Le phishing touche de plus en plus d’entreprises chaque années. Cette année, 22 % des violations de données signalées ont commencé par un e-mail de phishing. Pire encore, 85 % des entreprises ont été victimes d’une attaque de phishing au moins une fois.
A travers cet article EXTER vous propose donc de découvrir les différentes techniques de phishing et comment vous en prémunir.
Qu’est-ce que le phishing en informatique ? Définition !
Le hameçonnage, ou phishing en anglais, est un type de cyberattaque visant à récupérer des informations sensibles telles que des mots de passe ou des numéros de carte bancaire.
Les attaquants peuvent utiliser des techniques d’ingénierie sociale pour tromper les utilisateurs en leur faisant croire qu’ils interagissent avec une entreprise légitime ; alors qu’en réalité, ils sont en train de donner leurs informations à des cybercriminels. Heureusement, il existe des moyens de se protéger contre ce type d’attaque.
Quels sont les risques du phishing ?
Grâce aux informations sensibles obtenues lors d’une escroquerie de phishing réussie, ces voleurs peuvent faire une usurpation d’identité afin de contracter des emprunts ou obtenir des cartes de crédit et même des permis de conduire à votre nom.
Les différentes techniques de phishing
Pour améliorer la cybersécurité de votre entreprise, lutter contre le phishing est indispensable. 96 % de toutes les attaques de phishing se font par e-mail. Il existe de nombreux types d’escroqueries par hameçonnage par courrier électronique :
Le pharming ou empoisonnement du cache du DNS
Une attaque de pharming est un type de cyberattaque qui redirige le trafic d’un site web vers un site imposteur malveillant. Le pharming peut être utilisé pour voler des informations sensibles ; telles que des identifiants de connexion ou des informations financières. Les sites des banques et des administrations sont souvent utilisés.
Typosquattage / détournement d’URL
Les URL de ces sites frauduleux semblent authentiques mais sont subtilement différentes de celles qu’ils imitent. Ils visent à tirer parti des fautes de frappe lorsque les utilisateurs saisissent les URL des noms de domaine dans la barre d’adresse de leur navigateur. Par exemple, ils peuvent :
- utiliser des lettres qui se trouvent l’une à côté de l’autre sur le clavier, comme le » n » à la place du » m » ;
- intervertir deux lettres ;
- ajouter une lettre supplémentaire.
La méthode du Clickjacking
Les attaquants utilisent plusieurs couches transparentes pour placer du contenu cliquable malveillant au-dessus des boutons légitimes. Par exemple, un acheteur sur un site de commerce en ligne peut penser qu’il clique sur un bouton pour effectuer un achat, mais il téléchargera à la place un logiciel malveillant.
Tabnabbing : une arnaque sur internet qui fonctionne très ben
Le tabnabbing est une technique de phishing qui consiste à inciter les utilisateurs à saisir leurs informations d’identification sur un faux site web ; en le faisant ressembler au site original. Cette technique tire parti du fait que la plupart des utilisateurs ne font pas attention à l’URL du site qu’ils visitent.
Quels sont les deux types de phishing les plus courants ?
La plupart des messages de phishing sont envoyés au hasard à un grand nombre de destinataires. Ils comptent sur le poids du nombre pour réussir. Plus les e-mails sont envoyés en masse, plus ils ont de chances de trouver une victime qui les ouvrira.
Cependant, il existe également d’autres types d’attaques, connues sous le nom de spear phishing. Ils ciblent des organisations ou des personnes spécifiques. Comme pour les campagnes de phishing plus larges, ces e-mails peuvent contenir des liens ou des pièces jointes malveillantes.
Types d’hammeçonnage par spear phishing :
Clone Phishing – Faux site internet
Le clone phishing est un type d’attaque par hameçonnage dans lequel un e-mail qui semble provenir d’un expéditeur de confiance ; comme une banque. Mais c’est en réalité celui d’un pirate informatique. L’e-mail contient souvent un lien vers un clone du site web original. Ce site cloné invite alors l’utilisateur à saisir ses identifiants de connexion ; que l’attaquant vole et utilise par la suite.
Fraude au PDG : une arnaque sur internet de plus en plus rependue
La fraude au PDG ou arnaque au président est un type d’escroquerie dans lequel une personne se fait passer pour un PDG ; ou un autre cadre important d’une entreprise.
Son objectif : inciter des employés ou d’autres personnes à lui communiquer des éléments confidentiels ou lui envoyer de l’argent. L’escroc peut contacter les victimes par courrier électronique, par téléphone ou via les réseaux sociaux. Aussi, il peut utiliser de faux sites internet ou d’autres méthodes pour que son escroquerie paraisse légitime.
Besoin de conseils pour vous protéger du phishing ?
Un devis ?
Comment identifier les courriels de phishing ?
La meilleure façon d’éviter de tomber dans le piège d’un email de phishing est de connaître les techniques courantes qu’il utilise. Voici quelques-unes des techniques les plus courantes :
Demande d’informations personnelles ou sensibles : Les courriels d’hameçonnage tentent souvent de vous inciter à révéler des informations confidentielles ; telles que votre numéro de carte de crédit ou les mots de passe de votre compte. Ils peuvent le faire en vous demandant de vérifier les informations de votre compte ou en fournissant une adresse web « sécurisée » qui mène à un faux site web.
Créer un sentiment d’urgence : Les messages électroniques de phishing tentent souvent de créer un sentiment d’urgence. Ils peuvent prétexter que votre compte a été compromis ou que vous devez agir immédiatement pour éviter une conséquence négative.
Utilisation d’adresses électroniques usurpées : Les courriels de phishing utilisent souvent des adresses électroniques usurpées qui semblent provenir d’une source légitime, d’un tiers de confiance ; comme votre banque, le service des impôts, votre fournisseur d’énergie, votre opérateur de téléphonie ou votre société de carte de crédit. Ils peuvent également utiliser les logos et l’image de marque de sociétés commerciales sérieuses pour rendre leurs e-mails plus crédibles.
Inclure des pièces jointes ou des liens : Les courriels d’hameçonnage contiennent souvent des pièces jointes ou des liens menant à des sites Web conçus pour dérober vos informations personnelles ; date de naissance, moyens de paiement, etc. Ces sites web peuvent sembler identiques au site web légitime, mais ils auront une URL différente. Ne cliquez pas avec votre souris sur ce lien et/ou pièce jointe.
Si vous recevez un courriel contenant l’un de ces éléments, vous devez faire preuve de prudence avant de répondre. Vous pouvez également consulter le site web l’organisme en question et dont le message électronique est censé provenir. Vérifiez s’il y a des annonces sur les tentatives de hameçonnage. Enfin, vous pouvez toujours contacter directement l’entreprise pour vous renseigner sur la légitimité de l’e-mail.
Comment prévenir les attaques de phishing dans son entreprise ?
Mettez en œuvre des mesures techniques appropriées
Utilisez de solides pratiques de cybersécurité en entreprise pour empêcher le plus grand nombre possible de tentatives de phishing de passer à travers vos défenses et faites en sorte que, si elles réussissent, elles n’aillent pas beaucoup plus loin.
Si vous avez le moindre doute, ne cliquez pas ! Ne fournissez aucune données personnelles (comptes d’accès, mots de passe, etc.). Aussi, n’hésitez pas à utiliser le service Signal-spam si vous avez reçu un message douteux pour le signaler. Vous pouvez également utiliser des coffres forts numériques de type KeePass afin de protéger vos mots de passe ; et ainsi réduire encore un peu plus les risques.
Créez une culture de sécurité positive
Reconnaissez que l’ingénierie sociale réussit parce que ses auteurs savent manipuler. Ne punissez pas les employés qui en sont victimes, mais encouragez-les à signaler les incidents. S’il existe une culture du blâme, vos employés n’admettront pas ce qui est perçu comme une erreur ; ce qui expose votre entreprise à un risque bien plus grand. C’est important car beaucoup d’attaques ciblent les messageries professionnelles.
Apprenez les déclencheurs psychologiques
Toutes les attaques d’ingénierie sociale exploitent la psychologie humaine pour vaincre la méfiance naturelle des victimes :
- Créer un faux sentiment d’urgence et une émotion exacerbée pour confondre leurs victimes ;
- Exploiter la propension humaine à la réciprocité en créant le sentiment d’être redevable ;
- S’appuyer sur des réactions conditionnées à l’autorité en donnant l’impression de donner des ordres de la part de personnes haut placées.
Formez votre personnel pour se protéger des tentatives de phishing
N’importe quel membre du personnel peut succomber à une attaque de phishing. Ainsi, tous les employés doivent donc être conscients de la menace à laquelle ils sont confrontés.
Une formation régulière de sensibilisation à la cybersécurité du personnel aidera chacun à comprendre les signes d’une attaque de phishing et ses conséquences potentielles. Ils seront alors en mesure de signaler les courriels de phishing potentiels ; conformément à la politique de l’entreprise.
Passez notre audit de cybersécurité en ligne pour faire un état des lieux concernant la protection de votre système d’information.
Testez l’efficacité de la formation avec une fausse campagne d’emails
Une campagne de phishing simulée vous aidera à déterminer l’efficacité de la formation de sensibilisation du personnel et à identifier les employés qui pourraient avoir besoin d’une formation au phishing supplémentaire.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !