Les cybercriminels se servent des attaques par phishing pour demander à leur cible des informations sensibles et confidentielles comme les mots de passe, le numéro de compte bancaire et bien d’autres données confidentielles. Ils se font généralement passer pour un organisme officiel. Les attaques par phishing touchent aussi bien les entreprises que les particuliers.
Le rapport annuel de cybermalveillance.gouv.fr est sans appel, le phishing représentait la première forme d’attaque subie par les entreprises avec 21,2% en 2023. Il se trouve ainsi devant le ransomware et le piratage de compte. Le phishing, connu aussi sous le nom de « hameçonnage » en français, utilise des SMS, des e-mails ou même des appels téléphoniques pour encourager les victimes à cliquer sur un lien malveillant, télécharger des logiciels ou encore à livrer des informations sensibles. Une attaque phishing réussie débouche souvent sur une usurpation d’identité, une violation de données, des fraudes par carte bancaire ou encore des attaques de ransomwares.
Comment fonctionne le phishing ?
Selon le Baromètre de la cybersécurité en entreprise CESIN 2023, le Phishing demeure le principal mode d’attaque, signalé par 60% des entreprises comme vecteur d’entrée principal pour les attaques subies. L’ANSSI constatait une hausse des attaques par ransomware de 255 % en 2020. De son côté, Vade Secure dénombre près de 19,2 millions de courriels malveillants au mois de juillet 2022. Selon le rapport, l’e-mail reste le vecteur le plus utilisé pour les attaques de phishing. Ces chiffres se traduisent en France par un ciblage des télétravailleurs. En effet, près de la moitié d’entre eux se sont déjà fait piéger par un phishing.
Le phishing est une forme de cyberattaque basée sur l’ingénierie sociale. Les pirates établissent la communication avec sa victime à travers des informations qu’ils ont obtenues sur les réseaux sociaux par exemple. La victime n’a aucun moyen de reconnaître la fraude puisque le message semble provenir d’une source fiable.
Dans le phishing, les pirates se servent généralement des e-mails ou des SMS pour communiquer. Ces messages semblent inoffensifs et incitent les destinataires à effectuer une action spécifique : téléchargement d’un logiciel malveillant, remplissage d’un formulaire, visite d’un site malveillant avec les identifiants de connexion, etc.
Le principal objectif d’une attaque de phishing vise à obtenir les données sensibles des utilisateurs à l’instar des informations personnelles identifiables, des coordonnées bancaires ou encore des identifiants de connexion, etc.
Une fois que le pirate obtient assez d’informations de connexion, il peut changer les identifiants de connexion, accéder à des données de l’entreprise sur le cloud, pénétrer dans le réseau informatique, voler des données et demander une rançon, etc.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Les caractéristiques d’une attaque phishing
Bien que les pirates emploient plusieurs méthodes de phishing face à l’évolution technologique, leurs méthodes se ressemblent en plusieurs points :
- Les pirates usurpent souvent l’identité d’une entreprise de service ou d’un réseau social pour ne pas susciter la méfiance du destinataire.
- Les techniques évoluent sans cesse et deviennent plus sophistiquées. La dernière en date est le spear phishing que l’ANSSI définit comme une usurpation d’identité en s’appuyant sur une ingénierie sociale plus poussée. L’expéditeur se fait passer pour un partenaire ou un contact de confiance.
- Une attaque phishing réussie suffit à compromettre l’ensemble du réseau d’une entreprise.
- Les pirates s’appuient sur des sentiments comme la curiosité, l’urgence et la peur pour inciter leurs victimes à cliquer sur un lien.
Les différents types d’attaques phishing
Le phishing reste l’une des formes d’attaques les plus fréquentes en cybercriminalité. Les techniques des pirates évoluent parallèlement aux technologies. Avant, les cibles recevaient des e-mails génériques facilement reconnaissables comme frauduleux. Les pirates envoient ces messages à des milliers de destinataires. Cette technique est révolue et a fait place à d’autres qui sont plus sophistiquées.
Le phishing par courrier électronique
Il s’agit de la méthode la plus répandue. Le pirate envoie un e-mail qui semble provenir d’une entreprise de service (Amazon par exemple) ou d’une organisation légitime (une banque) à des milliers de destinataires.
