Les spécialistes de la cybersécurité et les cybercriminels sont engagés dans une guerre constante.

Alors que la cybersécurité devient plus forte et plus difficile à violer, les attaques des cybercriminels sont devenues de plus en plus innovantes.

Les pirates et autres forces malveillantes sur Internet proposent de nouvelles façons de cibler les entreprises et leurs employés et de les inciter à révéler des données, à transférer des fonds et à d’autres actions que les malfaiteurs veulent que leur cible commette.

Vous trouverez ci-dessous un aperçu du concept de phishing, de l’origine de cette forme de cyberattaque et des différents types de phishing.

Qu’est-ce que l’hameçonnage ?

L’hameçonnage est une forme d’usurpation d’identité qui encourage les individus sans méfiance à fournir volontairement des données personnelles ou d’autres informations que le destinataire de ces données peut ensuite utiliser à des fins malveillantes.

Publicité

Un moyen courant de commettre ce type de vol consiste à utiliser un site Web frauduleux, un SMS ou un e-mail qui semble provenir d’une entreprise légitime ou d’une autre entité.

Considérant qu’ils ont affaire à des opérateurs honnêtes, les employés qui visitent ces sites Web ou reçoivent ces messages malveillants peuvent alors fournir des données sensibles de l’entreprise. Il peut s’agir de numéros de compte bancaire, de détails commerciaux, de mots de passe système, d’identifiants de connexion, etc. Le criminel les utilise ensuite pour voler l’identité de l’employé ou l’argent de l’entreprise – ou les deux. Ils peuvent également vendre les informations à d’autres criminels.

L’une des façons dont les entreprises peuvent protéger leurs employés et leur réseau contre le phishing et d’autres cyberattaques consiste à acheter une sécurité en ligne. Perimeter 81 propose une solution ZTNAqui offre un accès utilisateur personnalisé et une gamme d’autres fonctionnalités pour rendre les réseaux beaucoup plus sûrs.

Comment fonctionne le phishing

Le phishing profite sournoisement des failles de sécurité et des faiblesses du réseau de l’entreprise.

Les attaques sont planifiées et exécutées avec plus de soin que certaines personnes ne l’imaginent. Les auteurs mènent l’attaque par étapes, y compris la planification, la mise en place, l’agression, la collecte et le vol d’identité.

Après une attaque réussie, ces criminels évaluent ce qui s’est mal passé et ce qui s’est bien passé. Ils décident ensuite s’ils doivent effectuer une autre attaque ou escroquerie.

L’histoire du phishing

Selon certains, le terme « hameçonnage » vient de « pêche » car les fraudeurs « pêchent » des identifiants de connexion et d’autres détails sensibles dans une « mer » d’internautes.

On pense que les pirates remplacent généralement le « f » par « ph » et étaient généralement connus sous le nom de « phreaks », d’où l’orthographe du « phishing » lui-même.

La première attaque de phishing aurait eu lieu au milieu des années 1990.

À l’époque, AOL était l’un des principaux fournisseurs de services Internet et cette énorme popularité a attiré l’attention des pirates, qui ont commencé à utiliser AOL pour leur communication et à commercer avec des logiciels piratés et illégaux. Ils ont formé une communauté appelée la communauté warez.

Au début, les communautés ont commencé à voler les informations des utilisateurs. Ils ont ensuite généré des détails de carte de crédit aléatoires, qu’ils ont utilisés pour créer de nouveaux Comptes AOL et spammer d’autres membres d’AOL.

Lorsqu’AOL a mis à jour sa sécurité pour mettre un terme à ces incidents, les membres se sont mis à se faire passer pour des employés d’AOL et à envoyer des e-mails frauduleux aux clients. Ils auraient tendu le piège en demandant dans ces e-mails au destinataire de vérifier son compte.

Les différents types de méthodes de phishing

Les auteurs d’hameçonnage mènent souvent les attaques via de faux e-mails, se faisant passer pour une entreprise légitime pour voler les informations personnelles du destinataire. Malheureusement pour les utilisateurs innocents d’Internet, il existe plusieurs autres types d’attaques de phishing.

Hameçonnage

Dans les attaques de spear phishing, les criminels personnalisent leurs e-mails avec le nom, le poste, l’entreprise, le numéro de téléphone et d’autres informations de la cible, essayant de faire croire au destinataire qu’il est connecté à l’expéditeur. L’objectif est le même que pour le phishing trompeur : inciter le destinataire à transmettre des données en cliquant sur une URL ou une pièce jointe malveillante.

Les techniques qu’ils peuvent utiliser incluent le stockage de documents malveillants sur Google Drive, Dropbox et d’autres services cloud ; compromettre les jetons d’API ou les jetons de session ; collecte des notifications d’absence du bureau ; et l’exploration des médias sociaux pour savoir qui travaille dans des entreprises particulières.

Pêche à la baleine

La chasse à la baleine est un type de harponnage dans lequel les escrocs ciblera les PDG ou d’autres cadres de haut rang et essayer de voler leurs informations de connexion.

Dans la deuxième étape de l’attaque, l’escroc utilisera le compte compromis pour autoriser les virements vers une institution financière de son choix. Si ce n’est pas le cas, ils peuvent utiliser le compte pour demander les coordonnées des employés de l’entreprise afin de produire de fausses déclarations de revenus en leur nom ou de publier les informations sur le dark web.

Les techniques qu’un cyberfraudeur peut utiliser lors d’une attaque à la baleine comprennent l’utilisation de logiciels malveillants et de rootkits pour infiltrer le réseau ; suivi des e-mails par des appels téléphoniques pour apaiser toute crainte que quelque chose de suspect se passe ; et utiliser les informations des fournisseurs et vendeurs de la cible pour créer l’impression que l’e-mail provient d’une source fiable.

Smishing

Le smishing est un type de phishing perpétré à l’aide d’un téléphone. L’escroc peut utiliser des messages texte pour inciter le destinataire à cliquer sur des liens malveillants ou à fournir des informations personnelles.

Les techniques que toute personne menant une attaque par smishing peut utiliser incluent le déclenchement du téléchargement d’une application malveillante sur un téléphone mobile ; lien vers des formulaires de vol de données ; ou des instructions à l’utilisateur pour contacter un (faux) support utilisateur.

Les propriétaires d’entreprise et leurs employés doivent être sur leurs gardes lorsqu’ils utilisent la technologie pour s’acquitter de leurs fonctions. Dans le cas contraire, et si le réseau de l’entreprise n’est pas suffisamment sécurisé, les utilisateurs mal intentionnés d’Internet exploiteront les éventuelles failles de sécurité. Cela pourrait causer divers dommages, ce qui signifie qu’investir dans une cybersécurité robuste est l’un des meilleurs investissements qu’une entreprise puisse faire.


Rate this post
Publicité
Article précédentSamsung Galaxy Tab S8+ – 9to5Google
Article suivant‘Don’t Toy With Me, Miss Nagatoro’ Début de la saison 2 en janvier
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici