Phishing

Découvrez le phishing, une forme de cybercriminalité dans laquelle des fraudeurs se font passer pour des organisations dignes de confiance. Il peut transformer les communications en ligne en scénarios dangereux aux conséquences graves.

Identity Theft Protection

Qu'est-ce que le phishing ? 

Le phishing est une forme de cybercriminalité dans laquelle des criminels tentent de vous soutirer des informations sensibles par courrier électronique au moyen de liens frauduleux, vous incitant à remplir un formulaire avec vos informations personnelles identifiables. Ils peuvent ensuite utiliser ces informations pour obtenir vos identifiants en ligne pour les profils de médias sociaux, les comptes bancaires et plus encore.

illustration de l'hameçonnage

Comment fonctionne le phishing ?

Le phishing peut se produire par le biais de courriels, d'appels téléphoniques ou de messages textuels. Les escrocs envoient des messages qui semblent réels et urgents, demandant à la personne d'agir. Par exemple, un courriel peut sembler provenir d'une banque digne de confiance et demander à la personne de mettre à jour les informations relatives à son compte pour éviter tout problème. Parce que le message semble urgent et réel, les gens peuvent partager des informations sensibles comme des mots de passe et des numéros de carte de crédit, que les escrocs peuvent ensuite utiliser à mauvais escient.

Se faisant passer pour une entité légitime, l'attaquant attire les victimes sur un faux site web où elles sont persuadées d'entrer des informations confidentielles. Cette façade bien conçue, associée à un sentiment d'urgence, permet à l'escroquerie par hameçonnage de recueillir des données personnelles précieuses, laissant la victime sans méfiance vulnérable à l'usurpation d'identité et à la perte financière.

L'expéditeur : Dans une attaque de phishing, l'expéditeur imite (ou "spoofs") une personne de confiance que le destinataire est susceptible de connaître. Selon le type d'attaque de phishing, il peut s'agir d'une personne, comme un membre de la famille du destinataire, le PDG de l'entreprise pour laquelle il travaille, ou même une personne célèbre qui est censée offrir quelque chose. Souvent, les messages de phishing imitent les courriels de grandes entreprises telles que PayPal, Amazon ou Microsoft, ainsi que de banques ou d'administrations.

Le message : Sous l'apparence d'une personne de confiance, l'attaquant demande au destinataire de cliquer sur un lien, de télécharger une pièce jointe ou d'envoyer de l'argent. Lorsque la victime ouvre le message, elle découvre un message effrayant destiné à l'empêcher de faire preuve de discernement et à l'effrayer. Le message peut exiger que la victime se rende sur un site web et prenne des mesures immédiates sous peine de subir des conséquences.

La destination : Si les utilisateurs mordent à l'hameçon et cliquent sur le lien, ils sont dirigés vers une imitation de site web légitime. De là, on leur demande de se connecter avec leur nom d'utilisateur et leur mot de passe. S'ils sont assez crédules pour s'exécuter, les identifiants de connexion sont transmis au pirate, qui les utilise pour voler des identités, s'emparer de comptes bancaires et vendre des informations personnelles sur le marché noir. L'URL de destination de l'e-mail de phishing ressemble souvent beaucoup à l'URL légitime, ce qui peut tromper davantage la victime.

Comment reconnaître le phishing ?

Les tentatives d'hameçonnage sont des activités frauduleuses au cours desquelles les escrocs utilisent des courriels ou des messages textuels dans le but d'amener des personnes à révéler des informations sensibles telles que des mots de passe, des numéros de compte bancaire ou des numéros de sécurité sociale ( Security ). Il est possible de reconnaître le phishing en étant attentif à certains signaux d'alerte.

En règle générale, les messages de phishing semblent provenir de sources fiables telles que des banques, des sociétés de cartes de crédit ou des plateformes en ligne connues. Ils créent souvent un sentiment d'urgence, suggérant une activité suspecte ou des problèmes sur votre compte, et vous invitant à agir rapidement.