La réussite de cette méthode repose sur la popularité de l’entité usurpée. Plus elle est connue, plus le mail a de chance d’atterrir dans la boîte de réception d’un client ou d’un abonné.
Les mails sont soigneusement travaillés pour paraître légitimes. Certains pirates vont même jusqu’à usurper le nom de domaine de l’expéditeur.
L’objet du mail aborde un sujet qui paraît crédible aux yeux du destinataire et peut susciter un sentiment d’urgence ou de curiosité chez lui. Cela peut être l’expiration d’un logiciel de travail par exemple, l’échec d’une transaction, etc.
L’objectif du mail consiste à encourager le destinataire à réaliser une action logique par rapport au sujet évoqué comme la mise à jour du logiciel, la nouvelle validation de la commande, etc. Dans tous les cas, le destinataire est amené à révéler des informations sensibles comme le numéro de compte bancaire. Dans le cas d’un téléchargement, l’action ouvre une brèche pour infecter le réseau de la cible.
Le spear phishing
Contrairement à la méthode précédente, celle-ci cible une personne spécifique. Elle peut occuper un poste à responsabilité au sein de son organisation, être une célébrité, etc. En somme, cette personne a accès à des informations sensibles.
Pour atteindre une cible spécifique, le pirate réalise de l’ingénierie sociale approfondie. Il scrute ses réseaux sociaux où il a tendance à partager des informations sur des événements importants dans sa vie. Cette étude lui permet ensuite de se faire passer pour un conseiller client, un collègue ou encore un fournisseur.
Dans le cas d’un fournisseur par exemple, il peut envoyer un mail demandant le paiement d’une facture avant son départ en vacances. Lorsqu’il vise un haut cadre ou une cible plus riche, ce type d’attaque est appelé chasse à la baleine.
Business e-mail compromise (BEC) ou compromission de messagerie professionnelle
Le BEC repose sur le même principe que le spear phishing à la différence qu’il vise à voler des informations précieuses au sein d’une organisation (données clients, secrets commerciaux, etc.) Ce type d’attaque porte également le nom de fraude au PDG. En effet, l’escroc usurpe l’identité d’un dirigeant ou d’un cadre supérieur afin d’ordonner à un employé subordonné de réaliser une action précise. Le mail peut intimer l’envoi de fichiers sensibles à un destinataire non connu, le versement de fonds dans un compte, le paiement d’une facture auprès du nouveau compte d’un fournisseur, etc.
Le BEC exploite d’abord les failles des employés à travers le spear phishing. Lorsque le pirate accède au réseau, il peut enfin usurper le compte de messagerie d’un dirigeant. Selon un rapport de Microsoft, des attaques BEC réussies coûtent des millions de dollars aux entreprises chaque année. En 2012, un cabinet lyonnais a perdu sept millions d’euros à cause de ce type d’attaque. En 2021, une autre société basée dans La Marne a perdu plusieurs millions d’euros lorsque les pirates ont usurpé l’identité du dirigeant.
Les exemples de phishing les plus courants en France
Selon une étude réalisée en France, les sujets des mails de phishing sont généralement sans grand intérêt. Ils traitent de questions banales qui n’éveillent pas la méfiance des utilisateurs. Néanmoins, ils sont suffisamment intéressants pour qu’ils les ouvrent.
Le retard de livraison
Ce type de message est utilisé par les cybercriminels depuis de nombreuses années. Sa crédibilité est renforcée par la hausse des livraisons à domicile grâce à l’essor du e-commerce. Le mail informe que le transporteur actuel ne peut pas assurer la livraison et invite le destinataire à changer de transporteur.
La réception de message provenant des réseaux sociaux
Les fausses notifications proviennent majoritairement de LinkedIn. Les utilisateurs sont tentés de cliquer dessus de peur de passer à côté d’une opportunité d’emploi. Les cybercriminels profitent pourtant du contexte actuel pour attirer le plus de personnes.
Le retard du récapitulatif d’impôt
Le mail informe d’un retard de l’arrivée du document fiscal. Le destinataire est alerté immédiatement par ce retard et veut en savoir davantage sur sa durée.
L’envoi de document sécurisé
En apparence, le mail semble provenir des RH et invite l’utilisateur à consulter un document sécurisé. Pour cela, il doit pourtant saisir des identifiants de connexion. Cette action risque de changer les paramètres d’un ordinateur. Elle risque même de compromettre son bon fonctionnement.
La maintenance programmée du serveur
Avec l’essor du télétravail, les salariés veulent connaître les détails de cette éventuelle coupure pour s’organiser.
Les marques les plus usurpées
L’usurpation d’identité est monnaie courante dans les attaques de phishing. Elle représente 14,2 % des attaques identifiées entre mai 2022 et mai 2023 selon un rapport de Cloudflare. À ce chiffre s’ajoute l’usurpation de marque qui s’élève à 5,4. Les hackers se font passer pour une marque ou une entreprise pour mettre en confiance leurs victimes. De son côté, la compromission du courrier électronique professionnel (DEC) représente 0,5 % des attaques en France.
Sur un milliard de courriers malveillants détectés, les hackers prennent l’identité d’au moins 1 000 entreprises. Néanmoins, une vingtaine de marques concentre l’usurpation d’identité. En tête du classement se trouve Microsoft. Google, SpaceX, l’OMS (Organisation mondiale de la santé) et Salesforce complètent le top 5.
Concernant les réseaux sociaux, YouTube, Instagram, Facebook, Pinterest et Whatsapp sont les plateformes les plus usurpées.
Une autre étude menée par CheckPoint révèle de son côté que LinkedIn représente 52 % des attaques par usurpation de réseau social au premier trimestre 2022. Cette même étude souligne la présence des entreprises de services tels que Fedex, DHL et Maersk dans les marques les plus utilisées par les pirates.
Comment reconnaître une attaque par phishing ?
Les hackers travaillent soigneusement l’authenticité des mails de phishing pour tromper le destinataire. Néanmoins, certains indices peuvent les alerter :
Les fautes d’orthographe
Les e-mails frauduleux contiennent généralement des fautes de grammaires et d’orthographes. Pourtant, les mails professionnels sont soumis à une vérification orthographique automatique avant l’envoi. Il est rare qu’ils contiennent des fautes.
L’utilisation d’un domaine de messagerie public
Si le destinataire a des doutes sur la provenance d’un e-mail, il peut vérifier la différence entre les adresses électroniques comme le nom de domaine par exemple. Prenons l’exemple d’un mail provenant d’un fournisseur, celui-ci devrait être envoyé depuis une adresse avec le nom de domaine de messagerie de l’entreprise. Si ce dernier ne correspond pas au nom de la société, il s’agit sûrement d’un mail de phishing.
La création d’un sentiment d’urgence
Les hackers suscitent un sentiment d’urgence chez le destinataire. Le contenu du mail intime des conséquences négatives indirectement en l’absence d’action. Face à l’urgence, le lecteur peut passer à l’action et accomplir une tâche que le hacker ordonne.
La présence de liens ou de pièces jointes suspects
La prudence est de mise à chaque ouverture d’une pièce jointe. Si l’extension du fichier ressemble à celle d’un logiciel qui demande à être installé, il s’agit d’un malware. L’analyse des pièces jointes est recommandée à leur ouverture.
Comment prévenir les attaques d’hameçonnage ?
Face à la hausse des attaques par phishing, le marché propose différents types de solutions pour bloquer ces attaques. Des outils spécialisés comme les pare-feux et les filtres antiphishing ont contribué à réduire les risques de cyberattaques. Néanmoins, les hackers se concentrent désormais sur le facteur humain. Les salariés deviennent le point d’entrée dans le système informatique d’une organisation.
L’humain : le facteur principal des attaques de phishing
Selon le rapport d’IBM concernant la sécurité informatique, 90 % des incidents de cybersécurité proviennent d’une erreur humaine. Cela se traduit par l’activation d’un virus, le clic sur un lien suspect, la consultation d’un site web douteux, etc.
Les cyberattaques provoquées par une erreur humaine concernent surtout les PME et TPE selon ce même rapport. Près de la moitié des entreprises ayant fait l’objet de l’étude ne sont pas confiantes dans l’aptitude de leurs salariés à reconnaître une menace.
À titre d’exemple, 46 % des entreprises estiment que la négligence et le manque d’information des employés sont à l’origine des incidents de cybersécurité.
