Qu’est-ce que l’hameçonnage ?
L’hameçonnage : définition
L’hameçonnage, ou phishing, est une forme de cybercriminalité où des individus malveillants tentent d’accéder à des informations pour modifier des éléments à leur profit, voler de l’argent ou obtenir un avantage. Pour ce faire, ils contactent leurs victimes par différents canaux de communication, y compris les mails. Aujourd’hui très répandu, le phishing est un problème majeur, car il serait responsable de deux tiers des failles de sécurité annuelles. Les mails d’hameçonnage envahissent quotidiennement les boîtes de réception, ciblant aussi bien les messages personnels que les communications des petites entreprises et des grandes sociétés.
Principales techniques de phishing
Les acteurs malveillants envoient régulièrement des mails, des messages ou des textos pour leurrer des personnes peu méfiantes et les inciter à divulguer des données personnelles ou bancaires. Certains destinataires pensent que ces communications, d’apparence légitime, proviennent de sources fiables, de personnes en position d’autorité ou d’individus en détresse, tandis que d’autres répondent par simple curiosité.
Les tentatives d’attaques par phishing s’appuient souvent sur la manipulation des émotions, telles que la culpabilité, ainsi que sur le manque de connaissances des victimes pour les piéger. Elles exploitent également leur manque d’attention aux détails.
Exemples d’arnaques par phishing
L’hameçonnage est à l’origine de nombreux incidents majeurs en cybersécurité.
- En 2009, l’opération Phish Phry du FBI a conduit à l’inculpation de 100 personnes pour cybercriminalité. Le FBI a été alerté lorsque des clients ont reçu des mails trompeurs prétendument envoyés par leurs établissements financiers. En répondant à ces messages, les clients ont saisi leurs mots de passe et des informations relatives à leur compte sur un site frauduleux. Les victimes, ainsi que les établissements financiers concernés, ont subi d’énormes pertes financières.
- En 2013, l’attaque Target/FMS Scam, une campagne de phishing, a permis aux hackers d’accéder aux informations des cartes bancaires de 40 millions de clients, compromettant ainsi 70 millions de fichiers clients. Le mail d’hameçonnage utilisé pour déployer des logiciels malveillants sur les terminaux de point de vente a été envoyé aux employés d’une société de services en chauffage, ventilation et climatisation sous-traitante de Target. Un employé peu méfiant a probablement téléchargé le logiciel malveillant à partir de ce mail, permettant ainsi aux pirates d’accéder aux serveurs de Target.
- En 2016, FACC, fabricant autrichien de pièces pour le secteur aérospatial et fournisseur de clients prestigieux comme Boeing et Airbus, a été victime d’une attaque par phishing par mail. Les hackers se sont fait passer pour Walter Stephen, le PDG canadien de FACC, et ont réussi à convaincre un employé de transférer 61 millions de dollars sur un compte bancaire en Chine. En réponse à la découverte de cette fraude, le PDG, Walter Stephen, et le directeur financier ont été licenciés et l’entreprise a été poursuivie. FACC a été accusée de ne pas avoir mis en place des contrôles de sécurité adéquats ni assuré une supervision appropriée. Les conséquences de cet incident ont été considérables.
Types d’attaques par hameçonnage
Présentation des différents types d’attaques par phishing
Il existe différents types et styles d’attaques. Outre le phishing par mail classique, les hackers peuvent également mener des attaques par SMS, sur les réseaux sociaux ou par appel vocal, chaque méthode a un nom spécifique. La majorité des arnaques par phishing cherchent à tromper un grand nombre de personnes et sont souvent peu efficaces. Certaines attaques, comme le spear phishing, le clone phishing et le whaling, sont plus élaborées et peuvent causer de graves problèmes aux organisations ou aux individus ciblés. Malgré cela, l’hameçonnage par mail reste la forme d’attaque la plus répandue.
Le spear phishing : quelles sont les caractéristiques ?
Le spear phishing cible des individus spécifiques plutôt que de viser un grand nombre de personnes. Pour conduire ce type d’attaque, les criminels accèdent à une adresse électronique interne d’une organisation, soit par phishing classique, soit en exploitant une faille de sécurité du système. Ils sélectionnent ensuite leur cible, élaborent une stratégie et se font passer pour un membre de l’entreprise. Souvent, les employés visés reçoivent des mails qui semblent authentiques, comme s’ils provenaient d’un collègue ou d’une personne en position d’autorité, avec des instructions conçues pour exploiter leurs émotions et les inciter à accomplir une tâche. Ces mails présentent souvent des anomalies subtiles que l’utilisateur, influencé par l’émotion ou la curiosité, pourrait ne pas remarquer. Il est donc essentiel de vérifier indépendamment toute demande inhabituelle, surtout si elle semble suspecte.
Le clone phishing : comment cela fonctionne ?
Le clone phishing utilise des techniques de phishing classiques pour accéder à des mails authentiques de l’entreprise accompagnés de pièces jointes. Les hackers copient fidèlement ces messages, puis les envoient après avoir remplacé les pièces jointes par des versions frauduleuses contenant des malwares conçus pour voler des informations sensibles. Ces mails clonés sont souvent présentés comme des « mises à jour » urgentes des pièces jointes, ce qui incite la victime à agir rapidement. Contrairement au spear phishing, qui cible une entreprise ou un individu particulier, le clone phishing imite ou duplique des mails légitimes de manière convaincante.
