Qu’est-ce qu’une attaque de phishing ?
Le phishing est un type de cyberattaque qui utilise des e-mails, des SMS, le téléphone ou les réseaux sociaux pour inciter une victime à partager des informations sensibles, comme des mots de passe ou des numéros de compte, ou à télécharger un fichier malveillant qui installera un virus sur son ordinateur ou son téléphone.
Le phishing est un phénomène très répandu. D’après une étude d’Accenture, 60 % des Américains déclarent qu’ils, ou un membre de leur famille, ont déjà été victime d’une attaque de phishing, et 15 % sont ciblés plusieurs fois par an. Le nombre d’attaques de phishing a également augmenté aux États-Unis, affichant une croissance de 65 % l’année passée.
Caractéristiques d’une attaque de phishing
De par leurs caractéristiques, les messages de phishing sont facilement reconnaissables. Ils comportent généralement un ou plusieurs des indicateurs suivants :
- Sollicitation d’informations sensibles
- Utilisation d’un domaine différent
- Présence de liens dont le nom de domaine ne correspond pas au domaine légitime
- Pièces jointes non sollicitées
- Message non personnalisé
- Présence de fautes d’orthographe et de grammaire
- Volonté d’induire un sentiment de panique chez le destinataire
Lire l’article > 7 Telltale Signs of a Phishing Email
Types d’attaques de phishing
1. Email Phishing
Harponnage (« spear phishing »)
Le harponnage, ou spear phishing, est une tentative de phishing ciblant une personne ou un groupe de personnes en particulier. Par exemple, le groupe de cyberadversaires appelé Helix Kitten est connu pour rechercher des profils types au sein de secteurs spécifiques pour en apprendre davantage sur leurs centres d’intérêt et ensuite élaborer des messages de phishing qui aiguiseront l’attrait ou la curiosité de ces personnes. Les victimes peuvent être ciblées dans le but d’atteindre une cible de plus grande valeur. Par exemple, un spécialiste financier de niveau moyen peut être ciblé, car sa liste de contacts contient les adresses e-mail de directeurs financiers ayant un accès plus étendu à des informations sensibles. Ces responsables de niveau supérieur peuvent alors être ciblés lors de la phase suivante de l’attaque.
Whaling
Le whaling, également connu sous le nom d’attaque BEC (piratage de la messagerie en entreprise), est une forme de harponnage ou spear phishing ciblant une victime de haut rang, telle qu’un PDG ou un directeur financier. Les attaques de whaling induisent généralement un sentiment d’urgence afin de mettre la pression sur la victime. Le but est d’amener celle-ci à virer des fonds ou à partager des identifiants sur un site web malveillant.
2. SMiShing
Le SMiShing (phishing par SMS) est une campagne de phishing menée à l’aide de SMS plutôt que par e-mail. Les attaques de SMiShing ne conduisent pas directement au téléchargement d’un virus. Elles incitent plutôt le destinataire à visiter un site l’invitant à télécharger des applications ou contenus malveillants.
3. Vishing
Le vishing (phishing vocal) est une attaque de phishing menée par téléphone. Ce type d’attaque peut recourir à un faux profil d’appelant usurpant l’identité d’une entreprise, d’une agence gouvernementale ou d’une organisation caritative légitime. L’appel vise à obtenir des informations personnelles, comme des numéros de compte bancaire ou de carte de crédit.
See Crowdstrike Falcon In Action
Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerQue se passe-t-il lorsque vous ouvrez un email de phishing ?
En règle générale, la simple lecture de l’e-mail de phishing ne présente aucun danger en soi. Pour déclencher l’activité malveillante, l’utilisateur doit cliquer sur un lien ou télécharger un fichier. Montrez-vous circonspect à l’égard de toute communication que vous recevez et gardez à l’esprit que bien que les attaques de phishing soient généralement perpétrées par e-mail, elles peuvent aussi passer par des téléphones mobiles, des SMS et des réseaux sociaux.
Que se passe-t-il lorsque vous cliquez sur un lien de phishing sur votre téléphone ?
Un téléphone est une sorte de petit ordinateur et, comme tout poste de bureau, il peut être infecté par un virus si vous cliquez sur un lien malveillant. Cependant, la plupart du temps, les liens malveillants ne téléchargent pas directement de virus sur le téléphone. Ils dirigent plutôt l’utilisateur vers un site web ou une boutique d’applications, et l’utilisateur est alors encouragé à télécharger un contenu malveillant.
Avant de télécharger une application, consultez les avis concernant sa qualité et le nombre de téléchargements, connectez-vous uniquement à des appareils de confiance et traitez tout message entrant avec les mêmes précautions qu’un e-mail arrivant dans la boîte de réception de votre ordinateur.
Prévention du phishing
Fort heureusement, il est de plus en plus facile de bloquer les e-mails de phishing avant qu’ils ne soient remis en boîte de réception. Et s’ils y parviennent malgré tout, nous sommes bien plus au fait des signes courants du phishing auxquels prêter attention.
Néanmoins, il reste important de pouvoir les identifier et les supprimer en cas de besoin. Nous recommandons dès lors aux entreprises d’expliquer à leurs collaborateurs les caractéristiques habituelles des e-mails de phishing, voire de tester leur compréhension en les soumettant à des simulations d’attaques de phishing.
Par ailleurs, même si vous pensez pouvoir facilement reconnaître un e-mail de phishing, veillez à appliquer en parallèle les mesures de sécurité suivantes :
Utilisez un logiciel antivirus : les outils antimalware analysent les appareils afin de prévenir, de détecter et de supprimer les logiciels malveillants qui infiltrent le système par le biais d’attaques de phishing.
Utilisez un filtre antispam : les filtres antispam utilisent des listes noires prédéfinies établies par des chercheurs en sécurité avertis afin de déplacer automatiquement les e-mails de phishing vers votre dossier spam et ainsi prévenir toute erreur humaine.
Utilisez un navigateur et des logiciels à jour : assurez-vous de toujours utiliser la dernière version de votre système ou navigateur, quel qu’il soit. Face aux nouvelles attaques innovantes lancées chaque jour, il est essentiel que les entreprises appliquent les correctifs et mettent à jour leurs solutions en continu pour renforcer leurs défenses contre les attaques de phishing.
Ne répondez jamais à un spam : en répondant à un e-mail de phishing, vous informez les cybercriminels que votre adresse est active. Ceux-ci peuvent alors mettre votre adresse en haut de leurs listes prioritaires et vous cibler à nouveau rapidement.
Comment signaler une attaque de phishing ?
Il est impossible pour les utilisateurs d’éviter les attaques de phishing, mais ils peuvent s’en protéger et contribuer à limiter leur impact en signalant tout e-mail de phishing qu’ils identifient. Soyez un « internaute modèle » et signalez toute attaque de phishing à l’adresse : [email protected].