Qu'est-ce que le phishing ?
Le phishing est un type de cybercriminalité impliquant un pirate informatique, qui se fait passer pour une source fiable, qui tente de recevoir des informations sensibles (telles que des mots de passe, des données ou des numéros de carte de crédit) d'une victime.
Lire aussi : 10 faits que vos employés devraient connaître sur le phishing
Il existe différents types de phishing
La plupart du temps, un assaillant commencera par utiliser une attaque de phishing, et l'ingénierie sociale, pour accéder aux ressources de sa victime.
Il existe plusieurs façons pour un pirate d'essayer d'hameçonner quelqu'un, les principales étant par courrier électronique, par téléphone (vishing = voix) ou par SMS (smishing = sms). L'objectif du phishing est de recueillir des informations sensibles. Il peut s'agir de mots de passe ou d'informations identifiables, voire de coordonnées bancaires. Ces données sont utilisées à des fins d'usurpation d'identité, de spam, de fraude ou d'espionnage d'entreprise.
Des chiffres en hausse
Le phishing existe depuis le début de l'Internet, mais ces dernières années, le nombre de courriers de phishing envoyés a considérablement augmenté. En raison de la croissance de l'internet, de plus en plus de personnes reçoivent des e-mails (et du phishing) chaque jour. Nous pouvons difficilement imaginer un jour où nous ne vérifions pas nos e-mails.
À l'heure actuelle, environ 150 millions d'e-mails de phishing sont envoyés chaque jour. Sur ces 150 millions d'e-mails, 16 millions passent à travers les filtres anti-spam. Environ la moitié d'entre eux sont ouverts, et 800 000 liens sont cliqués. Chaque jour, plus de 80 000 personnes partagent des informations sensibles à cause de ce type d'attaques de phishing.
Ceci, combiné à la diminution du coût d'envoi de ces e-mails de phishing, aura pour conséquence l’augmentation du nombre d'e-mails envoyés. Il est donc vital pour votre organisation que vos utilisateurs soient simplement capables de traiter les e-mails de phishing et de les reconnaître.
Les différents types de phishing
Phishing
Le phishing est le terme générique que nous utilisons pour parler de ce type d'attaques. Il englobe toutes les méthodes imaginables pour voler les données d'une personne ou accéder à ses réseaux, ses appareils,... Le phishing est utilisé à l'origine pour parler des messages électroniques.
Smishing
Lorsqu'un attaquant utilise des messages textuels (SMS, WhatsApp,...) pour établir un premier contact avec une victime potentielle, on utilise le terme de smishing. La véracité des messages textuels est plus difficile à vérifier, ce qui signifie que vous devez toujours être prudent lorsque vous cliquez sur un lien dans un message.
Vishing
Lorsque des appels téléphoniques entrent en jeu, on utilise le terme vishing. Il peut s'agir d'un premier contact ou d'un contact plus avancé, lorsqu'un pirate tente de vous convaincre de coopérer en prétendant qu'une activité douteuse a été repérée sur l'un de vos comptes. Ne partagez jamais d'informations sensibles lors d'un appel téléphonique !
Spear phishing
Harponnage, ou Spear phishing, est une forme spécialisée de phishing. Le phishing ordinaire consiste généralement à ratisser large : les attaquants envoient des messages malveillants à autant de destinataires que possible, tandis que le spear phishing vise souvent une victime potentielle spécifique.
Whaling
Le whaling est une forme spécialisée de spear phishing : il vise résolument les plus gros poissons d'une organisation. Il ne faut pas le confondre avec la fraude au PDG, où un pirate se fait passer pour une personne de niveau C afin de faire pression sur la victime pour qu'elle entreprenne une certaine action.
Angler phishing
Angler phishing est le cas où les cybercriminels se font passer pour un service clientèle ou des comptes de médias sociaux utiles. Ils font semblant de vouloir vous aider, mais en réalité, ils obtiennent vos données de connexion, vos informations de carte de crédit et bien plus encore.
Formation automatisée à la cybersécurité
Phished est une plateforme de formation à la cybersécurité pilotée par l'IA qui forme vos employés à l'aide de simulations de phishing avancées et automatisées sur un large éventail de sujets de cybersécurité. Un apprentissage personnalisé basé sur les connaissances et l'expérience personnelles.
Comment prévenir le phishing ?
Mieux vaut prévenir que guérir, surtout dans le cas du phishing. Un clic par inadvertance sur un lien dans un courriel ou un message texte de phishing n'est pas une catastrophe. Saisir ensuite ses coordonnées sur un site web frauduleux ou les transmettre à un pirate par téléphone, c'est ça. Il n'existe pas de règle d'or unique contre le phishing ; il est préférable de prendre plusieurs mesures. Voici quelques conseils pour vous aider à reconnaître et à éviter le phishing :
Typosquatting
Réfléchissez avant de cliquer sur un lien. Attention au typosquatting : il s'agit d'une modification à peine visible d'un nom de domaine tel que "@gnail.com".
Informations sensibles
Ne donnez jamais d'informations personnelles, que ce soit sur Internet ou par téléphone. Les banques ou les compagnies d'assurance ne vous demanderont jamais d'informations sensibles par ces canaux.
Formation anti-hameçonnage
Formez votre personnel aux techniques anti-hameçonnage. Ils apprennent ainsi à reconnaître les dangers et à agir en conséquence. Pour cela, vous pouvez utiliser nos simulations de phishing sur mesure et la Phished Academy.
Pourquoi le phishing augmente-t-il pendant une crise ?
Le nombre d'attaques par hameçonnage est monté en flèche pendant la pandémie. Les cybercriminels sont connus pour leur capacité à tromper les gens en créant un sentiment d'urgence. Une crise, telle que des intempéries ou une pandémie, est le moment idéal pour que les fraudeurs en profitent.
Après tout, pendant une crise, les gens sont tendus et veulent des informations aussi rapidement que possible. Si un hacker envoie ensuite un e-mail ou un SMS bien ficelé au nom du gouvernement ou des compagnies d'assurance, les victimes sont rapidement tentées de tomber dans le piège.
Pendant la pandémie de corona, par exemple, plusieurs personnes ont reçu des courriels contenant de fausses invitations pour un vaccin corona. Les cybercriminels jouent également sur les intempéries : ils envoient des SMS au nom de la compagnie d'assurance avec un lien pour signaler les dégâts des eaux. Méfiez-vous donc encore plus du hameçonnage pendant une crise et armez-vous de notre formation anti-hameçonnage.
Lire la suite