Internet nous donne accès à toujours plus d’informations, mais en tant qu’utilisateurs, nous devons faire face à de nombreux risques : attaques de programmes malveillants, virus, violations de données et, bien évidemment, hameçonnage. Dans cet article, nous allons voir les types d’attaques par hameçonnage les plus courants et découvrir les techniques et les outils pour survivre à une telle attaque.

Qu’est-ce que l’hameçonnage ?

L’hameçonnage (ou phishing, en anglais) est une attaque par ingénierie sociale visant à inciter les gens à divulguer leurs données sensibles, comme leur numéro de carte de crédit, les identifiants de leurs comptes personnels, etc. Pour y parvenir, les pirates incitent les utilisateurs à installer des logiciels malveillants ou à suivre des liens d’hameçonnage qui peuvent sembler légitimes. Pour les cybercriminels, l’hameçonnage est désormais l’une des méthodes les plus simples et les moins coûteuses pour accéder aux données privées des utilisateurs. La fréquence des attaques par hameçonnage varie significativement selon les secteurs d’activité. D’après une étude Tessian, en 2021, un professionnel a en moyenne reçu 14 e-mails malveillants dans sa boîte de réception. D’après cette même source, dans le même temps, les employés du secteur de la distribution ont reçu en moyenne 49 e-mails malveillants.

Les types d’hameçonnage et les techniques pour les éviter

1.    E-mails d’hameçonnage

Les e-mails contenant des liens étranges sont un exemple classique d’hameçonnage. Mais comment faire en sorte qu’une personne ouvre ces e-mails et clique sur ces liens ? Les cybercriminels connaissent la technique : ils se font passer pour de véritables organismes auprès desquels l’utilisateur possède un compte, bien souvent une banque. Ils copient des noms de domaine légitimes (le plus possible, puisque chaque domaine est unique) et vont même jusqu’à reproduire le site Web d’une banque pour tromper pour les utilisateurs. Dans leurs e-mails, les criminels demandent à la victime de se connecter à son compte en utilisant leur lien. Ce lien les conduit ensuite vers une réplique du site Web. Malheureusement, nous pensons rarement à vérifier les noms de domaine caractère par caractère quand nous voyons le nom d’un site et une présentation que nous connaissons. Une fois que vous avez saisi vos identifiants, ils sont volés en quelques secondes. Les pirates peuvent alors demander une rançon ou simplement essayer d’utiliser vos comptes dans leur propre intérêt, par exemple pour transférer ou retirer de l’argent.

Comment éviter de se faire hameçonner par e-mail ?

  • Vérifiez toujours l’adresse de l’expéditeur. Bien souvent, les criminels envoient des e-mails à partir d’adresses qui n’ont rien à voir avec le prétendu expéditeur. Ils créent en général une adresse très similaire, mais qui diffère d’au moins un caractère.
  • Évitez de cliquer sur les liens figurant dans les e-mails. Prenez l’habitude de vous connecter à vos comptes via les sites Web officiels que vous ouvrez manuellement dans votre navigateur, en particulier pour les banques et d’autres institutions importantes.
  • Examinez le texte utilisé dans les e-mails. Si vous remarquez des fautes d’orthographe ou des tournures de phrase étranges dans un e-mail qui prétend provenir d’une entreprise digne de confiance, il y a de fortes chances qu’il ait été écrit par des escrocs.
  • Regardez si les pirates connaissent votre vrai nom. Si l’e-mail commence par une formule de type « Cher client », il est peu probable qu’il provienne d’un expéditeur légitime. Les sites sur lesquels vous avez des comptes connaissent votre nom et l’utilisent quand ils vous contactent.
  • Utilisez des mots de passe uniques. Une fois qu’ils ont accès à votre combinaison unique mot de passe/adresse e-mail, les pirates essaieront de se connecter à vos autres comptes avec ces identifiants. Faites en sorte qu’ils ne puissent pas y arriver.
  • Activez l’authentification à deux facteurs pour vos comptes. Un mot de passe difficile à deviner est une bonne chose, mais de nos jours, ce n’est pas suffisant pour assurer la sécurité de votre compte. Configurez l’authentification à deux facteurs pour que personne ne puisse accéder à vos comptes sans votre téléphone.

