Blog GlobalSign

14 janv. 2020

Phishing : types, arnaques, attaques et moyens de s’en prémunir

Les arnaques font partie intégrante de notre monde numérique. Les cybercriminels utilisent des centaines de stratégies d’attaques, et le phishing — ou hameçonnage en français — en est l’une des représentations classiques. Même si la stratégie n’est pas nouvelle, les escrocs du Net continuent à l’employer avec de nouvelles variantes.

Les e-mails indésirables constituent la principale source d’hameçonnage. Habilement tournés pour manipuler leurs destinataires, ces e-mails sont conçus pour passer outre les filtres antispam de votre messagerie afin de s’afficher dans votre boîte de réception.

Le « hameçonneur » cherche avant tout à accéder à des informations personnelles et des données d’entreprise confidentielles et cruciales. Les coordonnées bancaires et mots de passe d’accès au réseau des entreprises sont donc particulièrement convoités par les arnaqueurs.

Les multiples visages de l’hameçonnage

Les bandits du numérique utilisent différents types de techniques d’hameçonnage.

1. Whale Phishing – L’arnaque au PDG

Le Whale Phishing, de l’anglais « whale » pour « baleine », est une stratégie d’hameçonnage ciblée qui vise à ferrer les « gros poissons » d’une organisation. En ligne de mire : les hauts dirigeants, les directeurs et autres collaborateurs stratégiques. Aussi, avant d’envoyer leurs e-mails, les escrocs étudient leur sujet sous toutes ses coutures. Ils personnalisent leurs messages en le parsemant d’informations clés sur l’organisation. À partir d’une adresse électronique semblable à celle utilisée par les services des impôts ou tout autre organisme d’État, l’expéditeur sollicite des informations sensibles ou un transfert d’argent. Globalement, l’e-mail semble très professionnel, mais comme il cible des personnes intelligentes et de haut niveau, son taux de succès est assez faible.

2. Deceptive Phishing — Objectif : tromper l’utilisateur

Utilisée depuis des décennies, cette stratégie d’hameçonnage est un grand classique. Le spammeur utilise des adresses e-mail similaires à celles d’authentiques sites Web et de véritables grandes entreprises — à une variation près, qui passe souvent inaperçue de l’internaute habituel. L’e-mail demande de cliquer sur un lien qui renvoie vers une fausse page Web ou installe un logiciel malveillant sur votre appareil. Le but ? Pirater vos données et accéder à vos informations personnelles, secrètes ou confidentielles.

3. Pharming — Opération insidieuse de dévoiement

Le pharming est une autre stratégie d’hameçonnage qui se caractérise par l’envoi d’e-mails frauduleux à partir de sources authentiques (banques et sites de réseaux sociaux, par exemple). Ces e-mails vous pressent d’effectuer une action urgente sur l’un de vos comptes, comme de modifier votre mot de passe ou prendre des mesures de sécurité. La manipulation consiste à vous rediriger vers une page Web factice. Si l’adresse Web utilisée est identique à la source et semble en tout point identique au site original, c’est parce qu’avec le pharming, les escrocs interviennent aussi au niveau du cache DNS. Une fois vos informations de connexion saisies sur le site factice, les escrocs n’ont plus qu’à pirater vos comptes.

4. Spear Phishing – De l’hameçonnage ciblé

Le Spear Phishing est une stratégie d’hameçonnage ciblée qui vise une catégorie de personnes en particulier. Les e-mails envoyés directement aux destinataires usurpent l’identité d’une source authentique. Il peut par exemple s’agir d’un établissement d’enseignement ou d’une banque. L’utilisation de logos et de signatures originales vise à conforter le destinataire sur l’authenticité du message. Dans le cas du spear phishing, les pirates sont animés de la même volonté que pour les autres stratégies d’hameçonnage : voler les informations de connexion. Et pour cela, ils n’hésitent pas à manipuler les étudiants d’établissements d’enseignement et les clients de sites bancaires ou marchands.

5. Attaque de phishing via Google Docs

Une grande partie des internautes est dépendante d’applications Google, du Play Store à Gmail. Un seul compte Gmail permet en effet d’utiliser plusieurs services Google. La plupart de ceux qui choisissent Google Docs l’utilisent pour stocker des documents et des photos pour des questions de commodité et de sécurité. On comprend ainsi pourquoi les mots de passe Google constituent une cible de choix pour les cyberescrocs. Ceux-ci envoient des e-mails aux utilisateurs de Gmail afin de les rediriger vers leur page de connexion Google. Or, une fois le mot de passe saisi, l’arnaqueur accède à leur compte et à tous les fichiers stockés.

Comment se prémunir de l’hameçonnage

L’hameçonnage est une stratégie d’escroquerie largement utilisée, mais qui n’est pas d’une grande puissance. On peut donc facilement s’en protéger.

1. Vérifiez deux fois le contenu de vos messages

Le contenu de la plupart des e-mails frauduleux comporte un certain nombre de défauts. Bien que la majeure partie des messages d’hameçonnage vous soient directement adressés et utilisent des renseignements personnels pour mieux vous piéger, ces renseignements ne sont pas complets. Il suffit d’observer attentivement l’objet de ces e-mails pour juger facilement de leur authenticité.

Piège classique employé par les arnaqueurs : créer un message qui joue sur le sentiment d’urgence. Surtout, restez calme et réfléchissez avant d’agir ; vous ne pouvez tomber dans le panneau que si vous agissez dans la précipitation.

2. Sécurisez votre identité

En optant pour un VPN ou réseau privé virtuel, vous disposez d’un tunnel crypté pour toutes vos activités en ligne. Ce tunnel masque votre identité et votre emplacement d’origine ; il vous permet de vous connecter via des serveurs distants sécurisés. En vous mettant à l’abri des regards indiscrets, votre VPN élimine toute possibilité d’espionnage. De cette manière, les cybercriminels ne peuvent accéder ni à vos informations ni à votre identité.

Un VPN puissant protège également votre connexion des attaques malveillantes ; il protège et sécurise votre existence en ligne. Le VPN est une barrière sécurisée qui empêche les e-mails d’hameçonnage d’atteindre votre terminal.

3. Vérifiez tous les liens

Pour éviter les pièges de l’hameçonnage, nous vous recommandons de vérifier les adresses électroniques et les liens des sites Web avant de cliquer. Les adresses frauduleuses semblent parfois identiques aux adresses d’origine. Mais méfiance, ce ne sont pas les mêmes. Par exemple, l’alphabet cyrillique peut être utilisé et d’autres alphabets comportent des glyphes semblables au latin dans les polices de caractères actuelles : les alphabets grec, arménien, hébreu et chinois. Avec un nombre suffisant de combinaisons, un faux domaine peut être créé et sécurisé. Il est alors quasiment impossible de distinguer le vrai du faux. D’autre part, sur les sites où vous devez saisir vos mots de passe et d’autres informations confidentielles, privilégiez les sites HTTP sécurisés (HTTPS).

Comment rester protégé ?

L’explosion du nombre d’appareils connectés, du Big Data et du commerce électronique multiplie les occasions pour les escrocs de passer à l’attaque. Les entreprises comme GlobalSign sont idéalement placées pour vous aider à rester en sécurité. GlobalSign propose un large éventail de solutions – y compris des signatures numériques pour sécuriser la signature de documents avec toute l’évolutivité requise, depuis le poste de travail jusque dans le cloud.

L’attentisme n’est plus de mise. Pourquoi ne pas explorer les ressources ci-dessous ? Quelques mesures de vigilance peuvent vous éviter bien des ennuis.

https://www.globalsign.fr/fr/blog/comment-reperer-un-site-de-phishing/

https://www.globalsign.fr/fr/blog/test-de-simulation-d-attaque-de-phishing/

https://www.globalsign.fr/fr/blog/distinguer-un-faux-e-mail-d-un-vrai/

https://www.globalsign.fr/fr/blog/identite-et-ssl-pour-faire-rimer-securite-avec-fiabilite/

https://www.globalsign.fr/fr/blog/ingenierie-sociale-jouer-sur-la-confiance/

À propos de l’auteur

Susan Alexandra est une passionnée de cybersécurité et de tout ce qui touche à la protection de la vie privée. Patronne d’une TPE, Susan Alexandra aime voyager et investit dans les cryptomonnaies.

Partager ce blog

Comment repérer un site de phishing

Comment distinguer un faux e-mail d’un vrai