Qu'est-ce que le phishing ?
Le phishing est une attaque par message électronique visant à obtenir vos données sensibles (mots de passe, numéro de carte de crédit...).
Le phishing peut sembler très récent mais il se base sur des techniques déjà employées par plusieurs générations de cybercriminels.
Comme tout bon abus de confiance, une attaque de phishing utilise l'ingénierie sociale pour amener les utilisateurs à faire quelque chose qui n'est pas dans leur intérêt. En général, il s'agit de dépouiller les victimes de leur argent, de leurs secrets ou de leur confidentialité.
Les attaques de phishing y parviennent en gagnant votre confiance, en détournant votre attention ou en mettant en place un scénario conçu pour vous faire réagir de manière planifiée. Ces escrocs se font souvent passer pour une entité de confiance comme une banque, vous offrent une chance de gagner de l'argent facilement, ou utilisent la peur comme élément de persuasion pour vous faire faire ce qu'ils veulent.
Parmi les formes courantes d'attaques de phishing figurent les faux messages électroniques qui tentent de vous faire partager des données sensibles ou vos informations financières. D'autres messages électroniques de phishing tentent de vous inciter à cliquer sur un lien malveillant qui infectera votre appareil avec un malware.
Il est fréquent que ces escroqueries créent un sentiment d'urgence, pour vous faire paniquer et vous faire suivre certaines instructions. Un message électronique de phishing peut vous indiquer que votre compte a été piraté et qu'il faut immédiatement suivre ses instructions. Les cybercriminels sont intelligents et savent comment procéder pour obtenir ce qu'ils veulent.
Ces escroqueries éprouvées ont lieu sur diverses plates-formes et sont conçues pour exploiter notre confiance, nos craintes, notre cupidité ou notre anxiété. De ce fait, même les personnes les plus intelligentes ou les plus grandes entreprises peuvent être victimes de ces escroqueries.
Le phishing fonctionne. Sinon, ce type d'escroquerie ne serait pas aussi populaire auprès des cybercriminels sans scrupules.
Il est facile de rire d'un message électronique de phishing qui contient des fautes de frappe ou de grammaire, mais de nombreux escrocs comptent sur le volume pour atteindre leurs objectifs. La quantité l'emporte sur la qualité. Ils envoient des milliers de messages électroniques ou de SMS, et ils n'ont besoin de piéger qu'une petite proportion de leurs cibles pour réussir leur escroquerie.
Ce type de cybercriminalité est peut-être aussi vieux qu'Internet lui-même, mais il a continué à évoluer pour s'adapter aux nouvelles technologies et aux changements de nos habitudes en ligne. Les campagnes de phishing sont de plus en plus sophistiquées et touchent de plus en plus de monde. De nos jours, une attaque de phishing peut faire partie d'une « longue escroquerie » plus importante qui pourrait avoir de graves conséquences pour vous ou même pour votre employeur.
En juillet 2020, Twitter a été contraint d'interrompre tous les tweets de ses comptes vérifiés après qu'une faille de sécurité majeure a permis à des pirates informatiques de prendre le contrôle d'environ 130 comptes Twitter importants dont ceux de Barack Obama, Jeff Bezos, Elon Musk et Bill Gates. Les pirates informatiques ont ciblé les comptes des employés de Twitter avec une attaque de spear phishing téléphonique et ont utilisé les informations obtenues pour accéder aux outils de support internes de l'entreprise.
Ils ont ainsi pu prendre le contrôle des comptes de célébrités, qui ont ensuite été utilisés pour tweeter une nouvelle fraude par phishing. Les pirates responsables ont obtenu plus de 100 000 dollars en cryptomonnaie.
Exemples de phishing
Vous vous demandez peut-être pourquoi on appelle cela du « phishing ». Le terme a été inventé au milieu des années 1990 par des pirates informatiques qui volaient des comptes et des mots de passe AOL en utilisant des techniques toujours utilisées aujourd'hui.
Ces pionniers du cybercrime utilisaient l'« hameçonnage » (en anglais : « phishing ») sur les utilisateurs d'AOL en leur envoyant des messages électroniques et attendant de voir ceux qui mordraient à l'hameçon. Ces escroqueries fonctionnent sur le principe que l'on finit forcement par attraper quelque chose si on lance suffisamment d'appâts. Et comme leurs homologues modernes, ces premiers pirates informatiques utilisaient souvent des appâts différents pour attraper différents types de « poissons ».
Quelles sont donc les formes de phishing les plus courantes auxquelles vous devez faire attention ?
Phishing par message électronique
La plupart des attaques de phishing sont menées par message électronique et l'escroc utilise souvent une adresse électronique qui ressemble à celle d'une source fiable comme un fournisseur de services.
Que se passe-t-il si vous cliquez sur un message électronique de phishing ? Le message peut vous demander de cliquer sur un lien permettant de télécharger des malwares sur votre téléphone, tablette ou ordinateur. Il peut aussi vous demander de vérifier ou de mettre à jour vos informations et vous diriger vers une fausse page qui vous dérobera vos informations sensibles.
L'exemple le plus célèbre est peut-être l'escroquerie au prince nigérian : les victimes reçoivent un message électronique de la part d'un « prince » leur promettant une occasion unique de gagner de l'argent, mais elles doivent faire une petite avance en espèces pour la rendre possible. Des variantes de cette escroquerie existaient déjà à l'époque de la Révolution française, mais elle continue de faire des victimes aujourd'hui.
Spear phishing
Bien que des messages électroniques de phishing soient régulièrement envoyés à énormément de personnes, ce type de cyberattaque vise un individu, une entreprise ou une organisation spécifique. Cela peut la rendre beaucoup plus efficace que les simples escroqueries par message électronique et la brèche de Twitter que nous avons mentionnée plus tôt montre à quel point ce type de phishing peut être dangereux.
Les escrocs prennent le temps de faire des recherches sur leur(s) victime(s) et d'adapter la cyberattaque en conséquence. Les pirates russes auraient utilisé des attaques de spear phishing comme l'un de leurs principaux outils dans le cadre du piratage de la Convention nationale démocrate à l'approche des élections américaines de 2016.
Phishing par clonage
Cette technique est difficile à détecter car les escrocs utilisent un message électronique presque identique à ceux auxquels la victime est habituée. Souvent, il contient les mêmes logos et a le même aspect qu'un message électronique que vous avez déjà reçu de la part fournisseur de confiance. La fausse adresse électronique peut être très similaire à l'adresse de l'expéditeur original, le destinataire peut donc facilement confondre un « I » majuscule et un « L » minuscule.
Cependant, le message électronique cloné contient un lien malveillant menant à un faux site web ou à une pièce jointe infectée par un malware. En 2019, Microsoft a bloqué plus de 13 milliards de courriers électroniques malveillants et suspects, dont plus d'un milliard contenant une URL spécialement créée pour lancer une attaque destinée à dérober des informations d'authentification.
Whaling
Le Whaling (« pêche à la baleine ») est un type de phishing ambitieux nommé ainsi parce que les pirates informatiques ciblent de « gros poissons ». Ces attaques visent les PDG, les directeurs d'exploitation ou d'autres personnes haut placées dans une entreprise. Elles nécessitent généralement beaucoup plus de recherche, de préparation et d'efforts pour réussir. Toutefois, en cas de succès, les pirates peuvent accéder à des informations très précieuses sur l'entreprise ou orchestrer d'importants transferts d'argent.
Une de ces cyberattaques a fait perdre 17,2 millions de dollars à une entreprise d'Omaha après que des cybercriminels ont envoyé à son contrôleur financier des messages électroniques qui semblaient provenir du PDG de l'entreprise. Les messages électroniques contenaient des instructions de transfert d'argent vers une banque en Chine et utilisaient une histoire plausible pour justifier la confidentialité du transfert.
Phishing par fenêtre contextuelle
Ces cyberattaques utilisent des fenêtres contextuelles pour inciter les utilisateurs à partager leurs données financières ou à télécharger des logiciels malveillants. Ces fenêtres contextuelles peuvent se faire passer pour des notifications de mise à jour régulières afin de vous inciter à télécharger un fichier malveillant ou vous promettre des offres incroyables sur des produits à peine sortis afin que vous partagiez les détails de votre carte de crédit.
Certaines attaques par scareware tentent de vous faire faire les deux, en vous indiquant que votre ordinateur a été infecté par un virus et en vous incitant à acheter un faux logiciel antivirus qui le réparera. Ainsi, non seulement les pirates auront les détails de votre carte de crédit si vous tombez dans le piège, mais votre ordinateur sera réellement infecté lorsque vous téléchargerez le « logiciel antivirus. »
Smishing
Maintenant que tout le monde possède un smartphone, les escrocs ont adapté des tactiques de phishing éprouvées aux SMS ou autres applications de messagerie. Les messages de smishing prétendent provenir d'un fournisseur de confiance, se font passer pour des avis du gouvernement ou font croire au destinataire qu'il a gagné un prix. Les formes les plus courantes de smishing incitent les destinataires à cliquer sur un lien infecté, dévoiler des informations sensibles ou appeler un numéro surtaxé.
Suite à l'épidémie de Covid-19, on a observé de nombreuses escroqueries liées au Coronavirus tentant d'exploiter l'inquiétude de leurs destinataires face à la pandémie. L'Organisation mondiale de la santé (OMS) a averti le public que des escrocs se faisaient passer pour leur organisation dans des SMS et des messages électroniques afin d'obtenir de l'argent ou de les faire cliquer sur des liens.
Quelles sont les signes d'une attaque phishing à surveiller ?
Heureusement, il est plus facile d'identifier les tentatives de phishing lorsque vous savez à quoi vous attendre et que vous connaissez les tactiques courantes utilisées par les cybercriminels. Si vous voulez savoir comment identifier une fraude par phishing, regardez si elle correspond à l'un des éléments suivants.
1. Le message est trop beau pour être vrai
Méfiez-vous des messages électroniques vous promettant de l'argent et des sites web étranges qui vendent des produits à des prix incroyables. Si quelque chose vous semble trop beau pour être vrai, c'est sans doute le cas.
2. Une banque demande des informations financières personnelles
Les banques ne demandent jamais d'informations sensibles par message électronique ou par téléphone. Ne fournissez jamais ces informations en réponse à un message électronique.
3. Fautes d'orthographe et erreurs grammaticales
Si un message électronique est truffé de fautes d'orthographe ou de formulations étranges, il faut toujours s'en méfier.
4. Salutation générique
Si un message électronique commence par une salutation générique, par exemple, « Cher Monsieur ou Madame », cela peut indiquer qu'il s'agit d'un modèle de message de phishing envoyé à plusieurs cibles.
5. Message électronique de la part d'inconnus
Si vous recevez des messages indésirables de parfaits inconnus ou de fournisseurs que vous n'utilisez pas, il est probablement préférable de les supprimer. Si vous les ouvrez, évitez de cliquer sur les liens ou les pièces jointes.
6. Demande d'action immédiate
Une astuce courante pour vous inciter à agir consiste à créer un faux sentiment d'urgence. Le message peut vous menacer de supprimer votre compte ou prétendre que vous avez été piraté, mais ce n'est qu'un moyen pour les escrocs de vous faire agir sans réfléchir.
7. Adresses électroniques ou noms de domaines mal orthographiés
Si un message électronique semble suspect, vérifiez toujours l'adresse ou le nom de domaine de l'expéditeur pour voir s'il s'agit d'un faux. Il peut être facile de passer à côté de ces détails subtils si vous agissez de manière impulsive.
8. Demande insensée
Si vous recevez un message électronique prétendant que vous venez de gagner à une loterie à laquelle vous n'avez jamais participé, c'est forcément suspect.
Protégez-vous contre le phishing
Nous pouvons penser que nous sommes trop malins pour nous laisser duper par le phishing, mais ce type d'attaque d'ingénierie sociale est spécifiquement conçu pour tirer parti des tendances naturelles et des réactions émotionnelles d'une victime potentielle.
L'autre difficulté de ces fraudes par phishing est qu'elles se présentent sous toutes sortes de formes. Une bonne protection antivirus vous aidera si vous cliquez accidentellement sur un lien infecté, mais ne vous empêchera pas de partager vos coordonnées bancaires en réponse à un faux message électronique de « votre » fournisseur de services.
Alors, comment se protéger contre le phishing quand il y a tant d'escroqueries à surveiller ? La bonne nouvelle, c'est que vous pouvez toujours compter sur le bon sens. Voici quelques conseils simples pour vous aider à rester en sécurité.
Ignorez les messages électroniques suspects
Si vous recevez un courrier de votre banque avec un sujet alarmant comme « Vous avez été piraté » ou « Urgent ! Votre compte a été suspendu », il suffit de le supprimer. Si vous avez un doute, vous pouvez contacter directement votre banque.
Ne cliquez pas sur des liens suspects
Si un message électronique d'un inconnu vous invite à cliquer sur un lien, ne vous posez même pas la question. Il vous mènera certainement à un faux site qui tentera de voler vos informations ou il contiendra un malware. Il n'y a généralement aucun avantage à cliquer sur des liens suspects.
Ne partagez pas d'informations sensibles par message électronique
Si un prestataire ou un établissement financier vous demande de le faire, vous pouvez être sûr que quelque chose ne va pas. Ces informations pourraient être utilisées pour commettre une usurpation d'identité ou pour tenter d'accéder à un autre de vos comptes en ligne. De même, vous devez toujours faire attention aux informations que vous partagez dans un message électronique lié au travail, à moins que vous ne soyez totalement sûr que l'expéditeur est bien celui qu'il prétend être.
Vérifiez l'adresse électronique de l'expéditeur si vous n'êtes pas sûr
Si un message électronique vous paraît étrange, il vous suffit parfois de vérifier l'adresse électronique pour identifier une fraude. Vous devez faire attention aux adresses comportant des fautes d'orthographe, aux messages électroniques provenant d'un faux domaine et aux messages électroniques censés provenir d'une entreprise légitime qui utilisent une adresse électronique de type « @gmail.com ».
Ne cliquez pas sur les fenêtres publicitaires
Ignorez ces couleurs voyantes, ces avertissements terribles concernant votre sécurité ou ces invitations à obtenir des prix avantageux sur vos marques préférées. Si vous cliquez sur ces fenêtres contextuelles, il est très probable que vous infectiez votre ordinateur avec un malware. Certains navigateurs offrent la possibilité de bloquer les fenêtres contextuelles, ce qui peut vous aider à éviter tout piège potentiel.
Gardez vos appareils et logiciels à jour
Les mises à jour contiennent des correctifs qui visent à protéger vos appareils contre les dernières cybermenaces et à remédier à toute vulnérabilité que les pirates informatiques pourraient exploiter. Veillez toujours à installer les dernières mises à jour de vos appareils et applications afin que votre système de sécurité, vos navigateurs et votre client de messagerie électronique soient tous à jour.
Utilisez des filtres antispam
Un filtre antispam peut être un excellent moyen de protéger votre boîte de réception en filtrant les messages électroniques suspects ou nuisibles. Si vous ne pouvez pas les voir, vous ne serez plus tenté de les ouvrir.
Évitez les sites non sécurisés
Vous avez peut-être déjà reçu un avertissement lorsque vous avez tenté d'accéder à un site Internet non sécurisé. Les sites non sécurisés ou trompeurs sont dangereux car ils peuvent contenir des malwares ou faire partie d'une fraude par phishing. Les URL des sites sécurisés commencent par HTTPS et une icône de cadenas fermé apparaît à côté. Assurez-vous toujours qu'un site est authentique et sécurisé avant de partager toute information sensible.
Repérez les signes
Il faut connaître ces escroqueries pour pouvoir les éviter, mais elles évoluent constamment et trouvent de nouveaux moyens de contourner vos défenses. Les attaques de phishing sont de plus en plus sophistiquées. La meilleure façon de les détecter est donc de se tenir au courant des nouvelles tendances en matière de phishing pour être sûr de repérer les signes avant-coureurs.
Faites confiance à votre instinct
L'une des meilleures défenses contre le phishing est le bon sens, vous pouvez donc écouter votre instinct. En cas de doute, ne cliquez sur rien et ne communiquez aucune information personnelle.
N'interagissez pas avec les messages électroniques de phishing
Même si vous savez que c'est une escroquerie, ce n'est jamais une bonne idée de répondre à ces messages électroniques. Certaines personnes aiment indiquer au fraudeur qu'il n'a pas réussi son coup, mais répondre à une cyberattaque peut prouver aux pirates qu'ils ont ciblé une adresse électronique valide, ce qui pourrait entraîner d'autres cyberattaques sur votre compte, ou même fournir des informations précieuses comme votre géolocalisation.
Utilisez un gestionnaire de mots de passe
Cet outil permet de sécuriser tous vos mots de passe et de faciliter l'utilisation de mots de passe complexes et plus sûrs qui seraient autrement difficiles à retenir. De plus, les gestionnaires de mots de passe renseignent automatiquement vos informations d'authentification lorsque vous accédez à un site. Si ce n'est pas le cas, vous savez immédiatement que vous avez été redirigé vers un faux site.
Protégez-vous à l'aide d'un antivirus
Les antivirus arrêtent-ils le phishing ? Ils ne peuvent pas empêcher les pirates de vous envoyer des messages électroniques ou des SMS, mais peuvent aider à protéger votre ordinateur grâce à une protection fiable et multicouche. Ils peuvent identifier un site web malveillant ou aider à empêcher que votre appareil soit infecté si vous êtes victime d'une fraude par phishing.
Gardez une longueur d'avance sur les attaques de phishing
Les spécialistes de la cybersécurité répètent souvent que les pirates ne s'introduisent pas par la force, mais par une simple connexion, ce qui montre bien à quel point les fraudes par phishing peuvent être efficaces.
Le phishing est une cybermenace constante depuis les débuts d'Internet et il est probable qu'il le reste tant qu'il réussira à faire des victimes. De nombreuses personnes passent la plus grande partie de leur journée connectées à Internet et un nombre croissant de services se trouve désormais en ligne, ce qui nous rend plus vulnérables que jamais.
La généralisation du télétravail pendant la pandémie nous a également exposé davantage aux attaques des cybercriminels, qui tentent d'exploiter cette opportunité pour réaliser des profits. On peut plus facilement se faire piéger par un faux message électronique prétendant provenir d'un collègue de travail lorsqu'on ne se trouve pas dans la même pièce que lui.
Cependant, nous sommes également mieux informés sur les cybermenaces qui existent et la meilleure défense contre les attaques de phishing consiste à savoir les repérer. Ces cybercriminels s'appuient sur l'élément de surprise ou sur les émotions pour manipuler leurs victimes, il est donc important de savoir comment ils fonctionnent.
Vous connaissez maintenant les types d'attaques de phishing les plus courants, vous savez comment les identifier et comment vous en protéger. Vous êtes donc déjà mieux préparé à tout ce qu'Internet peut vous réserver. Une fois que vous savez comment fonctionne une escroquerie, vous pouvez facilement identifier la manière dont on essaye de vous manipuler. Lorsque quelqu'un vous cible avec une attaque d'ingénierie sociale et que vous percez à jour ses intentions, la moitié de la bataille est déjà gagnée.
Heureusement, la technologie peut désormais vous aider à éviter certaines de ces tactiques malveillantes. Une bonne protection antivirus peut également vous apporter de la tranquillité d'esprit contre les attaques de phishing qui tentent de vous faire télécharger des malwares. Considérez-la comme un filet de sécurité en ligne au cas où l'une de ces cyberattaques parviendrait à vous échapper.
Des navigateurs comme Chrome et Firefox lancent également des fonctionnalités conçues pour identifier les attaques de phishing en temps réel, dans le cadre de leurs efforts permanents de protection des utilisateurs. Ces fonctions de sécurité peuvent s'ajouter à vos propres efforts pour rester vigilants.
De nouveaux types de fraude ou de stratégies de phishing apparaîtront toujours, mais la plupart d'entre nous sommes désormais mieux informés qu'avant en matière de sécurité en ligne. Un grand nombre de ces escroqueries sont simplement des versions plus évoluées d'escroqueries existantes. Vous pourrez donc repérer toutes leurs variantes si vous êtes attentif aux pratiques courantes employées par les attaques de phishing.
La prochaine fois que vous recevrez un message électronique vous invitant à agir immédiatement ou un message vous paraissant étrange, vous saurez quoi faire. La meilleure règle à suivre est de faire preuve de bon sens, de réfléchir avant d'agir et d'éviter de prendre des mesures immédiates si quelque chose semble suspect.
Les attaques d'ingénierie sociale comme le phishing sont facilement repérables lorsque vous savez ce que vous cherchez, mais il est toujours utile d'avoir un plan de secours. Si vous faites une erreur, une solution de confiance telle que Norton 360 vous aidera à protéger vos appareils contre les malwares, les spywares ou d'autres cybermenaces.
Vour voulez en savoir plus ?
Suivez-nous pour connaître les dernières actualités, astuces et mises à jour.