Qu'est-ce que le phishing et comment l'éviter ?
Agence web » Actualités du digital » Qu’est-ce que le phishing et comment l’éviter ?

Qu’est-ce que le phishing et comment l’éviter ?

ParTremplin Numérique Publié le

L’augmentation du travail à distance, des achats en ligne et de la direction incompétente de la FCC crée une tempête parfaite pour les escrocs. Les attaques de phishing sont plus courantes que jamais et elles conduisent régulièrement à des fraudes, des vols d’identité et des violations de données d’entreprise. Mais qu’est-ce que le phishing et comment l’éviter ?

Qu’est-ce que l’hameçonnage ?

« Phishing » est un terme fourre-tout pour une variété de cybercrimes. Mais dans sa forme la plus élémentaire, le phishing (prononcé « pêche ») est une arnaque dans laquelle une victime est amenée à partager des informations sensibles ou à télécharger un logiciel de rançon.

La majorité des stratagèmes de phishing se produisent par e-mail ou SMS. Et ils ont tendance à suivre une formule simple ; les escrocs se feront passer pour une personne de confiance, comme Amazon, un service de police ou un employeur, et vous parleront d’un problème qui nécessite une attention immédiate. Habituellement, ce « problème » ne peut être « résolu » qu’en partageant les détails de la carte de crédit, en ouvrant un fichier malveillant ou en saisissant vos données de connexion sur un faux site Web.

La plupart des attaques de phishing sont faciles à repérer. Ils se concentrent sur des sujets frauduleux (comme les garanties de voiture) et ne se font pas passer pour une personne d’autorité. Si vous recevez un e-mail d' »Amazon » contenant des fautes de frappe ou provenant d’une adresse Yahoo, vous remarquerez probablement que quelque chose ne va pas. (Pourtant, les gens tombent chaque jour dans le piège de ces attaques de phishing « évidentes », c’est pourquoi elles sont si courantes.)

Faux messages texte frauduleux sur un téléphone

Mais les stratagèmes de phishing peuvent être très sophistiqués. Les escrocs peuvent obtenir des détails sur votre emploi, vos abonnements, votre famille ou votre emplacement avant de tenter une attaque de phishing. Si vous commandez des chaussures sur un site Web qui a été piraté, par exemple, un escroc peut vous envoyer un e-mail vous demandant de vérifier l’achat avec vos informations de connexion. Et si vous avez l’âge de la retraite, un escroc peut se faire passer pour un jeune membre de la famille pour mendier une caution.

Pour être clair, les stratagèmes de phishing ne visent pas uniquement les individus. Selon un récent rapport Proofpoint, plus de 55 % des entreprises ont été victimes d’une attaque de phishing en 2020. Plus de la moitié de ces entreprises se sont retrouvées avec des ransomwares sur leurs systèmes. Et malheureusement, plusieurs de ces attaques de phishing ont conduit à une violation de données, ce qui peut exposer les informations des clients aux pirates.

Les gouvernements sont également une cible importante pour les stratagèmes de phishing. Le SCRS tient à jour une longue liste de cyberattaques réussies contre des organisations gouvernementales, et bon nombre de ces attaques ont été rendues possibles par l’hameçonnage.

Les personnes ordinaires sont la première et la seule ligne de défense lors d’une attaque de phishing. Mais les données de Proofpoint montrent que plus de la moitié de tous les travailleurs à temps plein ne connaissent rien au phishing. De toute évidence, les entreprises et les gouvernements n’éduquent pas les gens sur ce sujet, c’est pourquoi il est si important de s’asseoir et d’en apprendre vous-même.

Les formes les plus courantes de phishing

Illustration d'un hameçon ramassant une esperluette (référence au phishing par e-mail).

L’un des aspects les plus frustrants du phishing, du moins de notre point de vue, est qu’il se présente sous tant de formes et de tailles différentes. Les cybercriminels ne se contentent pas de répéter la même arnaque tous les jours. Ils développent constamment de nouvelles façons de tromper leurs victimes.

Cependant, les escrocs doivent jouer un rôle d’équilibriste lors de l’hameçonnage. Ils peuvent ratisser large avec une arnaque « évidente » et espérer que quelqu’un prend l’appât, ou ils peuvent mettre le travail pour atteindre une cible spécifique.

Voici les formes courantes de phishing, qui devraient illustrer mon propos :

  • Phishing par e-mail: Il s’agit de la forme d’hameçonnage la plus courante. Un escroc se fait passer pour un site Web ou une personnalité populaire, comme Amazon ou un politicien, dans le but de voler vos informations ou de vous inciter à télécharger un logiciel de rançon. Ils peuvent même créer un nom de domaine personnalisé pour donner à leur adresse e-mail un aspect « officiel ».
  • Hameçonnage: Les escrocs qui veulent toucher une cible spécifique recourront au « spear phishing ». Ils recueillent des informations sur leur victime avant de se faire passer pour une personne, une entreprise ou un message automatisé de confiance.
  • Clonage d’hameçonnage: La plupart des e-mails de phishing sont envoyés aux victimes au hasard. Mais dans certains cas, un escroc vous enverra une version en double d’un vrai e-mail. Si vous recevez une confirmation de commande, par exemple, un pirate peut envoyer une « confirmation de commande » copieuse contenant des liens ou des pièces jointes malveillants.
  • Hameçonnage contextuel: Les pop-ups sont toujours un vecteur courant d’escroqueries et de logiciels malveillants. Les attaques de phishing pop-up modernes tirent généralement parti des paramètres de notification d’un navigateur pour vous envoyer des « avertissements antivirus ».
  • Hameçonnage de pêcheur à la ligne: Le monde des médias sociaux permet aux escrocs de « hameçonner à la ligne » pour les victimes. Essentiellement, les escrocs se feront passer pour une personnalité publique ou une entreprise sur les réseaux sociaux. Quelqu’un peut usurper l’identité d’un créateur YouTube pour partager des liens « sweepstakes » frauduleux dans les commentaires d’une vidéo, par exemple.
  • Pêche à la baleine: Lorsqu’une attaque de phishing vise une personne importante, comme un PDG, on parle de « whaling ». Ces cibles sont souvent riches, faciles à faire chanter ou ont accès au backend d’une entreprise.
  • Smishing et Vishing: ces termes décrivent l’hameçonnage via un SMS ou un appel téléphonique. La plupart des spams ou des appels automatisés que vous recevez sont des formes de « smishing » ou de « vishing ».

