Phishing : quelques rappels sont nécessaires !

Classé dans la catégorie : Risques informatiques

Le phishing est l'une des formes d'attaque les plus connues aujourd'hui et a été à l'origine de certaines des failles de sécurité les plus médiatisées. On parle de phishing lorsqu'une victime potentielle est contactée (email, téléphone ou SMS) par un cybercriminel qui se fait passer pour une institution ou une personne légitime. Le principe repose sur le fait que la victime est invitée à fournir des informations sensibles (numéros de carte de crédit, nom d'utilisateur, mots de passe, etc.). Pour y parvenir, le hacker peut demander une réponse à l'email ou au texto, ou encore demander de cliquer sur un lien menant à une fausse page de destination qui tente de collecter les informations d'identification ou de charger un logiciel malveillant sur le système.

Pourquoi les attaquants utilisent-ils le phishing ?

Ces communications de phishing ont l’air à première vue légitimes, et ont déjà trompé des personnes, qu’elles soient novices ou professionnelles de l’informatique. Les attaquants utilisent principalement le phishing pour voler de l’argent ou des données. Cependant, certains cybercriminels utilisent de plus en plus le phishing pour se faire passer pour des personnes ayant accès à des réseaux ou à des systèmes convoités, en obtenant les informations de connexion de leurs comptes professionnels, par exemple. Plusieurs cas récents ont montré que certains pirates ayant obtenu les noms d’utilisateur et les mots de passe d’employés, ont pu accéder sans autorisation à des systèmes internes. Une fois dans le système, les hackers se font facilement passer pour des utilisateurs légitimes, il est difficile de les déloger.

Les acteurs malveillants peuvent également utiliser une attaque de phishing pour infecter un appareil avec un malware et inciter une personne à cliquer sur un lien. Une fois que le logiciel malveillant est installé sur l’appareil, les jeux sont faits. Si l’entreprise concernée ne dispose pas de stratégies de sécurité à jour, ce logiciel malveillant peut se déplacer d’un appareil à l’autre, déployer d’autres logiciels malveillants, voler des informations sensibles, enrôler des appareils dans un botnet ou même envoyer des spams à partir de la messagerie électronique de la victime.

Comment puis-je savoir si je suis la cible d’une campagne de phishing ?

Le phishing est extrêmement efficace parce qu'il s'attaque directement aux personnes. L’acteur malveillant n'essaie pas de tromper un système ou de contourner une politique de sécurité, il essaie de tromper les individus. Le phishing présente quelques caractéristiques principales :

  • C'est trop beau pour être vrai : « Vous avez gagné 10 000 euros, envoyez-nous vos coordonnées bancaires afin de pouvoir effectuer le virement ». Si cela semble trop beau pour être vrai, c'est que cela n’est tout simplement pas vrai.
  • Le sentiment d'urgence : « Sans réponse immédiate de votre part, votre compte bancaire sera suspendu ». N'oubliez pas qu'il est très rare de devoir faire quelque chose immédiatement sous peine de conséquences directes. Les hackers peuvent même envoyer des alertes de sécurité de type « Nous rencontrons un problème avec votre compte, cliquez ici pour vérifier vos informations ».
  • Des hyperliens : « Cliquez ici pour nous contacter et résoudre le problème ». Cette technique arrive à piéger de nombreuses personnes. Généralement, un bouton cliquable est disponible pour vous aider « à faire la démarche ». Survoler ledit bouton avec votre souris vous permet de voir où cela vous mène. Il est de mise de toujours vérifier cela avant de cliquer.
  • Les pièces jointes : « Télécharger ici ». Un email peut donner l'impression d'essayer de fournir des informations au lieu d'essayer d’amener la personne à en donner. Les pièces jointes peuvent contenir des logiciels malveillants visant à infecter les appareils.
  • Quelque chose semble louche : Le fait qu’il y ait des fautes d’orthographe dans le message ou que l’adresse email soit erronée, sont des signes de potentielles tentatives de phishing. Cependant, les acteurs malveillants font de plus en plus attention aux fautes d’orthographe ou de syntaxe.

Comment puis-je me protéger des campagnes de phishing ?

Il existe plusieurs façons de contribuer à la lutte contre les attaques de phishing. Premièrement, il s’agit de ne JAMAIS cliquer sur rien tant qu’on n’est pas sûr à 100% de l’identité de l’expéditeur. Cela peut sembler être du bon sens, mais c’est là la première étape de nombreuses attaques par ransomware, par botnets DDoS, ou le premier degré de failles de sécurité. Si une personne n’est pas certaine de quoi que ce soit, elle devrait contacter directement l'expéditeur présumé, par téléphone, par un nouvel email, un SMS ou une messagerie instantanée, et lui demander s’il a réellement tenté de la contacter.

Si une personne reçoit un message phishing sur son lieu de travail, celle-ci devrait prendre contact avec son équipe informatique : d'autres employés ont pu être contactés par le même message et le système de sécurité peut être mis à jour pour placer le message malveillant dans les courriers indésirables.

Les dirigeants d’entreprises devraient essayer de proposer une formation de sensibilisation à la sécurité aux employés. Des acteurs du marché peuvent aider à donner aux équipes les moyens d'identifier, d'agir et de répondre de manière proactive aux menaces de sécurité grâce à une formation de sensibilisation à la cybersécurité. La sécurité est aujourd'hui l'affaire de tous, et nous devons tous être équipés pour savoir comment nous protéger.

Les derniers produits : Toutes les categories