2.    Harponnage

L’harponnage (ou spear phishing, en anglais) a beaucoup de points communs avec l’hameçonnage par e-mail, mais le public ciblé est différent. Alors que les e-mails d’hameçonnage sont envoyés à des millions d’utilisateurs en même temps, l’harponnage ne vise qu’une seule personne spécifique. Avec cette technique, les escrocs font beaucoup plus d’efforts. Il ne s’agit plus de rédiger simplement un e-mail générique avec un lien d’hameçonnage et de l’envoyer à une multitude de gens. Pour augmenter leurs chances de réussite, ils essaient de faire un maximum de recherches sur leur victime potentielle. Une fois qu’ils disposent de suffisamment d’informations, ils lui envoient un e-mail malveillant. Celui-ci peut contenir un lien d’hameçonnage ou même un fichier infecté. Les escrocs font tout pour rédiger un e-mail incitant l’utilisateur à ouvrir le fichier immédiatement. Ils peuvent par exemple imiter un e-mail provenant de l’employeur de la victime, avec une pièce jointe appelée « Facture ». La plupart des gens seront tentés d’ouvrir tout de suite la pièce jointe.

Comment éviter l’harponnage ?

  • Ne partagez pas trop d’informations. Beaucoup d’entre nous aiment partager des photos de vacances et des selfies, mais veillez à ne pas mettre en ligne trop d’informations sensibles sur votre vie. Jour de paie, nom de votre banque, nom exact de votre employeur… Voilà quelques exemples d’informations que les cybercriminels recherchent lorsqu’ils font des recherches sur vous.
  • Sachez repérer les comportements inhabituels. Votre employeur a-t-il l’habitude de vous communiquer des informations importantes par e-mail ? Vous demande-t-il régulièrement des informations privées par e-mail ? Si un e-mail professionnel, financier ou même personnel vous semble suspect, faites des vérifications avant de cliquer sur des liens ou d’ouvrir les pièces jointes.
  • Respectez les conseils habituels pour éviter l’hameçonnage. Vérifiez les adresses e-mail et le contenu de tous les e-mails que vous ouvrez, et activez également l’authentification à deux facteurs pour votre messagerie professionnelle.

3.    Whaling

Une attaque par whaling ressemble beaucoup à un harponnage, mais elle vise les cadres supérieurs. Ce type d’hameçonnage est plutôt rare, mais les enjeux sont importants. Le terme whaling vient du surnom donné aux victimes par les criminels, puisqu’il signifie « chasse à la baleine ». Et puisque les cadres supérieurs et les dirigeants des entreprises protègent relativement mieux leurs données numériques, le whaling nécessite des compétences et des efforts supplémentaires. Dans ce cas, les escrocs ne se contentent pas d’envoyer un e-mail à leur victime : ils organisent des appels téléphoniques et même de fausses réunions avant l’attaque pour gagner la confiance de la personne visée.

Publicité

Si vous n’occupez pas un poste de direction au sein de votre entreprise, il est peu probable que vous soyez considéré comme une « baleine ». Sachez cependant que les cybercriminels qui visent une cible aussi importante n’hésitent pas à consacrer un peu de temps à leurs assistants et collaborateurs, ce qui augmente le nombre de personnes susceptibles d’être attaquées.

Comment éviter le whaling au travail ?

  • Respectez les consignes de cybersécurité mises en place par votre entreprise. La plupart des entreprises poussent leurs employés à adopter de bonnes pratiques de cybersécurité. Tenez compte des conseils prodigués par les personnes chargées de la sécurité en ligne au sein de votre entreprise.
  • Téléphonez aux personnes concernées ou échangez directement avec elles pour vérifier qu’elles vous ont bien envoyé un e-mail. Si vous ne pouvez pas éviter d’ouvrir une pièce jointe ou de cliquer sur un lien, il est préférable de vérifier personnellement au préalable si cet e-mail a bien été envoyé par l’expéditeur prétendu.
  • Installez un antivirus sur votre ordinateur. Prenez l’habitude de rechercher des virus sur votre ordinateur et de vérifier que vos comptes n’ont pas fait l’objet d’une violation de données. Des applications comme MacKeeper peuvent le faire à votre place en arrière-plan, sans la moindre intervention de votre part.

4.    Hameçonnage par appel téléphone ou SMS

Le vishing (pour « voice phishing ») désigne l’hameçonnage par appel téléphonique. À la place d’un e-mail, la victime reçoit un appel téléphonique de l’escroc qui l’incite à divulguer des informations sensibles ou à effectuer d’autres actions dans son propre intérêt. Exemple très courant : les escrocs qui se font passer pour votre banque. Ils affirment par exemple que vous devez confirmer une transaction ou que votre carte de crédit a été soupçonnée de fraude, et ils appellent pour valider les détails de paiement. Dans des cas plus rares, les escrocs se font passer pour un hôtel ou une société de transport : sachant que vous êtes en voyage, les criminels peuvent essayer de vous inciter à communiquer votre numéro de carte bancaire pour soi-disant confirmer un billet ou une réservation.

