Épisode 4 :
les formes de phishing (hameçonnage)
les cyberattaques se multiplient et vous êtes la cible des hackers. Leur attaque favorite en ces temps de fêtes de fin d’année est le phishing : fake message de livraison de colis, fraude à la carte bancaire, usurpation d’identité, lien et QR code infectés … Pour éviter d’être une de leurs victimes, il vous faut connaitre leurs formes, leurs techniques et leurs supports, afin d’être à mesure de les reconnaitre : le spear phishing, le smishing, le vishing, le quishing … .
Version ecrite du podcast
Bonjour et bienvenue dans un nouvel épisode de la cybersécurité, ce n’est pas que de l’informatique. Le podcast qui vous aide à comprendre la sécurité dans le monde numérique. Je suis Yann Pilpré dirigeant de YPSI SAS et dans cet épisode, je vais vous plonger dans le monde obscur du phishing, une menace en ligne qui touche des millions de personnes chaque année. Je vais vous expliquer ce qu’est le phishing comment il évolue et comment vous pouvez vous en protéger.
C’est quoi le phishing ou l’hameçonnage
Le phishing est une technique de cyberattaque où des cybercriminels se font passer pour des entités de confiance, afin de tromper leurs victimes et d’obtenir des informations sensibles, telles que : des identifiants de connexion, des numéros de cartes de crédit ou bien des mots de passe. Cette menace a évolué au fil des ans, passant d’emails de phishing mal rédigés provenant de princes nigérians, vous promettant des sommes farineuses à des attaques plus sophistiquées via les médias sociaux, les SMS et même les appels téléphoniques.
Quels sont les types de phishing ?
On trouve d’abord, les emails d’hameçonnage qui sont une des techniques de phishing les plus courantes. Les cybercriminels envoient des emails qui semblent provenir d’une source de confiance, comme une entreprise, une banque ou un service en ligne populaire. Ces emails contiennent souvent des liens malveillants ou des pièces jointes infectées. L’objectif est de persuader la victime de cliquer sur ces liens ou de télécharger les pièces jointes. Les emails d’hameçonnage sont souvent rédigés de manière à créer un sentiment d’urgence incitant la victime à agir rapidement sans réfléchir. Les cybercriminels vont ensuite créer des sites web frauduleux qui imitent parfaitement les sites légitimes, tels que les sites de banque, de messagerie ou de médias sociaux. Les victimes sont redirigées vers ces faux sites via des liens présents dans ces emails ou par d’autres moyens. Lorsque les utilisateurs se connectent à ces sites web, leurs informations d’identification telles que les noms d’utilisateurs et les mots de passe sont capturés par les attaquants
Le spear phishing est une variante du phishing qui cible spécifiquement une personne ou une organisation. Les attaquants collectent des informations sur la cible comme son nom, son poste, ses collègues, son environnement familial et personnel via par exemple des techniques d’OSINT. Les emails de spear phishing sont hautement personnalisés et semblent provenir de sources légitimes. Les attaquants utilisent souvent des informations spécifiques pour gagner la confiance de la victime. Cette technique est souvent utilisée pour voler des informations sensibles, telles que des données d’entreprise ou des secrets commerciaux.
La technique de phishing par SMS, également appelé smishing, elle implique l’envoi de messages texte frauduleux aux victimes. Ces messages peuvent prétendre provenir de banque, de sociétés de livraison ou bien de services populaires ou moins populaires comme le service des amendes, les messages SMS de phishing. Ils contiennent généralement des liens vers des sites malveillants et ils demandent aux victimes de répondre avec des informations sensibles comme leur numéro de carte crédit.
Bien le smishing est une technique de phishing de plus en plus courante, le phishing par téléphone ou le vishing implique l’utilisation de techniques de persuasion verbale par téléphone. Pour tromper les victimes, les attaquants peuvent prétendre être des employés d’une entreprise légitime ou des agents d’une d’une institution publique. Ces cybercriminels demandent des informations personnelles telles que les numéros de sécurité sociale ou des numéros de carte crédit. Le vishing exploite la confiance des victimes dans les appels et peut être parfaitement et particulièrement efficace.
Il y a aussi des nouvelles méthodes comme le quishing qui utilisent des QR codes malveillants. Il a fait son apparition ces dernières semaines.
Comment reconnaitre une attaque de phishing ?
Il faut savoir que les cybercriminels utilisent la psychologie humaine de différentes manières pour réussir leurs attaques de phishing. On a tout d’abord, la création d’un sentiment d’urgence. Les cybercriminels exploitent souvent le besoin de réagir rapidement, en créant un sentiment d’urgence dans leur message. Ils peuvent prétendre qu’il y a un problème, par exemple avec le compte de la victime ou une transaction suspecte qui nécessite une action immédiate. En jouant sur les émotions humaines, les attaquants peuvent envoyer des emails ou des messages alarmants qui font craindre à la victime des conséquences graves si elle ne suit pas leurs instructions. Par exemple, il pourrait menacer de fermer un compte ou de divulguer des informations sensibles. Les cybercriminels se font alors passer pour des sources de confiance, telles que des banques ou le service de fraude d’une banque, des institutions publiques comme les impôts ou des entreprises publiques d’électricité, d’eau ou de gaz. Les cybercriminels utilisent le logo de la police, la mise en page qui ressemble à ceux de l’organisation légitime.