Reconnaître les mails d’hameçonnage
Caractéristiques courantes des mails d’hameçonnage
Les mails d’hameçonnage contiennent souvent des fautes de grammaire, des liens inhabituels, des incitations à télécharger des fichiers suspects, ou proviennent d’expéditeurs inconnus ou d’adresses électroniques fantaisistes. Les entreprises ont souvent besoin de formations spécialisées en cybersécurité pour aider leur personnel à reconnaître les mails frauduleux.
Comment reconnaître un contenu frauduleux ?
Si vous recevez une demande d’informations sensibles par mail, utilisez uniquement des canaux officiels et sécurisés pour les transmettre, et seulement si cela est recommandé et sûr. Examinez toute demande inhabituelle avec soin, et si un mail vous dirige vers un site web, vérifiez que l’adresse URL est correcte dans la barre d’adresse avant de saisir des informations personnelles. Les mails provenant de personnes ou d’organisations connues, mais contenant des éléments inhabituels (comme un contenu, un style ou un ton anormal) doivent être traités avec prudence. Méfiez-vous également des messages qui vous demandent une action urgente, des déclarations émotionnelles fortes ou des menaces. Enfin, toute communication non sollicitée ou inattendue doit être immédiatement considérée comme suspecte.
Conseils pour déjouer les tentatives de phishing
Des actions simples permettent de se prémunir contre les arnaques par phishing.
- Informez-vous sur le fonctionnement d’une arnaque par phishing.
- Participez à une formation ou demandez conseil au service informatique ou cybersécurité de votre entreprise.
- Restez informé en consultant des ressources sur les arnaques par phishing connues et en suivant l’actualité sur la cybersécurité. Vous disposerez ainsi d’une mine d’informations utiles pour mieux repérer les attaques par phishing.
- Adoptez les mesures de sécurité et respectez les contrôles et les protocoles de sécurité de l’entreprise.
Restez très vigilant face aux mails, SMS, messages sur les médias sociaux et appels vocaux. Vérifiez attentivement l’origine de chaque demande, évaluez s’il est prudent d’y répondre et recherchez des indices qui peuvent vous aider à vérifier son origine.
Examinez attentivement chaque communication. Avez-vous initié la conversation, ou provient-elle de quelqu’un d’autre ? Quel est l’objectif de cet échange ? Soyez attentif à tout ce qui vous semble suspect : demandes urgentes, tentatives de manipulation émotionnelle, rythme inhabituel des échanges, fautes de français, liens suspects et instructions douteuses. Chacun de ces éléments peut indiquer une tentative de phishing.
L’utilisation d’un gestionnaire de mots de passe, comme LastPass, est une solution simple pour protéger vos mails contre les tentatives d’accès des hackers et éviter que les utilisateurs finaux ne complètent des formulaires frauduleux.
Se protéger contre l’hameçonnage
Les bonnes pratiques pour éviter les attaques par phishing
Des gestes simples peuvent vous protéger des attaques par phishing. Prenez votre temps, lisez vos mails attentivement, vérifiez la correspondance entre l’adresse et l’expéditeur avant de répondre, et restez à l’affût de signes d’activité suspecte.
Utiliser des mots de passe forts et uniques
L’authentification multifacteur (MFA) et des mots de passe robustes vous protègent contre les intrusions et sécurisent vos données. En modifiant régulièrement vos mots de passe ou en utilisant un gestionnaire de mots de passe, vous rendez l’accès plus difficile pour les hackers, renforçant ainsi la protection de vos informations.
Le rôle clé des gestionnaires de mots de passe, tels que LastPass, dans la protection contre le phishing
Les gestionnaires de mots de passe, comme LastPass, aident à réduire la fatigue liée à la gestion des mots de passe et à garantir une communication fiable et sécurisée. LastPass identifie les sites web frauduleux pour empêcher les utilisateurs de divulguer leurs informations personnelles sur des sites suspects.
Répondre au phishing et le signaler
Quels sont les bons réflexes face à un mail d’hameçonnage ?
Lorsque vous recevez un mail d’hameçonnage, agissez avec prudence : analysez-le attentivement et signalez-le.
Ne cliquez sur aucun lien, ne téléchargez aucune pièce jointe. Avant d’agir, vérifiez l’identité de l’expéditeur, puis suivez la procédure de signalement de votre entreprise.
Comment signaler une tentative d’hameçonnage ?
Signaler l’hameçonnage est crucial pour prévenir d’autres arnaques et identifier les malfaiteurs. Veillez à suivre les procédures de signalement de votre entreprise et à consulter votre service informatique ou cybersécurité pour obtenir des conseils. Vous pouvez également signaler les messages suspects à Signal Spam, les SMS et les appels indésirables à 33700, et les sites web frauduleux à Phishing Initiative. Pour en savoir plus sur la cybersécurité, consultez le site de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Mesures à prendre si vous pensez avoir été victime d’un phishing réussi
Si vous pensez avoir été victime d’un hameçonnage réussi, déconnectez immédiatement votre appareil du réseau Internet, effectuez un scan avec votre antivirus, et surveillez vos mails ainsi que vos comptes en ligne pour détecter toute transaction suspecte. Si l’incident a eu lieu sur un réseau ou un appareil professionnel, signalez-le et suivez les procédures de sécurité habituelles.
Le phishing représente une menace sérieuse. Pour s’en protéger, il est crucial d’être vigilant et bien informé. En comprenant les techniques courantes d’hameçonnage, en détectant les mails suspects et en appliquant les meilleures pratiques, les particuliers et les entreprises peuvent se protéger efficacement contre ces attaques.
L’une des premières actions les plus simples ? Démarrez un essai de LastPass dès aujourd’hui pour améliorer la protection de votre entreprise face aux attaques par phishing.