Le smishing désigne l’hameçonnage par SMS. La seule différence avec l’hameçonnage par e-mail est que, dans ce cas, les escrocs envoient un SMS contenant un lien malveillant, et non un e-mail. Le plus souvent, ces SMS imitent de véritables messages concernant une promo ou une réduction auprès d’enseignes connues.

Comment éviter l’hameçonnage par appel téléphonique ou SMS ?

  • Regardez bien le numéro de téléphone ou le nom de l’expéditeur. Si vous avez reçu un message d’ASOS ou Carrefour concernant une promo en cours, par exemple, le nom de l’expéditeur correspondra exactement au nom de l’enseigne. Méfiez-vous des numéros aléatoires annonçant une vente privée ou d’incroyables réductions en échange d’un clic sur le lien.
  • Vérifiez le numéro de l’expéditeur. Si vous êtes toujours tenté de suivre le lien d’un SMS qui vous semble suspect (ce que nous vous déconseillons fortement), essayez au moins de chercher le numéro de l’expéditeur sur Google pour voir s’il est légitime.
  • Téléphonez vous-même à l’organisme en question. Si vous recevez un appel téléphonique de votre banque, par exemple, vous demandant de donner votre numéro de carte bancaire pour une « vérification », dites simplement que vous rappellerez vous-même votre agence pour leur donner les informations. Raccrochez et composez le numéro officiel du service clientèle indiqué par la banque sur son site Web. Vous découvrirez probablement que l’appelant initial n’a aucun lien avec votre banque.

5.    Pharming

Le pharming est sans doute le type d’hameçonnage le plus dangereux. Voici pourquoi. Par essence, le pharming consiste à rediriger votre navigateur Web vers de fausses versions des sites Web afin de dérober vos identifiants ou d’autres données importantes. Les escrocs commencent par inciter leurs victimes à installer des logiciels malveillants, puis modifient les paramètres des routeurs ou des points d’accès sans fil. Ils peuvent alors créer des redirections. Si vous saisissez « banqueexemple.com » dans votre navigateur Web, par exemple, vous serez redirigé vers une fausse version mise en place par les pirates. Vous ne pouvez dans ce cas rien soupçonner quand vous vous connectez à ce site Web, car c’est vous qui avez tapé l’adresse tout à fait légitime. Ainsi, vous pouvez tout mettre en œuvre pour éviter l’hameçonnage, mais vous faire quand même hameçonner.

Comment se protéger du pharming ?

  • N’installez pas de logiciels provenant de sources en lesquelles vous n’avez pas entièrement confiance. Même si vous vous laissez séduire par une publicité pour une application, ne cliquez pas sur les liens figurant dans les e-mails et les SMS. Recherchez le site Web du distributeur officiel de l’application et téléchargez-la sur ce site.
  • Sécurisez les équipements installés dans votre logement. Veillez à laisser le pare-feu activé sur votre routeur.
  • Utilisez régulièrement un logiciel antivirus. Choisissez une application antivirus adaptée à vos besoins et utilisez-la au quotidien. Nous vous recommandons d’opter pour une solution multifonction comme MacKeeper, qui peut à la fois protéger, optimiser et nettoyer votre ordinateur.
  • Ne sous-estimez pas l’authentification à deux facteurs. Nous en avons déjà parlé plus haut, mais c’est un outil trop souvent sous-estimé dans l’univers de la cybersécurité. Activez l’authentification à deux facteurs pour tous vos comptes et utilisez-la de façon systématique pour protéger vos données.

Utiliser Internet comporte certains risques, mais pour autant, nos informations sensibles peuvent être correctement protégées. L’univers de la cybersécurité évolue et propose de nouvelles approches pour protéger les utilisateurs qui souhaitent simplement utiliser Internet sans souci. Un logiciel antivirus puissant et l’authentification à deux facteurs, associés à une prise de conscience personnelle et à un œil avisé, peuvent faire des merveilles lorsqu’il s’agit de repousser des attaques par hameçonnage.

Rate this post
Publicité
Article précédentLove After World Domination Anime obtient la première date du 8 avril
Article suivantAvis, avantages et inconvénients de l’AMD Ryzen 9 5900X
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici