »