- Sécurité
- Confidentialité
- Performances
Le phishing est une technique de cybercriminalité qui utilise la fraude, la supercherie ou la tromperie pour vous inciter à divulguer des informations personnelles sensibles. Découvrez comment il fonctionne pour détecter et bloquer les arnaques de phishing et protéger vos données contre les pirates. Choisissez la solution de sécurité récompensée Avast One pour rester à l’abri des attaques de phishing et autres cybermenaces telles que les virus et les malwares.
Le phishing (ou hameçonnage) est l’une des arnaques les plus anciennes et les plus connues d’Internet. On peut le définir comme n’importe quel type de fraude de télécommunications qui utilise des astuces d’ingénierie sociale pour obtenir des données confidentielles de la part de leurs victimes.
Cette article contient :
Une attaque de phishing comporte trois éléments :
Elle est menée par voie électronique, par exemple un e-mail ou un appel téléphonique.
L’attaquant prétend être une personne ou une organisation en qui vous pouvez avoir confiance.
L’objectif est d’obtenir des informations personnelles sensibles telles que des identifiants de connexion ou des numéros de carte de crédit.
C’est cette supercherie qui est à l’origine du mot phishing : Le cybercriminel va à la « pêche » (fishing en anglais) avec un « appât » séduisant afin de « faire mordre à l’hameçon » ses victimes dans le vaste « océan » qu’est Internet. Le ph du mot « phishing » en anglais vient du passe-temps très en vogue au milieu du XXe siècle nommé « phreaking », qui consistait pour des « phreaks » passionnés à faire des expériences sur les réseaux de télécommunications pour en comprendre le fonctionnement. Phreaking + fishing (pêche) = phishing (hameçonnage).
Spam ou phish : si vous avez le choix, optez pour le spam. La principale différence entre le spam et le phishing est que les spammeurs ne vous veulent pas de mal. Le spam est un courrier indésirable : juste un tas de publicités envahissantes. Les attaques de phishing des « hameçonneurs » visent à voler vos données et les utiliser à vos dépens. Plus loin dans cet article, nous parlerons de ce qu’ils veulent et comment ils s’y prennent pour parvenir à leurs fins.
Que vous aimiez ou non le Spam dans la vraie vie (il s’agit de jambon en conserve), n’oubliez pas l’adage : Spam is delicious, but phish is malicious. (Le Spam, c’est excellent, mais le phish, c’est malveillant).
Qu’elles soient menées par e-mail, sur les réseaux sociaux, par SMS ou tout autre vecteur, toutes les attaques de phishing obéissent aux mêmes principes de base. L’attaquant envoie un argumentaire ciblé visant à persuader la victime de cliquer sur un lien, de télécharger une pièce jointe, d’envoyer les informations requises ou même d’effectuer un paiement.
Quant à ce que le phishing peut faire, cela dépend de l’imagination et des compétences du phisher (hameçonneur). L’omniprésence des réseaux sociaux offre aux hameçonneurs l’accès à un nombre croissant d’informations personnelles de leurs cibles. Armés de toutes ces données, ils peuvent adapter leurs attaques aux besoins, aux désirs et aux situations de leurs cibles, ce qui rend leurs propositions bien plus alléchantes. Dans ces cas de figure, les réseaux sociaux alimentent une ingénierie sociale plus puissante.
La plupart des tentatives de phishing peuvent conduire à un vol d’identité ou d’argent. C’est également une technique efficace pour l’espionnage d’entreprise ou le vol de données. Certains pirates vont jusqu’à créer de faux profils sur les réseaux sociaux et prennent le temps de tisser des liens avec leurs victimes potentielles, en tendant leur piège une fois qu’ils ont gagné leur confiance.
Quel est le coût du phishing ? Les conséquences ne sont pas uniquement financières. Le phishing entraîne aussi une perte de confiance. Ça fait mal de se faire arnaquer par une personne sur laquelle on pensait pouvoir compter, et on peut mettre du temps à s’en remettre.
Creusons un peu : qu’est-ce que le phishing ? Quelle est l’origine d’une attaque de phishing et à quoi peut-elle ressembler ? Il est temps d’obtenir des réponses.
Phishing par e-mail : De loin la méthode la plus courante, le phishing par e-mail consiste à lancer son appât via des courriels. Ces e-mails contiennent souvent des liens vers des sites web malveillants ou des pièces jointes contenant des malwares. Plus loin dans cet article, nous vous montrerons un exemple d’e-mail de phishing pour que vous sachiez quels e-mails éviter.
Phishing par site web : Les sites web de phishing, également appelés sites usurpés, sont de fausses copies de sites web réels que vous connaissez et en lesquels vous avez confiance. Les pirates créent ces sites falsifiés afin de vous tromper pour que vous saisissiez vos identifiants de connexion, qu’ils pourront ensuite utiliser pour se connecter à vos vrais comptes. Les fenêtres contextuelles (pop-up) sont également une source courante de phishing par site web.
Vishing : Abréviation de « phishing vocal » (hameçonnage vocal), le vishing est la version audio du phishing sur Internet. L’attaquant tente de convaincre ses victimes par téléphone de divulguer des informations personnelles qui pourront ensuite être utilisées pour un vol d’identité. De nombreux appels automatisés sont des tentatives de vishing.
Smishing : Le smishing, c’est la version SMS du phishing. Vous recevez un SMS vous demandant de cliquer sur un lien ou de télécharger une application. Mais en réalité, vous téléchargez des logiciels malveillants sur votre téléphone. Ces malwares détournent vos informations personnelles et les envoient au pirate.
Phishing par le biais des réseaux sociaux : Certains attaquants peuvent pirater des comptes de réseaux sociaux et forcer des gens à envoyer des liens malveillants à leurs amis. D’autres créent de faux profils et hameçonnent les autres par le biais de ces fausses entités.
Grâce aux principaux vecteurs de phishing mentionnés ci-dessus, les pirates peuvent mener une large gamme d’attaques allant de la prouesse technique à la bonne vieille arnaque. Ne tombez pas dans le piège :
Phishing trompeur : Attendez une minute, est-ce qu’on ne dit pas depuis le début que tout phishing est trompeur ? Si. L’objectif du phishing, c’est de vous induire en erreur. Mais le terme « phishing trompeur » désigne de manière spécifique les pirates qui se font passer pour des entreprises ou des individus légitimes pour gagner votre confiance.
Phishing ciblé : Les campagnes de phishing à grande échelle sont comparables à de gros bateaux de pêche qui parcourent les océans avec d’immenses filets en essayant d’attraper tout ce qu’ils peuvent. Par opposition, dans le cas de phishing ciblé, les hameçonneurs personnalisent leurs attaques en vue de cibler des individus en particulier. Les réseaux sociaux professionnels comme LinkedIn ont popularisé le phishing ciblé pour la cybercriminalité d’entreprise, car les pirates peuvent facilement trouver toutes vos informations professionnelles à un seul endroit.
Whaling (harponnage) : Pour compléter la série des métaphores nautiques, il existe aussi le whaling (harponnage, « whale » signifiant « baleine » en anglais), qui est une attaque de phishing ciblant un certain individu de grande valeur. C’est la même chose que le phishing ciblé, mais le ciblage est bien plus ambitieux. Même les dirigeants d’entreprises ne sont pas à l’abri d’attaques de type harponnage.
Fraude au PDG : Les hameçonneurs usurpent l’identité du PDG d’une entreprise ou d’un autre cadre supérieur pour soutirer des informations de paiement ou des informations confidentielles à des employés. Les campagnes de fraude au PDG font souvent suite à des attaques de type whaling (harponnage), car l’attaquant a déjà obtenu les informations de connexion du PDG.
Pharming : Les attaques de pharming (phishing + farming : hameçonnage + exploitation) utilisent des astuces technologiques qui évitent d’avoir à vous attirer avec un appât. Par exemple, l’empoisonnement du cache DNS est une technique de pharming qui peut automatiquement vous détourner d’un site Web légitime vers la version usurpée de l’attaquant. Si vous ne faites pas attention, vous ne remarquerez pas l’arnaque à temps.
Phishing via Dropbox et Google Docs : Les services cloud populaires sont des cibles de phishing tentantes. Les attaquants distribuent des versions usurpées des écrans de connexion, récoltent vos identifiants lorsque vous les saisissez, puis se servent tout simplement dans tous vos fichiers et données.
Clone phishing (hameçonnage par clonage) : Les attaquants peuvent « cloner » un e-mail légitime en envoyant exactement le même e-mail à tous les destinataires précédents avec cependant une différence de taille : les liens qu’il contient sont malveillants.
Manipulation de lien : Les hameçonneurs envoient des liens qui semblent mener à une URL, mais vous renvoient en réalité ailleurs lorsque vous cliquez dessus. Parmi les astuces courantes, des fautes d’orthographe délibérées (par exemple, « seulement » remplacé par « seuIement » ; le second écrit avec un i majuscule) ou le nom d’un site web de confiance comme texte d’affichage du lien. On les connaît également sous le nom d’attaques homographes.
Scripts inter-sites : Les hameçonneurs sophistiqués peuvent exploiter les faiblesses des scripts de sites web pour pirater le site à leur profit. Les scripts inter-sites sont difficiles à détecter car l’ensemble du site web semble être légitime, de l’URL aux certificats de sécurité.
Avast One fait bien plus que vous protéger contre les virus et autres malwares. Notre détection intelligente des menaces peut repérer les liens malveillants et les pièces jointes infectées que les hameçonneurs aiment utiliser contre vous et vous mettre en garde. Si les hameçonneurs ne peuvent pas vous tromper, ils ne peuvent pas voler vos données et nous sommes là pour faire en sorte que cela ne se produise pas.
Installez l’outil de sécurité complet qui a reçu cinq étoiles TechRadar et le prix du choix de la rédaction de PCMag.
On pourrait en compiler des volumes entiers, même en nous concentrant uniquement sur les attaques les plus connues. Voici un aperçu des meilleurs procédés de phishing :
Avant la coupe du monde de la FIFA 2018 à Moscou, le monde du football s’est vu inondé d’arnaques de phishing. Les victimes ont été appâtées avec des billets gratuits, des offres d’hébergement de dernière minute et de produits dérivés des équipes.
En piratant les bases de données d’hôtels partenaires associés à Booking.com, un groupe d’attaquants a pu hameçonner les utilisateurs du site via WhatsApp et par SMS (smishing). Le phishing entourant l’événement est devenu si intense que la FTC a été obligée de publier un avertissement officiel.
Initiée en 2007, l’opération Phish Phry s’est développée en deux ans et a déclenché la plus grande enquête internationale sur la cybercriminalité que le FBI ait jamais connue. L’opération visait à mettre hors d’état de nuire un réseau de phishing qui incitait les victimes à fournir leurs numéros de compte, mots de passe et codes PIN à l’aide d’e-mails et de sites web usurpés.
À la fin de l’enquête, les cybercriminels avaient réussi à transférer environ 1,5 million de dollars des victimes vers des comptes aux États-Unis, mais le FBI et les autorités égyptiennes ont pu inculper plus de 100 suspects aux États-Unis et en Égypte.
Les magasins Target ont subi un contrecoup mondial après une violation de données en 2013 qui a impliqué 110 millions de consommateurs. Bien que le géant de la vente au détail n’ait pas encore divulgué tous les détails de l’attaque, il a été conclu depuis que tout a commencé avec un e-mail de phishing envoyé à l’un des fournisseurs de Target.
Deux jours avant le Black Friday, les pirates ont accédé aux lecteurs de cartes des points de vente de Target pour dérober 11 Go d’informations de cartes de bancaires. Résultat : Target a versé des dommages et intérêts records de 18,5 millions de dollars.
La grande majorité des arnaques de phishing se fait par e-mail. Vous voulez savoir comment les e-mails de phishing fonctionnent ? C’est parti !
La plupart des e-mails de phishing peuvent être classés dans plusieurs catégories. En voici quelques-unes que vous êtes le plus susceptible de voir :
Problème de paiement ou de facturation : on vous informe que quelque chose que vous avez récemment acheté en ligne ne peut pas être expédié en raison d’un problème de facturation. Si vous cliquez, vous êtes redirigé vers une page de destination usurpée vous invitant à saisir vos informations de paiement qui pourront être exploitées par vos hameçonneurs.
Le gouvernement en a après vous : ces e-mails font appel à votre aptitude à croire (et à vous soumettre) aux demandes des autorités. Généralement de nature menaçante, ce type d’e-mail de phishing annonce une sanction effrayante à moins que vous ne fournissiez les données personnelles demandées.
Le gouvernement veut vous donner de l’argent : c’est l’opposé de l’exemple précédent. Pendant les périodes de déclaration fiscale, ces e-mails vous offrent un remboursement si vous fournissez rapidement vos informations bancaires.
Appel à l’aide : les hameçonneurs se font passer pour un ami ou un parent, expliquant qu’il se trouve dans une situation désastreuse et implorant votre aide financière. Ces arnaques sont malheureusement souvent perpétrées au détriment des personnes âgées par vishing, le hameçonnage par téléphone.
L’avertissement de la banque : de nombreuses banques avertissent leurs clients si elles détectent une activité suspecte ou si le compte est sur le point d’être à découvert. Les hameçonneurs profitent de ces services utiles pour tenter de convaincre leurs cibles de « confirmer » leurs informations bancaires.
Vous êtes le grand gagnant : quelle chance ! Vous êtes l’heureux gagnant d’un prix incroyable. Tout ce que vous avez à faire, c’est saisir vos informations. C’est l’arnaque de la Coupe du monde mentionnée plus haut.
Affaires urgentes : les hameçonneurs aiment utiliser l’urgence pour vous forcer à prendre de mauvaises décisions hâtives. Qu’ils proposent une offre temporaire trop belle pour être vraie ou qu’ils menacent de fermer votre compte si vous n’agissez pas immédiatement, leur objectif est de vous faire peur pour que vous divulguiez vos informations personnelles dans les meilleurs délais.
Bien qu’ils se présentent sous diverses formes et tailles, vous pouvez apprendre à les reconnaître. Dans la suite de cet article, nous donnons un aperçu des aspects les plus courants. Des solutions de cybersécurité fiables peuvent faire la majeure partie du travail pour vous protéger contre le phishing, mais en identifiant les signes avant-coureurs suivants, vous pouvez vous constituer une première ligne de défense contre le phishing.
L’e-mail ne vous est pas nommément adressé : de nombreux types de phishing, y compris le mode standard de « phishing trompeur » ratissent large. Pour cette raison, l’e-mail ne porte pas le nom du destinataire. Son intitulé est plutôt vague : « Cher client », ou bien il reprend votre nom d’utilisateur de messagerie. Les correspondances officielles d’entreprises légitimes s’adressent à vous en utilisant votre nom.
Une offre que vous ne pouvez pas refuser : vous pouvez, et vous le devez. Si une offre ou un accord vous semble trop beau pour être vrai, c’est probablement parce que c’est le cas. Ne laissez pas ces escrocs vous avoir avec des offres alléchantes. Quoi qu’ils promettent, vous vous en sortirez très bien sans, parce que de toute façon, vous devez faire sans. Les offres de phishing ne sont jamais réelles.
Action immédiate requise : Comme mentionné plus haut, les hameçonneurs sont très pressants. Ne tombez pas dans le piège de l’urgence, ne croyez pas aux menaces, et, plus important encore, ne vous laissez pas déstabiliser. Aucune entité légitime, gouvernementale, professionnelle ou autre, ne vous donnera qu’une seule chance d’agir avant de fermer la porte.
Liens raccourcis : détectez les liens malveillants qui se cachent derrière les services de liens raccourcis. En règle générale, passez sur tous les liens avant de cliquer dessus. Comme la plupart des interfaces mobiles ne proposent pas cette fonctionnalité, vérifiez plutôt deux fois qu’une les liens présents dans les e-mails, même lorsque vous êtes pressé.
Liens mal orthographiés : les pirates hébergent des versions usurpées de sites légitimes avec des URL presque identiques, et ils vous encourageront à cliquer sur ces liens dans leurs e-mails de phishing. Recherchez les fautes de frappe lorsque les pirates vous trompent en utilisant une version légèrement incorrecte de l’URL légitime, ou les fautes d’orthographe délibérées qui utilisent des lettres et des caractères d’aspect similaire. Lisez les liens avec attention avant de cliquer !
Rédaction médiocre : votre banque ne vous enverra jamais un e-mail plein de fautes d’orthographe et de fautes de grammaire. Un hameçonneur, en revanche, le peut et le fera souvent. Des erreurs de ce type sont caractéristiques d’un e-mail de phishing.
Pièces jointes : il n’y a rien de mal avec les pièces jointes en général, si vous les attendez et si elles vous sont envoyées par quelqu’un en qui vous avez confiance. Hors de ce contexte, évitez les pièces jointes inconnues. Les escrocs peuvent même cacher des malwares dans des fichiers à contenu riche comme les PDF.
Infos personnelles demandées : les hameçonneurs en ont après vos données. Si vous avez reçu un e-mail vous demandant de confirmer les informations de votre compte, vos informations de connexion ou d’autres informations personnelles, vous êtes probablement victime de phishing.
Vous n’utilisez pas cette entreprise ou ce service : les hameçonneurs n’ont généralement pas accès aux bases de données d’utilisateurs des sociétés dont ils usurpent l’identité. Ils envoient donc leurs e-mails de phishing à tous ceux qu’ils trouvent. Si vous avez reçu un e-mail du service de streaming de contenu A, mais que vous êtes un fidèle des fidèles des services de streaming de contenu B et C, vous avez affaire à une arnaque de phishing.
J’ai reçu l’e-mail ci-dessus dans ma boîte de réception personnelle. J’imagine que si j’étais tombé dans ce piège et si j’avais répondu à l’e-mail, on m’aurait demandé de fournir les identifiants de connexion de mon compte Google. Notez que cet e-mail contient de nombreux signes d’avertissement que nous venons de décrire :
Sujet écrit de manière informelle
L’adresse e-mail de l’expéditeur est suspecte
Le destinataire n’est pas véritablement votre adresse e-mail
L’e-mail n’est pas adressé nommément au destinataire
L’e-mail contient des erreurs grammaticales et d’autres erreurs linguistiques
Une action immédiate est requise
Il manque le contenu classique de signature que vous pouvez attendre d’un e-mail officiel
C’est simple : signalez et supprimez ! Votre fournisseur de messagerie doit avoir une option qui vous permet de lui signaler directement les arnaques de phishing.
Ensuite, transmettez les e-mails à la FTC, à l’adresse spam@uce.gov et au groupe de travail anti-hameçonnage à reportphishing@apwg.org. Signalez également votre expérience de phishing sur le site dédié de la FTC.
Enfin, contactez la société usurpée pour lui faire savoir qu’un hameçonneur utilise sa marque pour essayer d’arnaquer le public.
Informer les utilisateurs et utiliser des logiciels anti-hameçonnage constituent une solide défense contre le phishing au niveau de l’entreprise. Les entreprises doivent investir dans des programmes complets pour former leurs employés à reconnaître des tentatives de phishing et leur expliquer comment ils doivent s’en méfier. Les équipes de sécurité peuvent renforcer ces instructions par des contre-mesures logicielles efficaces pour bloquer les arnaques de phishing, que la cible succombe ou non à la ruse.
Au niveau personnel, voici ce que vous pouvez faire pour vous débarrasser des arnaques de phishing :
Renseignez-vous : La bonne nouvelle est qu’une fois que vous aurez lu cet article, vous aurez déjà coché cette case. Gardez une longueur d’avance sur les hameçonneurs en vous tenant au courant des dernières arnaques.
Soyez méfiant : Faites preuve de prudence avec tout e-mail suspect. Avant de cliquer sur un lien ou de télécharger une pièce jointe, recherchez les signes caractéristiques de phishing mentionnés plus haut dans cet article. Si l’un d’eux s’applique à votre e-mail, signalez-le et supprimez-le.
Vérifiez avant d’agir : Des entreprises authentiques ne vous contacteront jamais pour demander des informations personnelles par e-mail ou par téléphone. Si cela se produit, appelez vous-même l’entreprise en utilisant les coordonnées fournies sur son site internet légitime pour vérifier tout ce qui est dit dans un e-mail ou un appel. Ne répondez pas directement aux e-mails suspects. Commencez toujours une nouvelle communication via les canaux de services officiels de l’entreprise.
Vérifiez les certificats de sécurité : N’envoyez aucune information personnelle que vous ne souhaiteriez pas qu’un pirate informatique détienne, à moins d’être sûr que le site est sécurisé. Vérifiez que l’URL commence par HTTPS, et recherchez l’icône de cadenas à proximité de l’URL.
Changez régulièrement de mots de passe : Les hameçonneurs ne peuvent pas faire grand-chose avec votre mot de passe s’il n’est plus valide. Mettez à jour vos mots de passe à l’aide d’un gestionnaire de mot de passe pour créer des mots de passe difficiles à déchiffrer et les stocker en toute sécurité.
Sécurisez vos comptes : Soyez de ces personnes qui examinent scrupuleusement leurs relevés de compte. Sinon, vous risquez de passer à côté de dépenses frauduleuses. Les banques et les cartes de crédit sont généralement très efficaces pour détecter les fraudes, mais vous devez également porter une attention particulière à vos comptes et relevés.
Installez un bloqueur de publicités : Cette astuce pourrait tout aussi bien être « ne cliquez pas sur les fenêtres contextuelles », mais si vous utilisez un bloqueur de publicités, il arrêtera la plupart de ces fenêtres pop-up avant que vous puissiez les voir. Les fenêtres pop-up sont des vecteurs de hameçonnage courants. Si vous en voyez une, ne cliquez jamais sur l’annonce, même si le bouton de fermeture est énorme. Utilisez toujours la croix (X) dans le coin.
Lisez les e-mails en texte brut : C’est une astuce parfaite pour détecter les arnaques de phishing par e-mail. Convertissez un e-mail en texte brut et vous pourrez repérer les URL d’images masquées qui ne seraient pas visibles en mode HTML.
Utilisez un logiciel de sécurité : Un bon antivirus détecte automatiquement les tentatives de phishing et vous empêche d’interagir avec ces attaques.
Vous aurez beaucoup moins de pain sur la planche si vous laissez un outil anti-phishing fiable assumer cette responsabilité. Avast One détecte les tentatives de phishing avant qu’elles ne vous atteignent. De plus, l’antivirus est automatiquement mis à jour à chaque fois qu’une nouvelle attaque est découverte, vous protégeant en temps réel face aux cybermenaces en constante évolution.
Installez Avast One afin de protéger vos appareils contre les attaques de phishing, les malwares et autres menaces en ligne.
