Le phishing (ou hameçonnage) est une cyberattaque qui consiste à contacter une ou des cibles par email, téléphone ou texto en se faisant passer pour une institution ou une administration dans le but de vous soutirer des données sensibles comme vos informations personnelles, vos coordonnées bancaires et vos mots de passe.
Les informations sont ensuite utilisées pour accéder à des comptes importants et peuvent entraîner un vol d’identité et d’argent.
Le premier procès pour phishing a été intenté en 2004 contre un adolescent californien qui a créé une imitation du site « America Online ». Grâce à ce faux site, il a pu obtenir des informations sensibles auprès des utilisateurs et accéder aux détails de leur carte de crédit pour retirer de l’argent sur leurs comptes. Il n’existe pas seulement le phishing par email et les sites web, il existe également le « vishing » (phishing par la voix, par téléphone), le « smishing » (phishing par SMS) et plusieurs autres techniques que les pirates inventent constamment.
Comment reconnaître des e-mails d’hameçonnage?
- C’est trop beau pour être vrai ! Les offres qui vous disent que vous avez gagné de l’argent, les accroches sensationnelles ou attirantes sont conçues pour attirer votre attention immédiatement. Par exemple, on vous dit que vous avez gagné un Iphone, ou de l’argent à un concours ou un prix somptueux. Ne cliquez surtout pas sur ces emails suspects, car si c’est trop beau pour être vrai, c’est que c’est probablement le cas!
- Créer un sentiment d’urgence : une des tactiques favorites des pirates informatiques consiste à vous demander d’agir rapidement car le cadeau, le gain ou l’offre exceptionnelle ne sont valables que dans un temps limité. Certains d’entre eux vous diront même que vous n’avez que quelques minutes pour répondre. Lorsque vous recevez ce type d’email, il vaut mieux tout simplement les ignorer. Parfois, ils vous diront que votre compte sera suspendu si vous ne mettez pas à jour vos informations personnelles immédiatement. Sachez que les véritables institutions laissent du temps le faire, et ne vous demandent jamais de mettre à jour vos informations personnelles via internet. En cas de doute, allez directement vous renseigner à la source plutôt que de cliquer sur le lien dans l’email.
- Les hyperliens : un lien peut ne pas être du tout ce qu’il a l’air d’être. En survolant le lien, vous pouvez voir le vrai URL sur lequel vous serez dirigé en cliquant dessus. Cela peut être un site complètement différent ou un site très connu avec une faute de frappe : www.banqueofanerica.com par exemple, où le « m » a été remplacé par un « n ». Regardez toujours bien attentivement.
- Les pièces jointes : n’ouvrez jamais une pièce jointe provenant d’un email que vous ne vous attendiez pas à recevoir ou qui n’a pas de sens. Elles contiennent souvent des rançongiciels ou autres virus. Le seul type de fichier sur lequel vous pouvez toujours cliquer est le fichier.txt
- Un expéditeur inhabituel : si l’email vient de quelqu’un que vous ne connaissez pas, ou même d’une personne que vous connaissez, si quelque chose vous parait inhabituel, inattendu ou tout simplement suspect, ne cliquez pas dessus!
Comment les prévenir et s’en protéger?
Même si les pirates ont beaucoup d’imagination pour inventer de nouvelles techniques d’hameçonnage, il y a tout de même quelques astuces pour vous protéger vous et vos sites.
- Pour vous protéger contre les spams, vous pouvez déjà utiliser des filtres anti-spam. Pour déterminer s’il s’agit d’un spam, ces filtres évaluent généralement l’origine du message, le logiciel utilisé pour l’envoyer et son aspect. Ils ne sont pas toujours précis à 100%, car ils peuvent aussi bloquer les emails provenant de sources sûres.
- Les paramètres du navigateur doivent être modifiés pour empêcher l’ouverture de sites web frauduleux. Le navigateur détient une liste de faux sites, et bloque leur accès lorsque vous essayez de vous y connecter ou vous envoie un message d’alerte. Les paramètres du navigateur ne doivent autoriser que des sites web fiables à ouvrir.
- De nombreux sites Web exigent que les utilisateurs se connectent avec un mot de passe lorsque l’image de l’utilisateur est affichée. Ce type de système peut être vulnérable aux attaques de piratage. Le bon moyen de garantir sa sécurité est de modifier les mots de passe régulièrement et de ne jamais utiliser le même mot de passe sur plusieurs comptes. Il est aussi judicieux que les sites web utilisent un CAPTCHA pour encore plus de sécurité.
- Les banques et les organismes financiers utilisent des systèmes de surveillance pour empêcher l’hameçonnage. Les particuliers peuvent signaler un phishing aux groupes industriels, qui peuvent poursuivre en justice ces sites web frauduleux. Les organisations devraient former et sensibiliser leurs employés au domaine de la sécurité pour reconnaitre les risques.
- Pour empêcher le phishing, les habitudes de navigation doivent changer. Si une vérification est demandée, contactez toujours l’entreprise personnellement avant de saisir des détails en ligne.
- S’il y a un lien dans un email, passez d’abord votre souris sur l’URL. Les sites web sécurisés avec un certificat SSL (Secure Socket Layer) valide commencent par « https ». A la longue, tous les sites devront avoir un SSL valide.
En règle générale, les emails envoyés par un cybercriminel sont masqués et semblent donc être envoyés par une entreprise dont les services sont utilisés par le destinataire. Une banque ne vous demandera pas d’informations personnelles par e-mail ou ne vous menacera pas de suspendre votre compte si vous ne mettez pas à jour vos informations personnelles dans un délai donné.
La plupart des banques et des institutions financières fournissent également un numéro de compte ou d’autres informations personnelles dans le courrier électronique, ce qui garantit qu’elles proviennent d’une source fiable.
En résumé, voici les 6 attaques d’hameçonnage les plus courantes et les moyens de s’en protéger
Pour la conférence RSA de cette année, Tripwire a mené une enquête auprès de 200 professionnels de la sécurité à qui il a été demandé de se prononcer sur l’état des attaques d’hameçonnage.
Plus de la moitié (58%) des personnes interrogées ont déclaré que leurs attaques de phishing avaient augmenté au cours de l’année. Malgré cette augmentation, la plupart des entreprises ne se sentent pas préparées à de telles attaques. En effet, une petite majorité (52%) a déclaré ne pas croire en la capacité de leurs dirigeants à détecter une arnaque par hameçonnage.
L’augmentation des attaques de phishing, tant en termes de fréquence et que d’originalité, comme l’a noté Verizon dans son rapport de 2016 sur les enquêtes sur les violations de données, constitue une menace importante pour toutes les organisations. Il est primordial que toutes les entreprises sachent repérer les arnaques de phishing les plus courantes si elles veulent protéger leurs informations d’entreprise.
Voici donc les 6 attaques de phishing les plus courantes, et comment s’en protéger:
1- Le phishing déceptif ou phishing trompeur
C’est le type d’hameçonnage le plus courant. Il consiste à usurper l’identité d’une entreprise ayant pignon sur rue pour voler des identifiants de connexion ou des informations personnelles. Ces emails utilisent fréquemment des menaces et créent un sentiment d’urgence pour effrayer l’utilisateur et vite le persuader d’agir. (voir plus haut)
Par exemple, un faux site Paypal peut envoyer un email en phishing incitant à cliquer sur le lien afin de corriger une erreur sur leur compte. En réalité, le lien mène à un faux site Paypal qui leur vole leurs identifiants de connexion.
Le succès de ce type d’hameçonnage dépend de la ressemblance de l’email avec l’original. En conséquence, l’utilisateur doit inspecter soigneusement toutes les URL pour voir si elles redirigent vers un site inconnu. Ils doivent également chercher les formules de politesse, les fautes de grammaire et les fautes d’orthographe éparpillées dans l’email.
2- Le « spear » phishing ou hameçonnage personnalisé
Certaines attaques par hameçonnage ne manquent pas de personnalisation, et certains utilise cette technique lourdement.
Par exemple, les pirates personnalisent leurs emails d’attaque avec le nom, le lieu, la société, le numéro de téléphone pro et beaucoup d’autres informations de leur cible pour amener à croire au destinataire qu’il est en relation avec l’expéditeur. L’objectif est le même que celui du phishing trompeur : inciter la victime à cliquer sur une URL ou une pièce jointe d’email malveillant pour lui voler ses données personnelles.
Ce genre d’hameçonnage est très courant sur les réseaux sociaux comme LinkedIn où il est aisé pour les pirates de recueillir toutes sortes d’informations pour créer leurs emails ciblés frauduleux. Pour s’en protéger, les organisations doivent suivre une formation continue de sensibilisation à la sécurité qui dissuaderont les utilisateurs de publier des informations personnelles ou de leur entreprise sur les réseaux sociaux. Les entreprises, quant à elles, doivent investir dans des solutions capables d’analyser les emails entrants malveillants.
