Comment reconnaître et éviter les arnaques par hameçonnage

À cette ère moderne de la mondialisation, où plus des deux tiers de la population mondiale ont accès aux SMS, aux appels mobiles et aux emails, les chiffres pourraient facilement amener à conclure que plus de la moitié de la population terrestre a été exposée à une tentative de phishing. L’exposition suggérée est due au fait que les attaques de phishing sont principalement exécutées par l’un des médias mentionnés, les emails étant les plus courants. L’objectif final d’une attaque de phishing est d’obtenir les informations personnelles de la victime, les détails bancaires étant le graal. Cet article va vous parler de cette cybermenace, et vous montrer comment reconnaître et éviter de tomber victime des hameçonneurs.

## La Carte Particulière des Arnaques par Hameçonnage

L’objectif principal du Phishing est d’acquérir les détails d’accès personnels à vos comptes financiers. Bien que les escrocs aient évolué au fil des ans avec les tactiques utilisées pour duper les individus, il existe cependant certains signaux d’alerte qui pourraient permettre de révéler les appels, textos ou courriels de phishing pour ce qu’ils sont — une arnaque !

• Appels, courriels et messages textuels d’hameçonnageprovenant d’organisations apparemment dignes de confiance. Avez-vous déjà reçu un courriel, prétendument envoyé par votre « chargé de clientèle », vous demandant des informations personnelles telles que votre numéro de sécurité sociale et d’autres données bancaires ? Il serait intéressant pour vous de découvrir que ces messages et ces courriels proviennent d’hameçonneurs qui se font passer pour de véritables organisations.  
• Les courriels et les textes d’hameçonnage sont souvent accompagnés d’histoires sans fondement. L’astuce de ces histoires passionnantes est de susciter l’enthousiasme de la victime. Une célèbre attaque de phishing dont plusieurs utilisateurs de banques ont été victimes demandait aux clients de renvoyer leurs derniers détails de connexion pour mettre à jour la base de données de la banque. Cette demande a été formulée après la diffusion d’un récit expliquant comment des pirates informatiques avaient récemment attaqué l’infrastructure de données de la banque.

Une histoire plus célèbre, et facile à croire, concerne celles qui prétendent que des tentatives de connexion suspectes ont été détectées sur votre compte. Par la suite, il est conseillé aux utilisateurs de réinitialiser leur mot de passe en remplissant certains détails personnels, généralement sur un site web factice qui a été créé ou sur le site officiel qui a été momentanément détourné.

Généralement, voici comment les escrocs du phishing récoltent astucieusement les informations personnelles des victimes :

1. Ils achètent les données de votre abonnement à des services en ligne, par exemple vos numéros de téléphone portable ou vos adresses électroniques.
2. Ensuite, ils créent l’appât sous la forme de courriels trompeurs, de textes et de faux sites web pour convaincre les utilisateurs que les messages proviennent d’organisations qu’ils connaissent bien et en lesquelles ils ont confiance.
3. Les escrocs envoient les messages en masse aux contacts initialement achetés, parfois à des milliers d’utilisateurs à la fois.
4. Les hameçonneurs utilisent les données qu’ils peuvent collecter auprès des destinataires ignorants des messages pour effectuer des achats et des actes non autorisés en utilisant le compte des victimes.

## Types courants de phishing et comment les reconnaître

Le phishing n’est en aucun cas limité aux exemples listés ci-dessous, car les escrocs changent constamment de tactiques ; cependant, les registres des attaques de phishing largement signalées nous aident à les catégoriser comme suit :

1. Le phishing par SMS implique l’envoi de messages texte aux utilisateurs de téléphones mobiles, leur demandant de contacter un agent client ou de visiter une organisation via un lien intégré dans le texte. Cliquer sur le lien amène les victimes sur une page de connexion ou une boîte de dialogue texte où il est nécessaire de saisir des informations personnelles avant d’obtenir un accès complet au site web ou à la ressource prétendus. Ce type d’attaque est en augmentation en partie parce que les fabricants de téléphones mobiles ont adhéré à la révolution internet en produisant principalement des smartphones.

Un moyen facile d’identifier une attaque de phishing par SMS est que le message est généralement envoyé à partir de numéros étranges ou même accompagné de textes mal formulés.

2. Les messages de phishing par email sont envoyés par courriel à des victimes sans méfiance. Les mails sont généralement envoyés en copie cachée (BCC) à plusieurs adresses email avec un logo et des notes de bas de page volés à l’organisation ou à l’individu réellement imités. Les attaques de phishing par email ne se terminent rarement avec le message lui-même ; les destinataires du message sont souvent dirigés vers la visite d’un site web populaire via un lien texte ou téléchargent une pièce jointe spam incluse dans l’email. Sur la page de destination du lien attaché, il est demandé aux victimes de remplir des informations personnelles. La page web peut également faire en sorte que des logiciels malveillants s’installent automatiquement sur un ordinateur dès que la page web est chargée. Le logiciel malveillant de phishing chargé récolte des informations personnelles de l’ordinateur, smartphone ou appareil de la victime de plusieurs manières :

• Enregistrement des frappes de l’utilisateur lors du remplissage des formulaires
• Évaluation de la mémoire cache de l’utilisateur et transmission de son contenu à l’agresseur distant

Comme pour le phishing par SMS, un examen approfondi de l’adresse e-mail source aidera le destinataire à isoler et signaler les messages malveillants comme une attaque de phishing. Par exemple, un hameçonneur qui souhaite imiter le service client d’Amazon pourrait utiliser une adresse comme – *[email protected]*. Un e-mail légitime d’Amazon proviendrait avec le nom de domaine de l’entreprise, par exemple, *[email protected]*. De plus, aucune organisation correctement structurée ne demandera vos détails personnels ou financiers par e-mail.

3. Le spear phishing est un type d’arnaque plus stratégique qui utilise également la faille de l’email. Par rapport au phishing par email, où les emails sont envoyés à plusieurs individus sous forme de messages diffusés, le spear phishing est plus ciblé. Les employés de fournisseurs de services en ligne ou d’agences gouvernementales qui ont été identifiés comme ayant accès à des informations personnelles de plusieurs utilisateurs sont les cibles privilégiées du spear phishing.

L’email est conçu pour sembler provenir d’un supérieur, ou du patron de l’entreprise, demandant l’accès aux informations des utilisateurs. Dans d’autres cas, le mail est envoyé depuis des sources manifestement inconnues, avec un titre magnétique, suffisamment captivant pour pousser le destinataire à ouvrir le message. Le message est généralement vide et contient une pièce jointe ; la curiosité amènera alors le destinataire à ouvrir la pièce jointe et à installer un rançongiciel sur l’ordinateur.

Les victimes d’attaques de phishing ciblé peuvent être comparées à la tête de l’Hydre proverbiale. Les données collectées lors de telles attaques sont ensuite utilisées pour exécuter une violation à grande échelle des comptes utilisateurs affiliés à l’organisation concernée.

4. Le phishing par clonage, comme le suggère le nom, implique qu’une victime reçoit un courriel ayant exactement le même contenu que celui qui a été précédemment envoyé par une organisation de confiance ; cependant, le fraudeur y inclut un lien insoupçonné vers une pièce jointe malveillante ou un faux site web. La seule variation est que l’adresse e-mail source est légèrement modifiée pour ressembler de très près à celle de l’expéditeur initial. Cette tactique rend le phishing par clonage le type le plus difficile à détecter.

5. Le phishing de type whaling est très similaire au Spear phishing. L’objectif est d’obtenir l’accès à des informations sensibles ou personnelles des individus qui souscrivent aux services d’une organisation. Cependant, les attaques de type whaling visent les « baleines » dans les organisations – comme les hauts dirigeants et le conseil d’administration.

6. Le phishing par pop-up est très similaire aux pop-ups publicitaires qui interrompent votre expérience utilisateur lors de la navigation sur un site web monétisé. Cependant, le phishing par pop-up se présente sous forme d’avertissement, et non de publicité ; le pop-up alerte l’utilisateur d’un document ou d’une application malveillante non nommée qui a infecté l’ordinateur. Il est ensuite proposé de télécharger un antivirus qui éliminera la menace sans frais. Installer un tel logiciel expose votre ordinateur au risque d’être infecté par des logiciels malveillants indésirables ; la menace annoncée est le plus souvent un canular.

Vous protéger contre le risque de devenir une victime de phishing

À l’ère du commerce électronique, pour éviter de devenir une victime ou d’être utilisé comme un canal pour révéler des données sensibles liées à votre organisation, voici des guides infaillibles à suivre.

• Sauvegardez vos données. Il est essentiel de disposer d’une copie des données vitales de votre ordinateur ou de votre smartphone sauvegardée sur un support externe. S’il arrive que vous soyez victime d’une attaque de ransomware, la copie de sauvegarde de vos documents est en sécurité, peut-être sur un service de stockage en nuage ou sur un support de stockage externe qui n’est pas connecté à votre réseau informatique.
• Utilisez l’authentification de l’utilisateur en plusieurs étapes. Les hameçonneurs sont toujours à la recherche de détails de compte tels que le nom d’utilisateur et le mot de passe. Dans les situations où la deuxième étape d’authentification a été établie pour vos comptes sensibles, le fait d’avoir votre mot de passe et votre nom d’utilisateur n’a plus d’importance. Un excellent exemple d’authentification en plusieurs étapes est le code de confirmation envoyé à votre contact mobile lorsque vous effectuez des transactions bancaires ou que vous vous connectez. Une couche d’authentification biométrique, comme une empreinte digitale, un balayage des yeux ou du visage, sont des méthodes sûres pour protéger nos comptes.
• Mettre à jour les appareils avec les derniers correctifs de sécurité. Les principaux fabricants d’ordinateurs et de smartphones mettent régulièrement à jour leurs systèmes d’exploitation pour corriger les bogues et les failles par lesquels les hameçonneurs ont été identifiés pour attaquer. La mise à jour de ces appareils évitera aux utilisateurs de technologie de nombreux maux de tête en matière de sécurité.
• Évitez d’ouvrir des messages suspects. Notez toutes les failles mentionnées, propres aux attaques par hameçonnage. Vérifiez soigneusement le contenu des courriels avant de cliquer sur des liens, d’ouvrir des pièces jointes ou de remplir des formulaires. Si vous devez confirmer l’intégrité d’une affirmation contenue dans un courriel, visitez directement le site web de l’entreprise, au lieu de passer par un lien fourni.

Conclusion

À mesure que la présence en ligne de plusieurs organisations et utilisateurs individuels s’accroît, il est plus probable que le phishing augmente en échelle et en impact. Mais avec des précautions proactives, comme suggéré dans cet article, les utilisateurs d’Internet devraient réussir à devancer les hameçonneurs.