Le phishing, également connu sous le nom de "hameçonnage", est l'une des escroqueries en ligne les plus anciennes et les plus courantes. Ce type d'arnaque peut être définie comme une forme de fraude utilisant des techniques d'ingénierie sociale pour obtenir des informations confidentielles de la victime et s'en servir pour lui extorquer de l'argent par différents biais.
Une attaque de phishing se distingue par trois éléments clés :
- Elle a lieu par voie électronique, généralement par courriel ou par téléphone.
- L'attaquant se fait passer pour une personne ou une organisation de confiance.
- L'objectif principal est de collecter des informations personnelles sensibles telles que les identifiants de connexion, les numéros de carte de crédit, informations relatives à l'identité, etc. Parfois, l'attaquant peu même, via différentes méthodes (remplacement de RIB, arnaque au président), obtenir directement le versement de fonds, sans passer par l'étape de collecte d'informations.
C'est exactement ce caractère trompeur de la manoeuvre qui donne son nom au phishing : les cybercriminels "pêchent" (du verbe "to fish" en anglais) avec des appâts alléchants, "accrochant" ainsi leurs victimes dans les vastes étendues d'Internet, souvent comparé à "l'océan". Le "ph" dans le mot "phishing" vient du terme "phreaking", une activité populaire du milieu du XXe siècle dans laquelle les passionnés expérimentaient les réseaux de télécommunications pour analyser leur fonctionnement.
Spam ou hameçonnage : quelle différence ?
La principale différence entre le spam et le phishing est l'intention de l'auteur. Les spammeurs ne vous veulent pas de mal, ils inondent simplement un grand nombre de boîtes mail de publicités intrusives. En revanche, les attaques de phishing sont conçues pour voler vos données personnelles et les utiliser à votre insu.
Comment fonctionne le hameçonnage ?
Qu'elles soient menées par e-mail, réseaux sociaux, SMS ou tout autre support, les attaques de phishing fonctionnent toutes sur les mêmes principes : les attaquants envoient des messages ciblés et convainquants, conçus pour amener les victimes à cliquer sur des liens frauduleux, à télécharger des pièces jointes corrompues, à envoyer des informations sensibles ou même à effectuer des paiements. L'ampleur et la gravité des conséquences dépendent beaucoup de l'étendue de l'imagination du hameçonneur et de la quantité / qualité des informations qu'il a recueillies au préalable. Or, de nos jours, les réseaux sociaux constituent une mine d'or pour les hameçonneurs, qui peuvent adapter la nature de leurs attaques selon les sujets les plus susceptibles de toucher et convaincre leurs cibles.
Hameçonnage : quelles conséquences ?
Vol d'identité et extorsion de sommes d'argent plus ou moins conséquentes sont les conséquences les plus fréquentes de ces arnaques, mais ce ne sont pas les seules. L'espionnage d'entreprise ou le vol de données peuvent également en faire partie.
Des attaques menées par des biais variés :
De nos jours, les pirates font preuve d'une imagination débordante, et ont imaginé les méthodes de hameçonnage suivantes :
- Par email : il s'agit là du biais le plus courant. Les emails de phishing renvoient souvent vers des sites malveillants, ou vous incitent à ouvrir des pièces jointes contenant des virus capables de chiffrer vos données.
- Sur des sites internet frauduleux : le principe est de réaliser des copies de sites internet réels, bien connus et en lesquels vous avez confiance (impôts, assurance maladie, banques, compte formation, etc...). Ces faux sites à l'allure pourtant très officielle ont pour but de vous tromper afin que vous y saisissiez vos identifiants de connexion, que les pirates utiliseront ensuite pour se connecter sous votre identité aux vrais sites internet en question, afin d'y réaliser des actions malveillantes (transferts de fonds, etc).
- Par téléphone (Vishing, pour "phishing vocal") : votre interlocuteur mal intentionné tente de vous convaincre, par téléphone, de lui transmettre des informations personnelles qu'il pourra utiliser ensuite pour usurper votre identité.
- Par SMS (Smishing) : vous recevez un SMS vous incitant à cliquer sur un lien ou à télécharger une application. Sans le savoir, vous téléchargez des logiciels malveillants sur votre device électronique. Ces derniers collecteront vos données personnelles et les enverront au pirate.
- Au moyen des réseaux sociaux : en piratant vos comptes de réseaux sociaux, les pirates peuvent usurper votre identité et envoyer des liens malveillants à votre entourage, leur demander de l'argent en votre nom etc. Créer de faux profils afin de pratiquer le phishing sous de fausses identités est également une pratique répandue.
Les Stratégies les plus courantes :
Grâce à tous les médias mentionnés ci-dessus, les pirates peuvent aujourd'hui mener des attaques alliant de vraies prouesses techniques à des arnaques à l'ancienne. Parmi les pièges les plus courants :
- Problème de paiement ou de facturation : vous recevez un email d'un des sitesles plus utilisés dans le monde (Amazon, Netflix...) vous informant que votre commande ou votre abonnement est suspendu pour un problème de paiement. Ces mails contiennent généralement un lien vous invitant à mettre à jour vos coordonnées de paiement afin de régulariser l'impayé. Les hackers en profitent pour récupérer vos données.
- Amende impayée, convocation gouvernementale : ces emails vous promettent des sanctions menaçantes si vous ne répondez pas à une prétendue obligation gouvernementale. Souvent, un formulaire vous demandant des données personnelles y est associé.
- Erreur de la banque en votre faveur : c'est votre jour de chance, les impôts se sont trompés et veulent vous rembourser de grosses sommes le plus vite possible. Pour cela, il vous suffit de renseigner vos coordonnées bancaires.
- Appel à l’aide : vous recevez un email d'un proche ou d'un parent vous indiquant avoir un besoin urgent d'argent pour des raisons tragiques dont il ne peut vous communiquer tous les détails sur l'instant. Paniqué, vous acceptez de l'aider et lui faites un virement sur le RIB indiqué... qui n'est autre que celui d'un hameçonneur ! Ces arnaques sont malheureusement souvent perpétrées au détriment des personnes âgées.
- Avertissement de votre banque : les pirates tentent de vous amener à "confirmer" vos informations bancaires en vous envoyant un email vous informant d'une tentative de piratage, d'un découvert trop élevé ou autre information intrigante.
- Vous êtes le grand gagnant : quelle chance ! Vous êtes l’heureux gagnant d’un prix incroyable. Tout ce que vous avez à faire, c’est saisir vos informations. C’est ainsi que, durant la Coupe du Monde de Football, des milliers de supporters se sont vu voler leurs informations bancaires en se laissant appâter par de prétendus billets gratuits.
- Menace de fermeture de compte : les pirates sont très friands de l'urgence, pour vous pousser à prendre des (mauvaises) décisions hâtives. Menancer de fermer votre compte si vous n'agissez pas IMMEDIATEMENT est leur grande spécialité.
Comment se protéger des attaques de phishing ?
Utiliser un bon anti-spam ainsi qu'un bon antivirus sont deux des premières mesures que vous pouvez prendre pour vous protéger de ces arnaques. Exercer une vigilance permanente sur le contenu de vos emails et sensibiliser vos collaborateurs aux bonnes pratiques à adopter face à un email suspect sont aussi de bonnes solutions.
Starware IT Services est à votre écoute pour vous aider à identifier et implémenter les solutions qui vous correspondent, ainsi que pour organiser des sessions de sensibilisation en entreprise. N'hésitez pas à nous contacter.