Le phishing est une technique d’ingénierie sociale qui consiste à manipuler la cible pour l’inciter à communiquer des informations personnelles. Même les internautes les plus avertis peuvent tomber dans le piège. Découvrez les différents types de phishing, comment ils fonctionnent, et nos conseils pour vous protéger.
Sommaire
Le phishing, ou hameçonnage, est une technique de fraude visant à récupérer des données personnelles et/ou bancaires d’un internaute en se faisant passer pour un tiers de confiance. Ce type d’arnaque très répandu sur Internet peut avoir lieu sous différentes formes : e-mail, appel, SMS, ou encore message sur les réseaux sociaux.
Le but du phishing est de soutirer des données sensibles ou de l’argent à la victime, qu’il s’agisse d’une personne ou d’une société. Pour y parvenir, les cybercriminels élaborent de faux messages vous incitant à cliquer sur un lien ou à communiquer vos informations personnelles, telles que votre mot de passe ou vos coordonnées bancaires, par exemple.
Le message ou l’appel en question semble provenir d’une personne ou d’un organisme que vous connaissez : un proche, une banque, un service administratif, etc. Ces attaques étant souvent bien réalisées, les utilisateurs « mordent à l’hameçon » et cliquent sur le lien fourni sans hésiter.
La forme d’hameçonnage la plus répandue est l’hameçonnage de masse, méthode par laquelle des attaques non ciblées sont lancées par les fraudeurs. Dans ce cas, pas besoin d’une collecte d’informations préalable par le cybercriminel : il suffit d’un message générique suffisamment crédible, ressemblant à celui pouvant provenir d’une entité connue, et le tour est joué.
Le phishing a connu une recrudescence considérable ces dernières années. On estime que 32% des failles de sécurité impliquent aujourd’hui le phishing, et 75% des organisations ont signalé une attaque d’hameçonnage en 2020. L’efficacité et la dangerosité du phishing résident dans le fait que ces attaques n’exploitent pas une faille technique du système, mais bien l’esprit humain.
Exemple : vous recevez un e-mail de votre banque vous demandant de changer votre mot de passe pour renforcer la sécurité de votre compte. L’e-mail semble parfaitement légitime et vous invite à cliquer sur un lien pour procéder au changement. Qui y réfléchirait à deux fois avant de cliquer ?
En outre, certaines attaques sont particulièrement sophistiquées et utilisent des informations précises à votre sujet pour rendre l’intervention crédible. Les cybercriminels parviennent également à réaliser des interfaces web toujours plus réalistes et imitant parfaitement des sites Internet légitimes.
Tomber dans le piège d’une attaque par phishing ne tient qu’à un clic, et pourtant, les conséquences peuvent être désastreuses :
Afin de reconnaître une arnaque Internet et d’éviter de devenir une victime de phishing, quelques règles élémentaires de bon sens et de sécurité sont suffisantes. Il convient de manière générale de se demander si le message reçu est plausible. Voici quelques indices pouvant vous mettre la puce à l’oreille pour démasquer une tentative d’hameçonnage :
Il existe de nombreuses formes d’attaques par hameçonnage. Voici un tour d’horizon des techniques principales.
Les attaques par e-mail représentent la forme la plus courante de phishing. Ce sont aussi celles qui démontrent la plus grande efficacité. Le phishing par e-mail se présente sous différentes formes, selon la personne ciblée et les techniques utilisées :
La technique du harponnage, ou spear phishing en anglais, consiste en une attaque adaptée et ciblée sur une seule personne ou entreprise. Le pirate effectue des recherches sur sa cible au préalable, de sorte que le contenu est adapté à sa victime, ce qui rend la tentative de fraude plus plausible. Ce type d’attaque s’est particulièrement développé au sein de réseaux professionnels tels que LinkedIn.
Le fraudeur utilise de nombreuses ressources pour obtenir des informations personnelles telles que le numéro de téléphone de la victime, son adresse ou même son numéro de sécurité sociale, voire pour connaître le fonctionnement interne d’une entreprise.
Grâce aux informations recueillies, le pirate peut aisément se faire passer pour une personne digne de confiance (ancien collègue, représentant d’un service fréquemment utilisé par la victime, etc.). De cette manière, par le biais d’e-mails qui semblent légitimes, ils réussissent à obtenir des informations confidentielles ou même des transferts d’argent.
Le whaling est une forme de spear phishing plus poussée. Le principe est ici de cibler les « gros poissons », c’est-à-dire les personnes les plus haut placées au sein d’une société. Le but du whaling est donc de tromper une personne occupant une place suffisamment importante pour la convaincre de fournir des informations confidentielles sur l’entreprise, ou encore des données personnelles. Le pirate pourra ensuite se faire passer pour cette personne de haut rang (directeur général, actionnaire principal, etc.) afin que les employés soient plus enclins à répondre à ses demandes. Cette technique demande plus d’efforts de la part de l’attaquant, mais offre potentiellement des gains beaucoup plus importants.
Le clonage, ou clone phishing en anglais, nécessite une étroite surveillance de la boîte mail de la victime par son malfaiteur. L’hameçonneur réalise une copie d’un e-mail reçu récemment avec une pièce jointe ou un lien. Ces derniers sont en réalité modifiés de sorte à contenir un malware ou à renvoyer vers un site frauduleux. Ainsi, le hacker peut contrôler le système de l’utilisateur et imiter son identité sans éveiller les soupçons d’autres victimes.
Ce type de phishing permet par exemple au pirate d’envoyer des factures qu’il aura préalablement modifiées à des destinataires habituels de la victime, qui ne feront pas attention au fait que l’adresse mail de l’expéditeur a été légèrement modifiée. Le montant de la facture sera ainsi directement envoyé au hacker.
Le vishing (pour voice phishing) est une forme d’hameçonnage menée par téléphone. Cette technique consiste à appeler une victime potentielle en se faisant passer pour le service client d’une entreprise, voire pour une organisation officielle telle que les impôts ou la police. L’escroc lui annonce alors que la sécurité de son compte a été compromise, que des tentatives d’utilisation frauduleuse de sa carte bancaire ont été relevées, ou encore qu’elle a oublié de payer une amende. Dans ce cas, le hacker joue sur la peur pour inciter la victime à communiquer immédiatement ses informations bancaires ou toute autre donnée sensible.
Le contact direct avec l’interlocuteur crée un sentiment d’urgence et fausse le jugement de la victime, qui n’a pas le temps de prendre du recul sur la situation. De plus, il est très souvent demandé que le paiement s’effectue par virement bancaire ou par le moyen d’une carte prépayée. Il est ainsi impossible de remonter jusqu’au hameçonneur.
Le smishing est une forme d’hameçonnage réalisée par SMS. Nombreuses sont les attaques visant à faire cliquer le destinataire sur un lien douteux ou à télécharger une application sur son téléphone. Les prétextes utilisés sont très variés : offre exceptionnelle, perte de l’accès à son compte, colis à récupérer…
Le social phishing, aussi appelé angler phishing, consiste pour l’attaquant à se faire passer pour le représentant d’un service client afin de convaincre sa victime de divulguer des informations personnelles. Sous prétexte d’une alerte de sécurité ou d’un incident technique, l’escroc prétend aider sa cible à reprendre le contrôle sur son compte et joue de la confiance qui règne avec le client pour lui soutirer ces informations précieuses.
Cette forme plus particulière de phishing consiste à insérer des liens malveillants dans les invitations des applications d’agenda telles que Calendly. Ces liens mènent ensuite les victimes vers un site frauduleux dans le but de récupérer leurs identifiants.
Certaines tentatives d’hameçonnage reviennent très souvent, utilisant des prétextes crédibles et redoutablement efficaces. Par exemple :
Face aux tentatives d’hameçonnage qui cherchent à jouer sur vos émotions et vous poussent à agir rapidement, la première règle d’or est de garder votre sang-froid. Prenez toujours le temps de réfléchir, que vous receviez un message menaçant de clôturer votre compte ou un appel vous sommant de confirmer vos coordonnées bancaires.
Voici la marche à suivre pour réagir en cas d’arnaque par phishing, et quelques conseils pour s’en prémunir.
Vous avez cliqué sur un lien douteux et vous pensez vous être fait arnaquer sur un site web ? Pas de panique, nous vous expliquons comment faire pour limiter les dégâts et empêcher que cela ne se reproduise.
Les arnaques par phishing sont heureusement évitables, et en suivant quelques règles et conseils, vous pourrez minimiser les risques d’être victime d’une tentative d’hameçonnage.
Protégez-vous contre les cyberattaques : munissez-vous d’un VPN de qualité.