Encore une fois, ces attaques de phishing oscillent entre « ultra-spécifiques » et « très larges ». Les attaques les plus sophistiquées ont tendance à cibler une seule personne, tandis que les attaques plus basiques sont un peu aléatoires.

Comment éviter les escroqueries par hameçonnage

Un hameçon emportant un cadenas.

En raison de l’augmentation du travail à distance, le phishing est plus populaire que jamais. Et nous nous attendons à ce que cela reste un énorme problème pour les particuliers, les entreprises et les gouvernements – les escroqueries par hameçonnage peuvent être assez sophistiquées, donc même si vous avez des « connaissances en informatique » ou utilisez un logiciel antivirus, vous devez garder les yeux ouverts.

Examinez chaque e-mail ou SMS qui arrive dans votre boîte de réception. Si quelqu’un vous envoie une URL ou un fichier, ne l’ouvrez que si vous pouvez vérifier la source. Et je ne vous dis pas seulement de regarder l’adresse e-mail ou le numéro de téléphone de l’expéditeur. Essayez de contacter l’organisation ou la personne qui a soi-disant écrit cet e-mail pour vérifier son authenticité.

Pour être clair, il y a certaines choses que vous ne devriez jamais envoyer par e-mail ou SMS. Si quelqu’un vous demande de saisir votre numéro de sécurité sociale ou les informations de votre carte de crédit dans un e-mail ou un SMS, ignorez-le ! Votre banque ne demandera pas ces informations sur une plate-forme aussi peu sécurisée, et l’IRS non plus.

Notez que certains escrocs sont assez audacieux pour hameçonner via des appels téléphoniques. Ils peuvent même se faire passer pour la police, la banque ou votre employeur. Si un numéro inconnu appelle et demande de l’argent ou des informations sensibles, raccrochez. Vous pouvez toujours rappeler à l’aide d’un officiel numéro de téléphone sur le site Web de l’organisation.

Pour réduire vos chances d’être victime d’hameçonnage, configurez des filtres anti-spam dans votre client de messagerie. Vous pouvez également installer un logiciel antivirus et désactiver les notifications de sites Web dans votre navigateur.

Et comme les attaques de phishing sont si courantes, je suggère de prendre des mesures préventives pour réduire leur impact. Utilisez un gestionnaire de mots de passe pour créer des mots de passe uniques pour chaque compte et activez 2FA sur tous les sites Web, car il bloquera les escrocs même s’ils ont votre mot de passe. Vous pouvez également activer une alerte à la fraude par l’intermédiaire d’un bureau de crédit pour empêcher l’ouverture de nouvelles lignes de crédit à votre nom.

Que faire si vous êtes victime de phishing ?

Quelqu'un est contrarié par son ordinateur portable.

Selon la Federal Trade Commission des États-Unis, vous devez signaler toutes les attaques de phishing au Site Web de signalement de fraude. Vous pouvez également transférer des e-mails de phishing vers reportphishing@apwg.org et transférer des SMS d’hameçonnage à SPAM (7726). Si une attaque par hameçonnage usurpe l’identité d’une personne ou d’une organisation, vous devez également les avertir de l’attaque (surtout s’il s’agit d’un membre de votre famille ou d’une personne de votre entreprise).

Si vous êtes victime d’une attaque de phishing, il est temps de passer en mode réduction des risques. Modifiez les mots de passe de tous les comptes sensibles ou concernés et activez 2FA pour verrouiller les escrocs qui ont votre mot de passe. Un gestionnaire de mots de passe vous aidera à faire le travail.

Et si un escroc obtient vos informations de carte de crédit ou vos coordonnées bancaires, informez-en votre banque ! Ils vous aideront à remplacer la carte concernée et à contester les débits frauduleux. Vous devrez peut-être également geler vos cartes de crédit ou mettre en place une alerte à la fraude si un escroc obtient votre numéro de sécurité sociale, votre adresse ou votre date de naissance. Cela empêchera les transactions indésirables et empêchera les escrocs d’ouvrir de nouvelles lignes de crédit à votre nom.

Malheureusement, les attaques de phishing impliquant des logiciels malveillants sont un peu plus compliquées. Si vous ouvrez une pièce jointe malveillante ou téléchargez un logiciel suspect, vous devez mettre l’appareil concerné hors ligne. Exécutez une analyse antivirus ou une réinitialisation d’usine de l’appareil pour supprimer tout logiciel malveillant.

Nettoyer votre appareil des logiciels malveillants peut être impossible si le rançongiciel vous bloque. Dans cette situation, prenez une photo de l’écran de votre appareil (afin de pouvoir identifier le ransomware plus tard) et contactez les forces de l’ordre ou le FBI. Ne vous embêtez pas à payer la rançon, vous feriez mieux de consulter un spécialiste de la réparation ou d’attendre qu’une entreprise de sécurité publie une solution. Les escrocs se soucient rarement de savoir si vous payez une rançon, et au contraire, cela les encourage simplement à diffuser davantage de rançongiciels.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.