Ces chiffres d’IBM confortent l’importance d’une sensibilisation massive à la sécurité informatique. Les salariés ont besoin d’une formation pour réveiller leur prise de conscience et les motiver à adopter les bonnes pratiques.
Les différentes formes de formation en phishing
Sachant que les techniques de phishing sont en constante évolution, les formations proposées doivent également suivre le rythme. Face à ce défi, les formes de formation les plus populaires sont :
- La simulation de phishing par e-mail : les salariés reçoivent un e-mail de phishing réaliste. L’objectif est d’évaluer leur réaction face à ce type de mail. Certains fournisseurs proposent à leur client des mails prêts à l’emploi. Le responsable informatique peut ainsi diffuser le message sans assistance technique et gagner du temps.
- La simulation d’attaque par ingénierie sociale : le contenu porte ici sur une histoire fictive afin de manipuler et influencer le comportement du destinataire. L’objectif est de tester la réaction des salariés à cette méthode plus sophistiquée.
- La simulation de phishing en ligne : cette fois, la simulation se déroule sur les réseaux sociaux. Le faux mail provient d’un ami ou d’un collègue et invite le destinataire à compromettre ses données personnelles.
- La gamification : Ce concept repose sur les jeux vidéo afin d’offrir une expérience ludique aux salariés durant la formation. De plus en plus d’entreprises se servent de la gamification afin de rendre la formation plus ludique et par conséquent, mémorable.
Afin d’optimiser l’efficacité de la sensibilisation, de nombreuses entreprises misent sur la combinaison de plusieurs méthodes.
Les bonnes pratiques à adopter
Face au sentiment d’urgence suscité par un courriel, le destinataire ne doit pas paniquer. Cela évite d’accomplir des gestes comme cliquer un lien ou ouvrir une pièce jointe. En prenant le temps d’analyser, il peut identifier quelques indices pour ne pas tomber dans le piège.
Les attaques de phishing invitent généralement les cibles à saisir des informations personnelles via un formulaire ou à envoyer ces données par mail. Avant de donner des informations sensibles, il est important de s’assurer que le site web est bien sécurisé.
Les mails de phishing contiennent souvent des liens qui redirigent vers un site malveillant. Pour s’assurer que l’URL est de confiance, il suffit de le survoler afin de vérifier que le lien mène bien à l’adresse qu’il indique. Dans certains cas, les hackers se servent des services comme bitly pour raccourcir les URL. Ceci empêche les cibles d’identifier leur destination. À noter qu’une entreprise légitime utilise rarement ce type de service pour envoyer un lien.
Avant d’activer un contenu dans Office, il est important de s’assurer de sa source. Si le destinataire a des doutes, il peut contacter l’expéditeur pour obtenir une confirmation. Celui-ci peut répondre que son identité a été usurpée ou qu’il s’agit bien de lui.
L’utilisation d’un logiciel anti-hameçonnage contribue aussi à bloquer ces menaces. Néanmoins, il faut le mettre régulièrement à jour pour éviter que les pirates exploitent leur vulnérabilité.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
Le phishing est une technique de cyberattaque utilisée par des fraudeurs pour obtenir des informations confidentielles telles que des identifiants de connexion, des mots de passe ou des informations bancaires en se faisant passer pour des entités légitimes via des e-mails ou des sites web frauduleux.
Les cibles du phishing sont généralement les utilisateurs d'internet, qu'ils soient des particuliers ou des employés d'entreprises. Les fraudeurs visent souvent les individus qui peuvent détenir des informations sensibles, telles que des identifiants de connexion, des informations bancaires ou des données personnelles, qu'ils peuvent exploiter à des fins malveillantes.
Pour éviter de tomber dans une attaque de phishing, il est essentiel de rester calme face à un courriel urgent et de ne pas se précipiter à cliquer sur des liens ou ouvrir des pièces jointes. Prenez le temps d'analyser le contenu du courriel pour repérer d'éventuels indices de fraude. Avant de fournir des informations sensibles ou d'activer du contenu, assurez-vous de la légitimité du site web ou de l'expéditeur en vérifiant les URLs et en contactant directement la source si nécessaire. L'utilisation d'un logiciel anti-phishing est recommandée, mais il doit être régulièrement mis à jour pour rester efficace contre les nouvelles menaces.