Escroqueries par hameçonnage : comment les repérer et les éviter

Publié: 2022-09-20
OBTENEZ LE BON PLAN DE PROTECTION CONTRE L'USURPATION D'IDENTITÉ DISPONIBLE POUR VOUS

L'hameçonnage est l'une des plus anciennes menaces de cybercriminalité, puisqu'il existe depuis les premiers jours d'Internet.

Pourtant, l'escroquerie par hameçonnage est également l'une des plus grandes menaces de cybersécurité auxquelles est confrontée toute organisation, et elle est unique dans le fait qu'elle cible les personnes plutôt que les logiciels ou le matériel.

Cela signifie que même si vous avez investi dans l'infrastructure de cybersécurité la plus coûteuse, votre organisation peut être à risque si un employé vulnérable est compromis par un stratagème de phishing. C'est l'une des principales raisons pour lesquelles le phishing est si dangereux.

Malheureusement, le danger du phishing a augmenté en qualité et en quantité ces dernières années. Selon le rapport sur les tendances des activités de phishing de l'Anti-Phishing Working Group (APWG), il y aura 1 025 968 attaques de phishing d'ici mars 2022, soit une augmentation de 15 % par rapport au quatrième trimestre 2021. La sophistication et la variété des techniques utilisées dans chaque attaque ont également augmenté en ces dernières années.

Dans cet article, nous apprendrons ensemble ce qu'est le phishing, comment les identifier et comment les organisations peuvent protéger plus efficacement leurs employés et clients contre les attaques de phishing.

À la fin de ce guide, vous aurez appris sur :

  • Qu'est-ce qu'une escroquerie par hameçonnage ?
  • Différents types de phishing en 2022
  • Comment reconnaître les tentatives de phishing
  • Comment protéger votre entreprise contre le phishing
  • Comment signaler les tentatives de phishing réussies et infructueuses et atténuer les dégâts

Commençons tout de suite ce guide.

Qu'est-ce qu'une escroquerie par hameçonnage ?

L'hameçonnage est un type de cybercriminalité dans lequel l'auteur contacte une victime cible (ou des victimes) tout en se faisant passer pour une personne célèbre ou une institution légitime pour inciter cette victime à fournir des informations confidentielles, sensibles et/ou précieuses telles que des informations personnelles identifiables (PII) , coordonnées bancaires, informations de carte de crédit, identifiants de compte, etc.

Le nom « hameçonnage » est analogue à la pêche, faisant référence à la façon dont le cybercrime « pêche » les informations d'identification, les mots de passe et d'autres informations sensibles de ses victimes.

Le mot hameçonnage a été utilisé pour la première fois vers 1996 par des pirates informatiques qui volaient les comptes AOL (America Online) alors populaires. Les pirates de la fin des années 1990 avaient tendance à utiliser la lettre « ph » pour remplacer « f » (c'est-à-dire « phreaks »), d'où le nom « phishing ».

Traditionnellement, l'hameçonnage était effectué par e-mail, mais maintenant, l'hameçonnage peut se produire sur différents supports de communication, comme les appels téléphoniques, les SMS, les commentaires sur les réseaux sociaux, les DM sur les réseaux sociaux, les commentaires de blogs, etc.

Pourquoi les cybercriminels pratiquent-ils le phishing ?

La réponse courte est de monétiser les informations volées.

Comme pour la plupart des autres activités criminelles (y compris les cybercrimes), la majorité des attaques de phishing ont des motivations financières.

Il existe cependant des cas où la motivation n'est pas financière, comme une vendetta personnelle ou des raisons politiques (c'est-à-dire des campagnes noires), mais ils sont relativement rares.

Alors, comment les cybercriminels peuvent-ils gagner de l'argent grâce au phishing ? Comprendre leurs techniques de monétisation peut vous aider à reconnaître les tentatives de phishing, et voici quelques exemples :

  • Voler les informations de votre carte de crédit, puis utiliser les détails de la carte de crédit pour acheter des biens sur Internet.
  • L'extorsion, par exemple, lorsque les cybercriminels réussissent à extraire des informations sensibles, puis extorquent la victime pour lui verser de l'argent, sinon ils divulguent les informations au public.
  • Vendre des informations sensibles/personnelles à d'autres parties (par exemple, vos concurrents, d'autres pirates). Une pratique courante sur le dark web.
  • Utiliser vos informations pour lancer une autre activité frauduleuse/cybercriminelle, par exemple, contacter vos amis en utilisant votre compte pour les arnaquer.

L'anatomie d'une attaque de phishing

L'hameçonnage est une forme d'ingénierie sociale, qui est le terme générique utilisé pour désigner un large éventail d'activités criminelles réalisées par le biais d'interactions humaines.

L'hameçonnage repose sur la manipulation psychologique pour inciter ses victimes à divulguer leurs informations sensibles ou à commettre des erreurs de sécurité.

Bien que les cybercriminels puissent utiliser différentes techniques et schémas dans leurs attaques de phishing, ils suivront généralement ces schémas :

  1. L'agresseur recherche d'abord la victime cible et/ou l'environnement dans lequel elle se trouve pour collecter les informations nécessaires telles que les vulnérabilités de sécurité potentielles et d'autres faiblesses.
  2. L'agresseur initie le contact en tentant de gagner la confiance de la victime.
  3. L'auteur soit :
    1. Offre quelque chose de précieux pour déclencher le sentiment d'urgence de la victime.
    2. Instillez la peur chez la victime cible, généralement avec des menaces fictives (par exemple, "votre compte sera bientôt supprimé et nous devrons vérifier votre identité").
  4. La victime est amenée à divulguer ses informations personnelles ou ses informations d'identification.

Par exemple:

  1. L'agresseur cible les utilisateurs de Gmail en tant que victimes cibles et a fait des recherches sur la plate-forme Gmail et ses politiques.
  2. L'auteur a envoyé un e-mail aux utilisateurs de Gmail avec une adresse e-mail ressemblant à l'adresse officielle de Google (par exemple, avec le nom de domaine "Google.biz").
  3. L'e-mail alerte les utilisateurs d'une violation de la politique nécessitant une action immédiate (par exemple, changement de mot de passe, changement de question de sécurité, etc.), et l'e-mail inclura un lien vers un faux site Web presque identique à la page de connexion de Gmail.
  4. La victime saisit ses informations d'identification actuelles sur la fausse page de connexion, et ses informations d'identification sont effectivement envoyées à l'attaquant.

Ce n'est qu'un exemple parmi tant d'autres techniques et stratagèmes d'hameçonnage exécutés quotidiennement par les cybercriminels. Cependant, nous pouvons classer les attaques de phishing en plusieurs types principaux, dont nous discuterons ci-dessous.

Automatisez votre protection contre l'usurpation d'identité grâce à la technologie alimentée par l'IA

Différents types d'attaques de phishing

1. Hameçonnage par e-mail

Le type le plus élémentaire de schéma de phishing, et comme son nom l'indique, implique que l'auteur envoie des e-mails tout en se faisant passer pour une marque ou une personne connue.

L'e-mail contiendra soit un lien vers un site Web malveillant, soit une pièce jointe contenant un logiciel malveillant qui infectera l'appareil du destinataire.

Comment identifier :

Alors que les cybercriminels sont de plus en plus sophistiqués dans le lancement de phishing par e-mail, vous pouvez généralement rechercher les signes suivants :

  • Vérifiez le nom de domaine de l'adresse e-mail de l'expéditeur et assurez-vous qu'il est légitime.
  • Si l'e-mail contient des informations de contact, recoupez ces informations avec celles figurant sur le site Web de l'entreprise dont l'e-mail prétend provenir.
  • Évitez de cliquer sur des liens raccourcis. Il s'agit d'une technique courante utilisée pour tromper les passerelles de messagerie sécurisées.
  • Vérifiez tous les logos qui semblent légitimes et affichez le code source. Ils ont tendance à contenir des attributs HTML malveillants.
  • Soyez raisonnablement méfiant lorsqu'un e-mail contient très peu de texte et seulement une image/photo dans le corps. L'image peut masquer des codes malveillants.

2. Hameçonnage ciblé

Le spear phishing utilise généralement également le courrier électronique comme principal moyen de communication, il peut donc être considéré comme une variante du phishing par courrier électronique.

La principale différence réside dans l'approche plus ciblée du spear phishing, ciblant généralement une seule victime (ou un petit groupe de victimes).

L'agresseur effectue d'abord des recherches approfondies sur la victime cible pour recueillir des informations sur la victime, par exemple, à partir des médias sociaux, du site Web de l'entreprise, etc., puis ciblera cette victime avec un schéma personnalisé exploitant les informations collectées comme de vrais noms ( du patron ou du responsable du DRH de la victime), numéros de téléphone professionnels, etc., pour gagner la confiance de la victime.

En fin de compte, parce que la victime croit l'identité de l'escroc en raison des informations valides qu'elle a utilisées, elle tombe dans le piège de l'auteur.

Comment identifier :

L'identification d'une attaque de spear phishing peut être plus difficile en raison de la quantité de recherches menées par l'auteur et des informations apparemment valides qu'il a utilisées. Cependant, recherchez les éléments suivants :

  • Un e-mail prétendant provenir de votre patron ou d'une personne importante de votre entreprise avec des fichiers ou des documents protégés par mot de passe vous demandant de saisir votre nom d'utilisateur et votre mot de passe. Il s'agit d'un schéma courant pour voler des informations d'identification.
  • De manière générale, soyez attentif à toute demande qui semble hors de l'ordinaire, compte tenu de la fonction professionnelle de l'expéditeur présumé.
  • Un autre schéma courant consiste à avoir des liens vers des documents stockés sur Google Drive, Dropbox ou d'autres services de stockage basés sur le cloud. Ces liens vous redirigeront souvent vers un site Web malveillant.

3. Chasse à la baleine

Une autre variante de la tactique de harponnage, la chasse à la baleine ou aussi souvent appelée "fraude au PDG", implique que l'auteur utilise des techniques de renseignement open source (OSINT) pour trouver le nom du PDG d'une organisation ou d'un membre de la direction de haut niveau, puis se faire passer pour cette personne en utilisant un faux adresse e-mail.

L'auteur ciblera alors les employés de l'entreprise, en demandant au destinataire ses identifiants de compte, ses informations bancaires ou même en demandant au destinataire un transfert d'argent.

Comment identifier :

  • Vérifiez l'adresse e-mail de l'expéditeur, assurez-vous qu'elle provient de l'adresse e-mail officielle de l'entreprise. Une astuce courante consiste à prétendre que l'e-mail provient de leur adresse personnelle (c'est-à-dire qu'ils ne peuvent pas accéder à leur e-mail professionnel pour le moment).
  • N'hésitez pas à confirmer auprès d'autres personnes de votre entreprise ou même à donner à la personne que l'e-mail prétend provenir d'un appel.
  • Soyez très prudent si l'e-mail prétend provenir d'une personne de votre entreprise qui n'a jamais pris contact auparavant.

4. Hameçonnage HTTPS

Beaucoup d'entre nous sont formés sur le fait que les sites Web HTTPS sont cryptés de bout en bout et sont donc sûrs lorsqu'il s'agit de soumettre des informations personnelles et des informations d'identification.

Cependant, de nombreux escrocs exploitent ces connaissances dans leurs tentatives d'hameçonnage, en utilisant le protocole HTTPS dans le faux site Web lié dans l'e-mail d'hameçonnage.

Comment identifier :

  • Vérifiez si le lien utilise un hypertexte pour masquer la véritable URL
  • Revérifiez si le lien n'est pas raccourci et si toutes les parties de l'URL sont affichées

5. Vishing

Abréviation de "Voice Phishing", et comme son nom l'indique, il s'agit d'une tentative de phishing qui se produit lors d'un appel téléphonique.

En règle générale, l'agresseur appellera pendant une période chargée, coïncidant avec une saison, une période ou un événement stressant, prétendant appartenir à une entreprise établie et créant un sentiment d'urgence accru.

L'idée est que l'appel crée un sentiment de panique, incitant le destinataire à commettre des erreurs de sécurité et à divulguer ses informations sensibles.

Comment identifier :

  • Soyez raisonnablement méfiant si l'appel demande des actions inhabituelles pour le type d'appelant, en particulier lorsqu'il demande des informations sensibles ou personnelles.
  • Vérifiez à nouveau le numéro de l'appelant s'il provient d'un endroit inhabituel ou s'il est bloqué.
  • Utilisez des applications mobiles qui vous permettent de vérifier l'identité de l'appel entrant provenant de numéros inconnus. Il existe de nombreuses applications de ce type pour les appareils iOS et Android.
  • Il est préférable d'éviter de prendre des appels de numéros inconnus pendant des périodes ou des situations stressantes.

6. Smishing

Abréviation de "SMS Phishing", il s'agit d'une tentative de phishing effectuée via des messages texte (SMS).

En règle générale, l'auteur enverra un message texte prétendant provenir d'organisations ou d'entreprises établies, et le message texte contiendra un lien contenant un logiciel malveillant et/ou qui vous redirigera vers un site Web malveillant.

Étant donné que de nombreuses personnes ont tendance à considérer les SMS comme plus personnels et "inoffensifs", le smishing peut surprendre ses victimes.

Comment identifier :

  • Avant de cliquer sur un lien, vérifiez directement sur le site Web de l'entreprise que le message texte prétend provenir s'il existe des notifications liées aux actions demandées par le message texte.
  • N'hésitez pas à contacter le numéro indiqué sur le site Web légitime de l'entreprise et à confirmer la légitimité du message texte.
  • Vérifiez l'indicatif régional et le numéro de l'expéditeur et comparez-les à votre liste de contacts avant de cliquer sur un lien ou d'entreprendre l'une des actions suggérées.

7. L'hameçonnage des pêcheurs à la ligne

L'hameçonnage à la ligne est un type spécifique d'hameçonnage ciblant les utilisateurs de médias sociaux, impliquant principalement l'auteur utilisant de faux comptes de médias sociaux se faisant passer pour des entreprises ou des individus connus.

L'hameçonnage des pêcheurs à la ligne tire parti du fait que les interactions entre les entreprises et les clients sur les réseaux sociaux sont de plus en plus fréquentes et attendues. L'auteur s'engage auprès des victimes ciblées via des notifications et des DM pour les inciter à commettre des erreurs de sécurité.

Comment identifier :

  • Vérifiez le compte pour une coche bleue (compte vérifié).
  • Méfiez-vous des notifications contenant des liens susceptibles de vous rediriger vers des sites Web malveillants.
  • Évitez de cliquer sur un lien dans un DM provenant de personnes qui partagent rarement des liens (ou de personnes/comptes qui ne vous ont jamais envoyé de message), même si le lien semble légitime.
  • Si des DM proviennent de ceux que vous connaissez qui vous ont rarement envoyé des messages, vérifiez le compte car il peut être usurpé ou nouvellement créé

8. Pharmacie

Le pharming est une forme assez avancée de phishing, dont le nom est un mot-valise de "phishing" et "farming".

Une technique de pharming courante implique que l'auteur détourne un DNS pour rediriger les utilisateurs essayant d'atteindre un site Web spécifique vers un faux site Web à la place.

Une tentative de pharming sophistiquée peut être très difficile à détecter.

Comment identifier :

  • Vérifiez l'URL du site Web s'il utilise HTTP au lieu de HTTPS
  • Recherchez les incohérences telles que les fautes de frappe, les couleurs incompatibles, les conceptions inappropriées, le contenu mince, etc., qui peuvent signifier un faux site Web.

Comment protéger votre entreprise contre le phishing

Ci-dessus, nous avons appris à reconnaître les principaux types de techniques de phishing et les étapes de base pour vous en protéger.

Dans cette section, nous aborderons également certaines bonnes pratiques importantes à suivre afin de vous protéger, vous et votre entreprise, contre diverses attaques de phishing :

1. Éduquez vos employés

Étant donné que l'hameçonnage est essentiellement de l'ingénierie sociale , la première ligne de défense que vous devriez avoir est de vous assurer que vos employés ont l'éducation et la formation nécessaires pour reconnaître les tentatives d'hameçonnage et protéger leurs informations d'identification/informations sensibles.

Intégrez la formation de sensibilisation au phishing à votre programme d'intégration des employés et actualisez régulièrement la formation pour inclure les nouvelles méthodologies et tendances.

2. Exiger une authentification multifacteur

Exiger une authentification multifacteur peut atténuer le risque d'hameçonnage réussi dans les situations où vos employés sont amenés à divulguer leurs informations d'identification.

Avec l'authentification multifacteur, vous demanderez à vos employés de fournir une autre information en plus de leur mot de passe avant de pouvoir se connecter à vos réseaux et applications.

L'information secondaire (ou plus) peut être :

  • Quelque chose qu'ils sont: biométrique comme l'identification faciale ou l'empreinte digitale
  • Quelque chose qu'ils connaissent : un autre mot de passe, un code PIN, une réponse aux questions de sécurité, etc.
  • Quelque chose qu'ils ont : un appareil à coupler, une carte-clé, un dongle USB, etc.

3. Sauvegarde régulière

Les attaques de phishing réussies peuvent provoquer une infection par des logiciels malveillants, y compris des ransomwares, ce qui peut vous faire perdre l'accès à certains fichiers/applications et même une panne complète du système.

Pour atténuer ce risque, conservez régulièrement une sauvegarde de vos données.

Nous vous recommandons de suivre les principes de sauvegarde 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 conservée hors site.

Empêcher l'usurpation d'identité de votre marque dans les attaques de phishing

Une autre préoccupation liée au phishing est lorsque votre domaine ou votre nom de marque est utilisé par des cybercriminels dans le cadre de leur stratagème de phishing.

Bien que ce ne soit pas techniquement de votre faute, les victimes d'attaques de phishing peuvent blâmer la marque que l'escroc se fait passer, ce qui a un impact négatif sur la réputation de la marque.

Bien qu'il puisse être très difficile, voire impossible, d'empêcher à 100 % les cybercriminels d'usurper l'identité de votre marque, votre entreprise peut prendre certaines mesures pour atténuer le risque :

  • Utilisez des certificats SSL (HTTPS) sur votre site Web. De cette façon, lorsqu'un escroc veut se faire passer pour votre site Web, il devra obtenir un certificat SSL légitime en plus d'un faux. Cela peut les décourager.
  • Utilisez des protocoles tels que DKIM ou DMARC pour ajouter une vérification aux e-mails que votre entreprise envoie ou reçoit. Cela peut empêcher des parties externes d'envoyer de faux e-mails en utilisant votre nom de domaine, empêchant efficacement le phishing par e-mail.
  • Enregistrez des variantes de vos noms de domaine (différents TLD, fautes d'orthographe potentielles, etc.) pour éviter que ces variantes ne soient utilisées dans des tentatives de phishing.
  • Utilisez Red Points Domain Management pour protéger les noms de domaine de votre entreprise en temps réel. Les points rouges peuvent détecter efficacement les tentatives de phishing en utilisant votre nom de domaine sur de nombreuses plates-formes différentes sur le pilote automatique, ne nécessitant aucune intervention manuelle. Les points rouges peuvent également vous aider à éliminer les faux sites Web d'usurpation d'identité avant qu'ils n'aient un impact négatif sur votre réputation.

Et après

Bien qu'il existe de nombreux types d'attaques de phishing menées par des escrocs et des cybercriminels, toutes les attaques de phishing ont les caractéristiques communes suivantes :

  • Création d'un sentiment d'urgence : l'agresseur vous presse souvent d'agir rapidement, soit en vous faisant peur avec une menace urgente fictive, soit en vous attirant avec une offre à durée limitée. Certains stratagèmes de phishing vous diront même que vous n'avez que quelques minutes pour répondre.
  • Trop beau pour être vrai : l' hameçonnage implique souvent des offres et des réclamations intéressantes et attrayantes. Par exemple, prétendre que vous avez gagné un iPhone et vous demander de cliquer sur un lien.
  • Expéditeur inhabituel : portez une attention particulière à l'URL du site Web et à l'adresse e-mail de l'expéditeur. Si l'e-mail provient de quelqu'un que vous ne reconnaissez pas ou si vous voyez quelque chose d'inhabituel, évitez de cliquer sur quoi que ce soit.
  • Liens suspects : ne cliquez sur aucun lien à moins d'être sûr à 100 %. Vous pouvez survoler le lien afin de vérifier l'URL réelle et de vérifier attentivement si l'URL est légitime.
  • Pièces jointes dangereuses : ne cliquez jamais sur une pièce jointe d'un e-mail dont vous n'êtes pas sûr à 100 %. La pièce jointe peut contenir des logiciels malveillants, des rançongiciels ou d'autres virus.

Bien qu'il n'existe pas de moyen unique d'éviter les attaques de phishing, vous pouvez utiliser une combinaison des conseils ci-dessus pour les prévenir et atténuer les dégâts.

Il est également crucial de se rappeler qu'outre la mise en place d'une solide infrastructure de cybersécurité et des meilleures pratiques, un autre élément crucial de la prévention du phishing est l'éducation . En ce qui concerne le phishing et d'autres schémas d'ingénierie sociale, votre organisation n'est aussi sûre que la personne la moins bien informée.