Le terme d’hameçonnage ou phishing en anglais s’utilise pour désigner des messages frauduleux prenant l’apparence d’une source fiable. La technique d’attaque de l’hameçonnage est principalement employée dans les e-mails, mais sachez qu’elle existe à travers d’autres canaux comme les messages par sms. L’objectif reste systématiquement le même, c’est-à-dire permettre à l’expéditeur de voler des données sensibles, un mot de passe ou les informations d’une carte de paiement des victimes.
Hameçonnage : définition
Le phishing ou hameçonnage est avant tout une escroquerie visant à tromper les utilisateurs sur l’identité de la source en vue de leur dérober des informations sensibles. Mais sachez qu’il existe différents types d’attaques par hameçonnage en fonction de la cible. Principalement, l’escroquerie est utilisée dans les e-mails et par message SMS. Une personne ou une entité de confiance est alors usurpée et lorsque vous ouvrez le message, votre vigilance baisse et vous avez tendance à suivre les instructions.
Souvent, les messages reçus jouent sur la peur et on vous demande d’effectuer une action particulière comme vous rendre sur un site Internet via un lien présent dans le message. Votre absence de connaissances vous pousse à livrer des informations personnelles et des données sensibles qui seront ensuite utilisées contre vous. Dans le cadre d’une action vous amenant sur un site Internet, ce dernier a une apparence tout à fait légitime par rapport au site Web traditionnel. Puis vous êtes amené à renseigner votre identifiant et votre mot de passe et ces informations sont malheureusement transmises aux pirates informatiques.
Ils les utiliseront pour accéder aux données sensibles des utilisateurs ou bien les revendre sur le marché noir. C’est une pratique très courante, touchant aussi bien les particuliers que les professionnels. D’où la nécessité d’être vigilant sur la sécurité informatique en prenant toutes les dispositions dès le départ. Non seulement en mettant des outils efficaces en place comme un antivirus d’entreprise, mais également en sensibilisant le personnel à la sécurité. En parallèle, n’hésitez pas à réaliser un audit de sécurité informatique à intervalles réguliers.
Découvrez les différents types d’hameçonnage
L’hameçonnage mail
Il s’agit de la méthode la plus couramment employée. L’e-mail/courriel est envoyé à un grand nombre de destinataires en leur demandant de changer leurs mots de passe, de renseigner leurs informations personnelles ou de vérifier certains éléments sur le compte. La tournure du mail/courriel reste systématiquement la même, c’est-à-dire provoquer un sentiment de crainte et d’urgence chez le destinataire.
Le mail/courriel semble parfaitement légitime en apparence en usurpant l’identité d’une entité bien connue comme une banque, un service de Microsoft ou PayPal. Ainsi, la personne recevant l’e-mail/courriel ne se méfie pas et divulgue des informations et données sensibles à des pirates informatiques.
L’injection de contenu
L’internaute se rend sur un site Internet de confiance, du moins en apparence. Mais un contenu frauduleux et malveillant est installé dans le code source, au niveau du compte de messagerie, sur le site d’une institution bancaire ou sur une page de connexion. Le lien redirige l’utilisateur vers un site Web secondaire avec une apparence similaire. Une fois de plus, l’objectif sera de récupérer des informations personnelles en demandant un changement de mot de passe ou d’insérer les coordonnées de la carte bancaire.
La manipulation des liens
Vous pourriez également recevoir un e-mail comprenant un lien vers un site Web de confiance. Cependant, ce n’est qu’une apparence et si vous cliquez dessus vous allez être redirigé vers un site Web frauduleux. Une fois de plus, les pirates informatiques font preuve d’ingéniosité en imitant parfaitement le design et les codes du site Web original. Le résultat sera identique en vous poussant à divulguer des informations personnelles qui seront ensuite utilisées à votre insu.
L’usurpation de l’identité du président de l’entreprise
C’est un phishing ou hameçonnage également répandu qui consiste à envoyer un message sms ou un e-mail électronique qui semble provenir du président de l’entreprise, d’un collègue ou des ressources humaines. Dans le message que vous recevez, il vous sera demandé d’effectuer un transfert de fonds, de transmettre des informations fiscales ou de réaliser un virement bancaire. Comme vous pouvez vous en douter, la moindre manipulation de votre part risque d’avoir de lourdes conséquences pour l’entreprise.