3- «L’arnaque au Président»
Les pirates peuvent cibler n’importe qui dans une entreprise, y compris les plus hauts dirigeants. En cas de réussite de leur attaque, ils harponnent le dirigeant et volent leurs identifiants. La deuxième phase de l’arnaque consiste à envoyer des emails frauduleux au nom du dirigeant, et autoriser des virements électroniques à l’institution financière de son choix.
Les attaques au Président fonctionnent parce que les dirigeants ne participent pas souvent à la formation de sensibilisation à la sécurité avec leurs employés. Pour contrer cette menace, tous les membres du personnel de l’entreprise, y compris les dirigeants, devraient suivre une formation continue de sensibilisation à la sécurité.
Les organisations devraient également envisager de modifier leurs politiques financières afin que personne ne puisse autoriser une transaction financière par email.
4- Le dévoiement ou Pharming
Alors que les utilisateurs sont de plus en plus avertis des escroqueries par hameçonnage traditionnelles, certains fraudeurs abandonnent l’idée de « piéger » complètement leurs victimes. Au lieu de cela, ils ont recours au pharming – une méthode d’attaque qui découle de l’empoisonnement du cache du système de noms de domaine (DNS).
Le système de nommage d’Internet utilise des serveurs DNS pour convertir des noms de domaine, tels que « www.microsoft.com », en adresses IP numériques utilisées pour localiser des services et des appareils.
Dans le cadre d’une attaque d’empoisonnement de cache DNS, le pirate cible un serveur DNS et modifie l’adresse IP associée à un nom de site Web alphabétique. Cela signifie qu’un pirate peut rediriger les utilisateurs vers le site web malveillant de leur choix, même si les victimes ont saisi le nom de site web correct.
Pour se protéger contre les attaques par pharming, les entreprisess doivent encourager les employés à saisir des informations de connexion uniquement sur les sites protégés par HTTPS. Les entreprises doivent également mettre en place des logiciels antivirus sur tous les appareils de l’entreprise et mettre à jour les bases de données virales, ainsi que les mises à niveau de sécurité émises par un fournisseur de services Internet (FAI) de confiance, sur une base régulière.
5- Le Dropbox Phishing
Alors que certains hameçonneurs n’appâtent plus leurs victimes, d’autres ont focalisé leurs attaques d’emails sur une seule entreprise ou un seul service.
Prenez Dropbox, par exemple. Des millions de personnes utilisent Dropbox chaque jour pour sauvegarder, accéder et partager leurs fichiers. Il n’est donc pas étonnant que les pirates tentent de tirer parti de la popularité de la plate-forme en ciblant les utilisateurs avec des emails de phishing.
Une série d’attaques, par exemple, a tenté d’inciter les utilisateurs à saisir leurs identifiants de connexion sur une fausse page de connexion Dropbox elle-même hébergée sur Dropbox.
Pour se protéger contre les attaques de phishing Dropbox, les utilisateurs devraient envisager d’implémenter une vérification en deux étapes (V2E) sur leurs comptes.
6- Le phishing de Google Docs
Les fraudeurs peuvent choisir de cibler Google Drive de la même manière que les utilisateurs de Dropbox.
Plus précisément, lorsque Google Drive prend en charge des documents, des feuilles de calcul, des présentations, des photos et même des sites web entiers, les pirates peuvent abuser du service pour créer une page web reproduisant l’écran de connexion du compte Google et collecter les codes d’accès.
C’est ce qu’a fait un groupe de pirates en juillet 2015. Pour compliquer les choses, Google a non seulement hébergé sans le savoir cette fausse page de connexion, mais un certificat Google SSL a également protégé la page par une connexion sécurisée.
Une fois encore, les utilisateurs devraient envisager d’activer la vérification en deux étapes V2E pour se protéger contre ce type de menace. Ils peuvent activer la fonctionnalité de sécurité via la messagerie SMS ou l’application Google Authenticator.
CONCLUSION
En suivant ces quelques conseils, les entreprises seront en mesure de détecter plus rapidement les attaques de phishing les plus courantes. Mais cela ne signifie pas qu’ils seront en mesure de toutes les repérer. Malheureusement, le phishing innove constamment pour adopter de nouvelles formes et techniques d’arnaques.
Sachant cela, il est impératif que les entreprises organisent régulièrement des formations de sensibilisation à la sécurité pour que leurs employés et leurs dirigeants restent au courant des nouvelles formes d’attaques de phishing.