Parmi les indicateurs courants de l'hameçonnage figurent les communications inattendues demandant des informations personnelles ou financières, les adresses électroniques d'expéditeurs inconnus, les messages d'accueil génériques, les fautes d'orthographe et de grammaire et les URL trompeuses. En faisant preuve de prudence et en vérifiant toute communication suspecte directement auprès des institutions concernées avant d'y répondre, les particuliers peuvent mieux se protéger contre les tentatives d'hameçonnage. Nous allons maintenant détailler les signes du phishing et vous aider à les repérer.

Signes d'hameçonnage

Repérer les tentatives d'hameçonnage peut s'avérer difficile, mais avec un peu de vigilance, des règles de base et une dose de bon sens, vous pouvez réduire les risques de manière significative. Recherchez les irrégularités ou les particularités du courriel. Utilisez le "test de l'odeur" pour déterminer si quelque chose ne vous convient pas. Faites confiance à votre instinct, mais n'ayez pas peur, car les escroqueries par hameçonnage exploitent souvent la peur pour altérer votre jugement.

Voici d'autres signes de tentatives d'hameçonnage :

Signe 1 : L'e-mail présente une offre qui semble trop belle pour être vraie.

Il peut prétendre que vous avez touché le jackpot, gagné un prix extravagant ou d'autres récompenses improbables.

Signe 2 : L'expéditeur est reconnaissable, mais il ne s'agit pas d'une personne avec laquelle vous avez l'habitude d'interagir.

Même si vous reconnaissez le nom de l'expéditeur, soyez prudent s'il ne s'agit pas d'une personne avec laquelle vous communiquez régulièrement, en particulier si le contenu du courriel n'a aucun rapport avec vos tâches professionnelles habituelles. De même, méfiez-vous si vous êtes mis en copie conforme d'un courriel envoyé par des personnes que vous ne connaissez pas ou des collègues n'appartenant pas au même service que vous.

Signe 3 : Le message suscite la peur.

Soyez prudent si le courriel utilise un langage chargé ou alarmant pour instiller un sentiment d'urgence, vous incitant à cliquer et à "agir immédiatement" pour éviter que votre compte ne soit résilié. Rappelez-vous que les organisations légitimes ne demandent pas d'informations personnelles par courrier électronique.

Signe 4 : Le message contient des pièces jointes inattendues ou bizarres.

Ces pièces jointes peuvent contenir des malwares, des ransomwares ou d'autres menaces en ligne.

Signe 5 : Le message contient des liens qui semblent douteux.

Même si les indicateurs ci-dessus n'éveillent pas de soupçons, ne faites jamais confiance aveuglément aux liens hypertextes intégrés. Passez votre curseur sur le lien pour afficher l'URL réelle. Soyez particulièrement attentif aux fautes d'orthographe subtiles dans l'URL d'un site web apparemment familier, car il s'agit d'un signal d'alarme pour la tromperie. Il est toujours plus sûr de saisir manuellement l'URL dans votre navigateur plutôt que de cliquer sur le lien intégré.

Qui est visé par le phishing ?

L'hameçonnage est une menace pour tout le monde, ciblant divers individus et secteurs, des cadres d'entreprise aux utilisateurs quotidiens des médias sociaux en passant par les clients des banques en ligne. En raison de l'étendue du phishing, il est essentiel de faire preuve de prudence en ligne et d'adopter des mesures préventives. En étant vigilant et proactif, on peut réduire considérablement le risque d'être victime d'une escroquerie par hameçonnage, ce qui garantit une expérience en ligne plus sûre pour tous.

Comment se protéger contre les attaques de phishing

Comme indiqué précédemment, le phishing est une menace à chances égales, capable d'apparaître sur les ordinateurs de bureau, les ordinateurs portables, les tablettes et les smartphones. La plupart des navigateurs Internet permettent de vérifier si un lien est sûr, mais la première ligne de défense contre le phishing est votre jugement. Entraînez-vous à reconnaître les signes de l'hameçonnage et essayez de pratiquer l'informatique sécurisée lorsque vous consultez votre courrier électronique, lisez des messages sur Facebook ou jouez à votre jeu en ligne préféré.

Malwarebytes Labs a partagé certaines des pratiques clés pour se protéger contre les attaques de phishing :

  1. N'ouvrez pas les courriels provenant d'expéditeurs que vous ne connaissez pas.
  2. Ne cliquez jamais sur un lien contenu dans un e-mail si vous ne savez pas exactement où il mène.
  3. Si l'on vous demande de fournir des informations sensibles, vérifiez que l'URL de la page commence par "HTTPS" et non par "HTTP". Le "S" signifie "sécurisé". Ce n'est pas une garantie qu'un site est légitime, mais la plupart des sites légitimes utilisent HTTPS parce que c'est plus sûr. Les sites HTTP, même légitimes, sont vulnérables aux pirates.
  4. Activez l'authentification multifactorielle (MFA) : Utilisez l'authentification multifactorielle autant que possible pour ajouter une couche de sécurité supplémentaire. Même si des hameçonneurs obtiennent votre mot de passe, ils devront contourner des étapes de vérification supplémentaires pour accéder à votre compte.
  5. Recherchez le certificat numérique d'un site web.
  6. Pour renforcer cette protection, si vous recevez un courrier électronique d'une source dont vous n'êtes pas sûr, accédez manuellement au lien fourni en saisissant l'adresse du site web légitime dans votre navigateur.
  7. Passez la souris sur le lien pour vérifier qu'il s'agit bien d'un lien légitime.
  8. Si vous soupçonnez qu'un courriel n'est pas légitime, prenez un nom ou un texte du message et tapez-le dans un moteur de recherche pour voir s'il existe des attaques de hameçonnage connues utilisant les mêmes méthodes.

Nous recommandons vivement l'utilisation de solutions antivirus/antimalware fiables telles que Malwarebytes Premium pour renforcer votre sécurité numérique. La plupart des outils de cybersécurité modernes, dotés d'algorithmes intelligents, peuvent identifier les liens ou les pièces jointes malveillants, offrant ainsi un bouclier vigilant même contre les tentatives d'hameçonnage astucieuses.

Si une tactique d'hameçonnage vous échappe, notre logiciel de sécurité robuste vous permet de garder le contrôle de vos informations en toute sécurité. Nous offrons une version d'essai gratuite de Malwarebytes, ce qui vous permet d'expérimenter sa protection supérieure avant de l'acheter.

Les différents types d'attaques par hameçonnage

Les attaques par hameçonnage utilisent des méthodes trompeuses pour recueillir illégalement des informations sensibles. Elles se présentent sous différentes formes, chacune ayant ses propres caractéristiques. Voici les méthodes spécifiques utilisées par les auteurs d'attaques de phishing pour tromper leurs cibles :

Spear Phishing

Le spear phishing est une forme ciblée d'hameçonnage dans laquelle les attaquants adaptent leurs messages à des personnes ou des organisations spécifiques, en utilisant des données collectées pour rendre la tromperie plus convaincante. Il nécessite une reconnaissance préalable à l'attaque pour découvrir des noms, des titres de poste, des adresses électroniques, etc.

Les pirates parcourent l'internet pour faire correspondre ces informations avec d'autres recherches sur les collègues de la cible, ainsi qu'avec les noms et les relations professionnelles d'employés clés de leur organisation. À partir de ces informations, l'escroc crée un courrier électronique crédible.

Exemple : Les fraudeurs peuvent se faire passer pour des cadres afin d'inciter les employés à autoriser des paiements frauduleux.

L'hameçonnage des baleines

L'hameçonnage de baleines cible les personnes en vue, telles que les cadres, les célébrités ou les hommes d'affaires de niveau C. Il tente de les inciter à révéler des informations personnelles ou professionnelles. Il tente de les amener à révéler des informations personnelles ou professionnelles.

Il est essentiel de comprendre et d'identifier les différentes formes d'attaques par hameçonnage pour mettre en œuvre des mesures de protection efficaces et garantir la sécurité et l'intégrité des biens personnels et organisationnels.

Hameçonnage par courriel

Couramment observés depuis la création du courrier électronique, les courriels d'hameçonnage sont des courriels trompeurs semblant provenir de sources fiables (banques, détaillants en ligne, etc.) et incitant les destinataires à cliquer sur des liens ou à télécharger des pièces jointes.

Exemples :

  • Compromission par courriel d'entreprise (BEC) : Une attaque de type "business email compromise" (BEC) vise un membre du département financier d'une organisation, souvent le directeur financier, et tente de le tromper pour qu'il envoie de grosses sommes d'argent. Les attaquants utilisent souvent des tactiques d'ingénierie sociale pour convaincre le destinataire que l'envoi d'argent est urgent et nécessaire. 
  • L'hameçonnage par clonage : dans cette attaque, les criminels font une copie - ou un clone - de courriels légitimes envoyés précédemment et contenant un lien ou une pièce jointe. Il remplace ensuite les liens ou les pièces jointes par des substituts malveillants déguisés en véritables objets. Les utilisateurs peu méfiants cliquent sur le lien ou ouvrent la pièce jointe, ce qui permet souvent de réquisitionner leurs systèmes. L'escroc peut ensuite contrefaire l'identité de la victime afin de se faire passer pour un expéditeur de confiance auprès d'autres victimes au sein de la même organisation.
  • Escroqueries 419/Nigérian : Un courriel d'hameçonnage verbeux envoyé par quelqu'un qui prétend être un prince nigérian est l'une des escroqueries les plus anciennes et les plus durables de l'internet. Ce "prince" vous offre de l'argent, mais vous dit que vous devez d'abord lui envoyer une petite somme pour la réclamer, ou bien il dit qu'il a des problèmes et qu'il a besoin de fonds pour les résoudre. Le numéro "419" est associé à cette escroquerie. Il fait référence à la section du code pénal nigérian qui traite de la fraude, des charges et des peines encourues par les contrevenants.

Vishing (hameçonnage vocal)

Les attaquants se font passer pour des figures d'autorité (par exemple, des responsables de banque, des forces de l'ordre) par téléphone afin d'effrayer les personnes pour qu'elles communiquent des informations sensibles ou qu'elles transfèrent des fonds.

Smishing (hameçonnage par SMS)

Semblable au vishing, mais effectué par SMS, le smishing envoie des messages frauduleux incitant les destinataires à cliquer sur des liens malveillants ou à communiquer des informations personnelles.

L'hameçonnage

Tactique trompeuse par laquelle les attaquants créent de fausses personnalités en ligne afin d'attirer des personnes dans des relations amoureuses en vue d'une exploitation monétaire ou d'un accès à des informations personnelles.

Exemples d'attaques par hameçonnage

Voici un exemple de tentative d'hameçonnage qui imite un avis de PayPal, demandant au destinataire de cliquer sur le bouton "Confirmer maintenant". En passant la souris sur le bouton, on découvre la véritable URL de destination dans le rectangle rouge.

Email d'hameçonnage de Paypal

Voici une autre image d'attaque par hameçonnage, qui prétend cette fois-ci provenir d'Amazon. Notez la menace de fermer le compte en l'absence de réponse dans les 48 heures.

Courriel d'hameçonnage d'Amazon

En cliquant sur le lien, vous accédez à ce formulaire, qui vous invite à donner ce dont l'hameçonneur a besoin pour piller vos objets de valeur :

Amazon phishing email-2

Pourquoi le phishing est-il efficace ?

Le phishing est particulièrement efficace parce qu'il exploite la psychologie humaine plutôt que de s'appuyer sur les tactiques techniques du site advanced . Se faisant souvent passer pour des communications urgentes émanant de personnes faisant autorité, les escroqueries par hameçonnage s'appuient sur la confiance et la peur des individus.

Adam Kujawa, anciennement de Malwarebytes Labs , résume la situation : "L'hameçonnage est la cyberattaque la plus simple mais la plus puissante, ciblant principalement l'élément le plus sensible et le plus puissant : l'esprit humain". Le manque de sophistication technique et la possibilité de susciter des réactions immédiates expliquent pourquoi l'hameçonnage reste une menace en ligne répandue et sérieuse.

"Le phishing est la forme la plus simple de cyberattaque, mais aussi la plus dangereuse et la plus efficace.

Les hameçonneurs n'essaient pas d'exploiter une vulnérabilité technique dans le système d'exploitation de votre appareil, ils utilisent l'ingénierie sociale. Qu'il s'agisse de Windows , d'iPhones, de Macs ou d'Androids, aucun système d'exploitation n'est totalement à l'abri du phishing, quel que soit le niveau de sécurité qu'il offre. En fait, les attaquants recourent souvent à l'hameçonnage parce qu'ils ne peuvent pas trouver de failles techniques.

Pourquoi perdre du temps à franchir les différentes couches de sécurité lorsque vous pouvez inciter quelqu'un à vous donner la clé ? Souvent, le maillon faible d'un système de sécurité n'est pas une faille enfouie dans le code informatique, mais un être humain qui ne vérifie pas deux fois l'origine d'un courriel.

Maintenant que nous avons exploré ce qu'est le phishing et comment il fonctionne, regardons où tout a commencé, en remontant aux années 1970 avec le piratage des systèmes téléphoniques, également connu sous le nom de "phreaking" (piratage téléphonique).

L'histoire du phishing

Le terme "phishing" assimile les tentatives d'escroquerie à la pêche, où l'on utilise un appât pour attirer les victimes. Il proviendrait de la culture du "phreaking" des années 70, qui consistait à pirater des systèmes téléphoniques. Avant le terme "phishi

ng" a été inventé, une technique similaire ayant été présentée lors d'une conférence technique en 1987. La première utilisation connue du terme remonte à 1996 et est associée au pirate informatique Khan C Smith, qui a escroqué les utilisateurs d'America Online (AOL) en exploitant la popularité d'AOL en se faisant passer pour un membre du personnel d'AOL afin de collecter des informations sur les utilisateurs.

Au début des années 2000, les hameçonneurs se sont concentrés sur les systèmes de paiement en ligne, les services bancaires et les plateformes de médias sociaux. Ils ont créé de faux domaines convaincants, notamment en usurpant les noms d'eBay et de PayPal, afin d'inciter les utilisateurs à communiquer des informations sensibles. La première attaque de phishing ciblant les banques a été signalée en 2003. Au milieu des années 2000, le phishing est devenu une cybermenace majeure, avec des campagnes sophistiquées et organisées, causant d'importantes pertes financières.

Les dégâts se sont aggravés au fil des ans, avec des incidents notables tels qu'une campagne parrainée par un État en 2011, la violation massive des données de Target en 2013 et des tentatives d'hameçonnage politique très médiatisées en 2016. La tendance s'est poursuivie en 2017, avec une escroquerie qui a permis de détourner plus de 100 millions de dollars de géants de la technologie comme Google et Facebook.

Qu'est-ce que le whale phishing ?

Qu'est-ce que le quishing ?

Qu'est-ce que le catfishing ?

Qu'est-ce que le spear phishing ?

Courriel d'hameçonnage

Messagerie RCS

FAQs

Pourquoi le phishing est-il illégal ?

À la question de savoir si le phishing est illégal, la réponse est généralement oui. Étant donné que le vol des informations personnelles d'une personne vise à commettre une usurpation d'identité, il peut être puni par la loi.

Pourquoi les gens font-ils du phishing ?

Leur principal objectif est d'obtenir de l'argent, soit en s'emparant des détails de cartes de crédit ou d'autres informations personnelles pour les vendre sur le dark web. Parfois, ils incitent les gens à communiquer leurs coordonnées bancaires ou utilisent des malwares pour obtenir ce qu'ils veulent.