Les sites Internet frauduleux
Les pirates informatiques reproduisent à l’identique des sites Web de confiance. Résultat, la distinction n’est absolument pas évidente. Pourtant, vous observerez une légère variation au niveau du nom de domaine. Ainsi, le site outlook.live.com se transforme en outllook.live.com. La distinction reste minime et si vous ne faites pas preuve d’un minimum de vigilance, vous pourriez connaître un vol d’identité.
L’hameçonnage sur les téléphones portables
L’utilisateur reçoit un message vocal ou textuel à travers la messagerie des réseaux sociaux. Vous êtes informé que votre compte va être prochainement fermé et pour remédier à cette problématique, vous cliquez sur un lien qui vous obligera à divulguer vos informations personnelles. Dans certains cas, un logiciel malveillant sera mis en place sur votre téléphone portable.
L’hameçonnage avancé
L’harponnage reste de l’hameçonnage, non pas utilisé en masse, mais de manière très ciblée. Le pirate informatique s’attaque à une organisation ou un individu en personnalisant complètement le message. C’est une forme plus poussée et donc le risque de vol d’informations sensibles reste plus important.
L’idée première de ces attaques est de procéder à une infiltration des universités, des grandes entreprises, des hôpitaux ou des banques. Lorsque les informations sensibles sont dérobées, la sécurité de l’organisation est compromise.
Vigilance sur les publicités malveillantes
Quand vous naviguez sur des pages Internet, vous constatez fréquemment l’ouverture de fenêtres intempestives (spam). Cette fois-ci, vous verrez apparaître un message électronique vous incitant à cliquer sur un lien permettant l’installation d’un logiciel malveillant sur votre ordinateur. Plus précisément un maliciel, se déclenchant uniquement lorsque vous ouvrez une pièce jointe ou lorsque vous cliquez sur un lien. Sans vous en rendre compte, il s’installe sur votre ordinateur et le logiciel recherche des informations personnelles.
Par exemple, il peut très bien intégrer un enregistreur de frappe permettant de révéler vos mots de passe. Un cheval de Troie peut également être installé et dans un tel cas de figure, d’autres utilisateurs prennent le contrôle de votre session.
L’hameçonnage vocal
Un interlocuteur tente de vous joindre en vous laissant un message. Dans celui-ci, on vous demande de composer un numéro de téléphone pour éviter que votre compte bancaire ne soit fermé. Dans un sentiment d’urgence, vous suivez les instructions et une fois de plus vos informations personnelles seront utilisées contre vous.
L’hameçonnage avec les réseaux sans fil
Lorsque vous êtes dans un endroit public, vous essayez de vous connecter sur un réseau sans fil. C’est le cas quand vous êtes en train de boire un café, lorsque vous êtes à l’aéroport ou dans un hôpital. En réalité, il s’agit d’une zone d’accès corrompue et en y accédant, les pirates informatiques peuvent intercepter vos données.
Pourquoi l’hameçonnage est-il une arme redoutable ?
L’alliance de l’hameçonnage et de l’ingénierie sociale vous pousse à faire confiance aux messages que vous recevez. Naturellement, vous estimez que la demande de virement bancaire, que la mise à jour de vos informations personnelles ou de votre mot de passe est parfaitement légitime. En effet, la demande est issue d’une source reconnue et fiable et donc vous n’avez aucune raison de vous méfier.
Même si le phishing est une attaque de plus en plus sophistiqué, il est parfaitement possible de vous en prémunir en suivant notamment une formation automatisée à la sécurité informatique. Weodeo a mis en place un partenariat exclusif avec Kaspersky pour que les collaborateurs puissent se sensibiliser à la cybersécurité. La formation ne dure que 10 à 20 minutes par semaine et elle est d’une très grande efficacité pour reconnaître une menace informatique et donc d’avoir une sécurité accrue.
