Sommaire
Le phishing est une tentative visant à vous inciter à divulguer des informations personnelles, notamment vos coordonnées bancaires et vos mots de passe, ou à infecter vos appareils. Les cinq types d’attaques de phishing les plus connus sont : le phishing par email, le spear phishing, le whaling, le smishing/vishing et l’angler phishing.
Comment fonctionne le phishing ? En exploitant les émotions humaines telles que la peur, la curiosité, la satisfaction et la cupidité, pour inciter les destinataires à cliquer sur le lien ou à ouvrir une pièce jointe.
Le manque de connaissances et de formation expose les individus au phishing. En effet, ils ne sont pas en mesure d’identifier facilement les signes ou réagissent trop rapidement avant de prendre conscience du risque. Un simple coup d’œil ne suffit pas toujours pour repérer les signes de phishing. Il faut apprendre à reconnaître le fonctionnement des messages de phishing et rechercher les indices.
Le manque de connaissances et de formation expose les individus au phishing. En effet, ils ne sont pas en mesure d’identifier facilement les signes ou réagissent trop rapidement avant de prendre conscience du risque. Un simple coup d’œil ne suffit pas toujours pour repérer les signes de phishing. Il faut apprendre à reconnaître le fonctionnement des messages de phishing et rechercher les indices.
Qu'est-ce que le phishing ?
La pêche consiste à lancer une ligne munie d’un hameçon et d’un appât dans l’eau pour attraper un poisson. Le phishing est un jeu de mots qui utilise la même analogie. Le phishing vise à obtenir des informations personnelles, généralement des mots de passe et des coordonnées bancaires, ou à infecter votre matériel informatique avec des logiciels malveillants. Quel que soit le type de phishing, l’objectif est généralement d’obtenir un gain financier.
Toutes les communications électroniques peuvent être exploitées : e-mails, réseaux sociaux, SMS, etc. Même si nous sommes nombreux à être conscients des risques, il est très facile de négliger les signes avant-coureurs et de répondre à une tentative d’hameçonnage.
Le phishing est contraire à l’éthique et considéré comme illégal, mais il peut être difficile à prouver. Cette méthode de piratage informatique est classée comme un crime aux États-Unis, en France et dans plusieurs pays européens.
Toutes les communications électroniques peuvent être exploitées : e-mails, réseaux sociaux, SMS, etc. Même si nous sommes nombreux à être conscients des risques, il est très facile de négliger les signes avant-coureurs et de répondre à une tentative d’hameçonnage.
Le phishing est contraire à l’éthique et considéré comme illégal, mais il peut être difficile à prouver. Cette méthode de piratage informatique est classée comme un crime aux États-Unis, en France et dans plusieurs pays européens.
Cette pratique est largement répandue et très efficace. Selon un rapport CISCO de 2021, 86 % des entreprises comptaient au moins un employé ayant cliqué sur un lien de phishing. 1,3 million de recherches et de demandes d’aide liées au phishing ont été enregistrées en 2021.
Les méthodes d'hameçonnage et comment les reconnaître
Il existe de nombreux types d’hameçonnage, notamment l’hameçonnage général par e-mail bien connu, le whaling, l’angler phishing, et bien d’autres encore. Nous allons examiner quelques-uns des plus efficaces.
Tirage au sort / Loterie
Un email t’informe que tu as gagné un prix et te demande de cliquer sur un lien pour le recevoir. Ce lien t’invite à remplir tes infos personnelles :
Mise à jour des informations personnelles
Les emails suggérant que vos informations personnelles ont été compromises sont courants. Ils vous demandent généralement de mettre à jour vos coordonnées afin d’éviter tout risque supplémentaire, vous redirigeant vers un site frauduleux :
- une mise à jour de vos coordonnées bancaires après des tentatives d’accès à votre compte
- une mise à jour du mot de passe à la suite d’une alerte de sécurité
- une fausse alerte provenant d’une banque ou d’une institution financière, par exemple PayPal
Hameçonnage ciblé
Les emails de phishing peuvent être envoyés à plusieurs destinataires ou cibler une personne en particulier, comme dans le cas du spear phishing. Le spear phishing consiste à utiliser certaines informations déjà connues sur la victime, par exemple son lieu de travail, son adresse email, son poste, ses collègues, afin de rendre l’email plus convaincant.
Ces emails contiennent généralement un lien vers un faux site web tiers qui invite l’utilisateur à suivre le lien, révélant ainsi d’autres informations personnelles.
Ces emails contiennent généralement un lien vers un faux site web tiers qui invite l’utilisateur à suivre le lien, révélant ainsi d’autres informations personnelles.
Whaling
Il s’agit d’attaques visant un cadre supérieur (le gros poisson) et qui ont tendance à être plus subtiles que les autres méthodes. Les faux liens et les URL malveillantes ne sont pas utilisés pour le whaling, car ces attaques utilisent généralement le prétexte d’un PDG ou d’un directeur général très occupé qui a besoin de l’aide d’un employé.
Par exemple, en 2016, le fabricant de jouets Mattel a été victime d’une attaque de whaling qui lui a coûté 3 millions de dollars.
Angler phishing
Angler fishing se concentre sur les réseaux sociaux, en utilisant les consommateurs et les clients insatisfaits. L’objectif reste le même : persuader les gens de partager leurs informations personnelles ou de télécharger des logiciels malveillants. Cela implique l’utilisation de fausses URL, de sites web clonés, de publications, de tweets et de messages instantanés (parfois appelés « smishing »). Souvent, les criminels utilisent les informations que vous avez déjà publiées sur les réseaux sociaux !
Après avoir passé en revue quelques techniques d’hameçonnage, voyons maintenant comment vous en protéger.
Comment se protéger contre le phishing ?
Le phishing cherche à vous tromper. Soyez vigilant et évitez les pièges :
Vérifiez toujours l'adresse email de l'expéditeur.
Souvent, une adresse email semble identique à celle du tiers qu’elle prétend être. En y regardant de plus près, on peut remarquer une faute d’orthographe ou des lettres modifiées, par exemple « rn » peut ressembler à « m », ou un « I » majuscule est utilisé à la place d’un « l ».
Vérifiez les liens URL dans l'email.
Ne visitez que des sites sécurisés, dont l’URL commence par HTTPS (le « S » signifie qu’il est sécurisé). Ceci est particulièrement important lorsque vous saisissez des informations confidentielles et sensibles.
Faites attention au contenu de l'email.
Si l’email contient des fautes d’orthographe ou insiste trop sur l’urgence, il s’agit très probablement d’une tentative d’hameçonnage.
Méfiez-vous des pièces jointes.
Si vous avez des doutes quant à la validité d’un email, ne téléchargez pas les pièces jointes, qui peuvent contenir des logiciels malveillants susceptibles de voler vos données personnelles.
Configurer un filtre anti-spam
Ils vous permettent de filtrer les email potentiellement suspects et de les envoyer directement dans le dossier spam. Consultez notre article pour mieux comprendre le fonctionnement des filtres anti-spam.
Authentifiez votre domaine d'envoi
Si vous êtes une entreprise ou un particulier qui envoie divers types d’emails à vos clients, optez pour l’authentification de vos emails. Une authentification régulière, à l’aide de protocoles tels que DMARC, DKIM et SPF, renforce la confiance de votre audience et permet à vos emails d’arriver dans la boîte de réception des destinataires plutôt que dans le dossier spam. N’hésitez pas à consulter nos articles consacrés à ce sujet pour en savoir plus.
Si vous êtes victime d’une tentative d’hameçonnage, vous pouvez vous rendre sur le site apwg.org pour signaler tout message suspect que vous avez reçu.
Le phishing ne fera que se perfectionner à mesure que la technologie évoluera. Vous pouvez suivre les conseils que nous vous donnons pour vous protéger, protéger votre entreprise et vos amis, mais pour garder une longueur d’avance sur les nouvelles méthodes constamment développées pour pirater les systèmes et obtenir frauduleusement des informations personnelles, vous devez sécuriser vos domaines d’envoi.
MailSoar est une équipe d’experts qui peuvent partager leurs connaissances et leur savoir-faire pour vous aider à garder une longueur d’avance sur les attaques de phishing et à minimiser vos risques.
MailSoar est une équipe d’experts qui peuvent partager leurs connaissances et leur savoir-faire pour vous aider à garder une longueur d’avance sur les attaques de phishing et à minimiser vos risques.
MailSoar est une agence spécialisée dans la délivrabilité qui peut vous aider à améliorer votre taux de délivrabilité et, par conséquent, à développer votre activité.
Que vous soyez un expéditeur expérimenté cherchant à perfectionner la délivrabilité de votre infrastructure ou qu’une grande partie du retour sur investissement de votre entreprise dépende de la bonne réception de vos e-mails, notre équipe d’experts est habituée à gérer la délivrabilité continue d’expéditeurs massifs issus de tous les secteurs.
Contactez MailSoar pour optimiser la délivrabilité des emails et améliorer votre réputation en matière d’envoi postal grâce aux meilleures solutions.
Contactez MailSoar pour optimiser la délivrabilité des emails et améliorer votre réputation en matière d’envoi postal grâce aux meilleures solutions.