Pour tromper les victimes, les attaquants peuvent susciter aussi la curiosité des victimes en utilisant des titres intrigants ou suggérant qu’il y a une information secrète ou exclusive à découvrir. Les gens sont naturellement curieux et bien sûr ça peut inciter à cliquer sur des liens malveillants. Si bien que vous avez un document qui vous donne un nouvel organigramme d’une entreprise ou une nouvelle grille de salaire, tout ça peut être très intéressant pour les gens.
Dans le cas du spear phishing, les cybercriminels collectent des informations sur la victime pour personnaliser leur message en utilisant le nom de la victime, son poste ou d’autres détails précis, pour rendre leurs messages plus convaincants. Ils peuvent aussi, se faire passer pour des collègues, des amis ou des membres de la famille de la victime pour gagner sa confiance. Ils utilisent souvent des informations toujours personnelles comme le nom des proches ou pour donner l’apparence de familiarité avec des données qu’on trouve, par exemple, sur beaucoup de réseaux sociaux.
Certains attaquants offrent des récompenses telles que des cadeaux ou des remises, pour inciter les victimes à divulguer des informations ou à cliquer sur des liens. Cela peut jouer aussi sur le désir de gain pour la personne.
Comment se protéger d’une attaque de phishing ?
En comprenant comment les cybercriminels utilisent la psychologie, ils manipulent leurs victimes, les gens peuvent devenir un peu plus méfiants, et vous devenez plus méfiant face aux messages suspects et mieux vous protégez, par rapport à la protection de vos informations personnelles en ligne. Cela souligne l’importance de la sensibilisation et de l’éducation, par exemple sur la sécurité de vos informations en ligne.
Pour vous défendre, le premier élément est la vigilance. C’est la première ligne de défense contre le phishing. Il faut être sceptique à l’égard de tous les emails, les messages textes ou les appels téléphoniques que vous n’avez pas sollicités, en particulier s’il vous demande des informations personnelles ou financières. Avant de cliquer sur un lien ou de fournir des informations, vérifiez l’authenticité de l’expéditeur. Assurez-vous que l’email ou le message provient réellement de l’organisation prétendue, en utilisant par exemple leur numéro de téléphone officiel ou vérifier même le site web officiel de l’entreprise. Aussi, il ne faut pas obligatoirement cliquer sur le lien qui vous a été fourni. Évitez dans la mesure du possible de partager des informations sensibles, surtout des mots de passe. Ne divulguez pas vos numéros de carte crédit, votre numéro de sécurité sociale par SMS par téléphone sauf si vous êtes bien sûr certain de l’authenticité de la demande.
Concernant les solutions techniques, il existe bien sûr des filtres anti-phishing qui peuvent identifier ou bloquer les mails, des messages. Là, il faut s’assurer que votre logiciel de sécurité est à jour, activé et qu’il soit capable de fournir cette solution. Si vous êtes une entreprise, il faut former votre personnel à reconnaître les signes de phishing. Aussi, il faut les sensibiliser aux risques et aux bonnes pratiques de sécurité en ligne. Parmi les éléments que vous pouvez mettre également en place, il y a l’authentification à double facteur, pour tous les comptes en ligne dits sensibles.
Chaque fois que cela est possibe, ajoutez une couche de sécurité supplémentaire en exigeant une deuxième forme d’authentification. Par exemple, un code généré sur votre téléphone en plus du mot de passe. Il faut bien sûr s’assurer que votre système d’exploitation, vos navigateurs ou tous vos logiciels sont mis à jour. Vous pouvez avoir des corrections nécessaires et essentielles de sécurité. Par ailleurs, l’utilisation d’un gestionnaire de mot de passe pour stocker vos données peut être utile, pour éviter qu’ils se fassent voler si votre machine est compromise. Cela réduit le risque de réutilisation des mots de passes.
Enfin, si vous recevez un mail de phishing, que vous avez cliqué, signalez-le sur des plateformes telles que cybermalveillance.gouv.fr ou bien sur des CERT. Ces derniers sont disponibles dans votre région. Avant tout, tenez-vous au courant des dernières techniques, c’est-à-dire qu’il faut avoir cette culture d’écouter les informations, de lire un petit peu de documentation sur ce sujet parce que les méthodes d’attaque évoluent. La sensibilisation est une des meilleures façons de se protéger.
Conclusion
Donc, en suivant tous ces conseils et en étant conscient des techniques, nous espérons que vous pourrez réduire considérablement le risque de devenir une victime de ces attaques. La sécurité en ligne, c’est une responsabilité partagée. Nous vous conseillons vraiment de partager ces informations avec votre famille, vos amis et puis bien sûr vos collègues pour aider tout le monde à rester en sécurité. Restez informés avec nos autres épisodes de podcast et rendez-vous notre site web et sur nos réseaux sociaux pour découvrir nos services d’accompagnement en cybersécurité pour les entreprises. À très bientôt.
Notre offre audit cybersécurité en 2 jours
Un audit cybersécurité 360° en 2 jours, c’est chez YPSI SAS ! Évaluer votre maturité cybersécurité à partir de 16 critères dérivés des normes ISO 27001 et 27005. Nous faisons un audit des procédures et des comportements en cybersécurité des trois profils de votre organisation : la direction, l’équipe technique et les fonctions transverses.
Faites-vous accompagner dans leurs projets en cybersécurité par YPSI SAS, ExpertCyber labellisé par l’AFNOR sur la plateforme cybermalveillance.