En 2020, c’est près de 79% d’entreprises touchées par les attaques au phishing, avec une augmentation exponentielle lié
au confinement et à la crise sanitaire. Cet abus de confiance, parfois de vulnérabilité, cause la perte de données
inestimables pour bons nombre de d’entreprises. Comment donc lutter contre un ennemi qui prend l’apparence d’un tiers de
confiance ?
Définition du phishing
L’hameçonnage – ou phishing, en anglais – est une technique d'ingénierie sociale très répandue sur internet, car simple,
qui consiste à usurper l’identité d’une administration, d’un service ou d’une personne de confiance dans le but de
tromper un utilisateur et de l’inciter à communiquer des données personnelles ou sensibles le concernant.
Le phishing est considéré comme une forme de spam : une campagne d’e-mails non sollicités par les internautes,
intempestifs, parfois vecteurs de fichiers infectés ou de liens dangereux.
Le phishing se fait principalement par voie électronique, via e-mail, web, appel (Vishing) ou SMS (SMiShing) et consiste
en un message teinté d’urgence, l’appât, et d’un lien cliquable pour exécuter immédiatement l’action demandée.
Il existe plusieurs types de phishing :
- L’hameçonnage ciblé – ou spear-phishing : contrairement aux attaques traditionnelles qui ratissent le web pour toucher
un maximum de personnes, le spear-phishing consiste à cibler des entités précises et à donc adopter un mode
opérationnel personnalité. LinkedIn est particulièrement sujet au spear-phishing dans la mesure où les cybercriminels
obtiennent toutes les informations dont ils ont besoin pour attaquer l’entreprise qui les intéresse.
- Le harponnage – ou whaling : consiste à un phishing ciblé plus ambitieux, c’est-à-dire de grande valeur (entreprise et
gouvernement). En 2016, le coût moyen de ces attaques s’élevait à 1.8 millions de dollars.
- Le clonage – ou clone phishing : les cybercriminels reproduisent à l’identique des e-mails légitimes déjà envoyés. Les
pièces jointe ou lien contenus dans ces mails sont alors remplacés par des équivalents malveillants et nuisibles
- L’attaque homographe : l’attaque consiste en un lien piégé dont le nom induit en erreur : on est en fait redirigé vers
un autre site que celui auquel on s’attendait. Certaines lettres de l’URL sont par exemple remplacées ( l minuscule ou
i majuscule / w ou vv).
- L’arnaque au président : le pirate se fait passer pour un membre de la direction d’une entreprise et demande à un
utilisateur de payer une commande pour un client que vous connaissez mais dont l’adresse sera légèrement modifiée.
- Le pharming : vous êtes conduit sur la version frauduleuse d’un site web légitime en infectant votre serveur DNS et en
détournant le trafic.
Les attaques de phishing créent un sentiment d’urgence chez l’utilisateur et utilisent la peur pour corrompre leur
jugement et leur vigilance. Plusieurs signes devraient vous alerter de la supercherie.
- L’offre est trop belle pour être vraie (une prime soudaine, une grosse réduction, etc)
- L’expéditeur ne vous est pas inconnu, mais vous ne communiquez pas habituellement ensemble. Le contenu de l’e-mail ne
concerne d’ailleurs pas vos responsabilités professionnelles normales.
- Le message est anxiogène et alarmant : il vous précipite à commettre une action pour répondre à tel événement
survenu (Une transaction non autorisée sur votre compte est survenue, cliquez ici pour voir de quoi il s’agit)
- Des pièces inattendues sont jointes au message.
- Le message peut contenir des fautes de frappe, d’orthographe, de syntaxe, de forme ou une altération du logo (elle
peut être minime comme grossière). A savoir que maintenant, les messages frauduleux contiennent rarement des fautes.
Les tournures sont impersonnelles : un de vos identifiants peut être utilisés pour vous faire croire qu’on s’adresse à
vous. Vérifiez qu’on mentionne bien votre nom et votre prénom.
- Le message contient un lien hypertexte. Survolez le lien et surveillez l’adresse URL qui s’affiche, cherchez les
fautes ou quelconques anomalies. A défaut d’en trouver, cherchez le site de l’organisme par vous-même dans votre
moteur de navigation.
La vigilance est le maître mot pour ne pas se faire avoir par les tentatives de phishing et d'attaques d'ingénierie
sociale en général comme l'attaque au point d'eau. Certains éléments notoires peuvent vous aider à identifier les mails
frauduleux.
Les e-mails restent d’une manière générale très anonymes et utiliseront rarement votre identité entière, ils se
contenteront de formules de politesses vagues « Cher client », « Madame », « Monsieur », etc. Ne cliquez pas avant
d’avoir lu l’intégralité du contenu.
Les institutions officielles ou administrations (services publics, banques, mutuelles, etc) ne s’adresseront jamais à
vous par mails pour saisir vos données confidentielles.
Tapez vous-mêmes l’adresse d’un organisme dans un navigateur et ne cliquez pas sur les liens contenus dans les courriers
électroniques qui peuvent en réalité rediriger vers des sites malveillants.
N’ouvrez pas les e-mails des expéditeurs que vous ne connaissez pas. Si une adresse ou le contenu d’un mail vous paraît
illégitime, cherchez des informations sur un moteur de recherche pour savoir si les attaques de ce type sont connues.
Utilisez un logiciel de sécurité anti-malwares dans tous les cas : il sera en mesure de signaler si une pièce jointe ou
un lien n’est pas conforme à ce qu’il devrait être.