Qu'est-ce que le phishing ? Types d'attaques et conseils de prévention
Le phishing est une cyberattaque qui vise à persuader des victimes potentielles de révéler des informations sensibles telles que des mots de passe ou des numéros de carte bancaire. Pour cela, les pirates se font passer pour quelqu'un qu'ils ne sont pas et provoquent un sentiment d'urgence.
Comment fonctionne le phishing ?
Le phishing est une méthode de piratage dangereuse et efficace. Les pirates contactent des personnes ou des entreprises en leur envoyant des messages contenant un lien ou une pièce jointe malveillante. Leur objectif est d'inciter leurs victimes à cliquer sur le lien, ce qui peut les amener à télécharger un malware ou à se rendre sur un site web frauduleux pour y dérober leurs informations personnelles. Les attaques par phishing peuvent être perpétrées de différentes manières, en fonction du pirate et des informations qu'il tente de récupérer.
Au fil des ans, le phishing s'est considérablement perfectionné. On estime qu'environ 32 % de toutes les violations sont liées au phishing et qu'environ 64 % des entreprises indiquent avoir été victimes d'une tentative de phishing au moins une fois.
Le phishing est difficile à repérer car les méthodes sont de plus en plus sophistiquées, en particulier avec le développement de l'IA. Vous avez peut-être déjà ouvert un e-mail de phishing sans même vous en rendre compte, car les pirates misent sur l'ingénierie sociale pour convaincre des victimes peu méfiantes d'ouvrir des pièces jointes suspectes.
Techniques de phishing courantes
Ingénierie sociale
L'ingénierie sociale est une forme d'attaque qui consiste à manipuler la victime pour l'inciter à agir rapidement en lui communiquant des informations trompeuses. Il s'agit par exemple de faire craindre la victime qu'elle risque d'être poursuivie par les services fiscaux. La période des déclarations d'impôts est la plus propice à ce type d'escroquerie par phishing. Le message de phishing contient un appel à l'action urgent tel que « Ne tardez pas sous peine d'amende de la part des services fiscaux », ce qui incite la victime à transmettre des informations sensibles au pirate.
Dans d'autres cas plus complexes, il peut s'agir d'un message frauduleux provenant d'un collègue ou d'un responsable au travail, ou d'un message contenant des informations confidentielles sur le destinataire. Ces situations risquent de compromettre de nombreuses informations.
Imitation de lien
L'imitation de lien accompagne souvent l'ingénierie sociale. Prenons l'exemple d'une arnaque aux impôts : le pirate manipule la victime en lui faisant croire qu'elle doit de l'argent à l'administration fiscale. Elle clique sur le lien fourni. À première vue, le lien semble légitime et peut même contenir ce qui semble être la bonne URL du site web des impôts. Cependant, après avoir cliqué, l'utilisateur est redirigé vers un site web frauduleux sur lequel il est invité à indiquer ses coordonnées. Lorsque la victime saisit ses informations, le pirate les découvre et peut les utiliser à des fins malveillantes.
Que se passe-t-il lorsque vous cliquez sur un lien de phishing ?
Un lien de phishing peut rediriger la victime vers un site web frauduleux, télécharger une pièce jointe malveillante ou installer un malware sur l'appareil ou le réseau.
Une attaque de phishing risque de perturber l'ensemble du réseau d'une entreprise en le détournant ou en dérobant des informations. À cause d'une attaque, une entreprise peut être contrainte de suspendre ses services en ligne pour une durée indéterminée, entraînant d'importantes pertes de revenus et d'autres dommages causés par le malware. En outre, les entreprises peuvent se voir infliger des amendes réglementaires et leur réputation peut être entachée à la suite d'une violation.
Les attaques par phishing sont également dangereuses pour les particuliers, qui risquent de perdre de l'argent ou de se faire voler leur identité.
Attaques de phishing par e-mail
Les attaques de phishing par e-mail comptent parmi les plus courantes et les plus polyvalentes, mais aussi parmi les plus efficaces. Les attaques de phishing par e-mail font souvent appel à l'ingénierie sociale pour inciter les utilisateurs à cliquer sur des liens malveillants ou à télécharger des malwares.
Types de phishing par e-mail
Spear phishing
Une attaque de spear phishing est une attaque de phishing ciblée qui exploite des informations personnelles pour faire un maximum de dégâts. Le pirate connaît déjà le numéro de téléphone, l'adresse, le nom complet et peut-être même le numéro de sécurité sociale de la victime, puis il exploite ces informations pour légitimer les pièces jointes ou les liens de phishing.
Whaling
L'attaque whaling ressemble à l'attaque de type spear phishing, sauf que la cible est une « baleine », soit une personnalité très en vue, plutôt qu'une personne ordinaire ou un réseau de petites entreprises. L'objectif est d'obtenir l'accès à des données de haut niveau ou à des informations potentiellement classifiées.
Clone phishing
Lors d'une attaque de clone phishing, les pirates clonent et renvoient des e-mails légitimes, qui contiennent désormais des malwares ou des liens malveillants, dans le but d'inciter les destinataires à cliquer dessus.
Autres types d'attaques par phishing
Smishing
Le smishing ressemble au phishing par e-mail, sauf qu'il est pratiqué par SMS. La victime reçoit un message similaire à un e-mail de phishing dans un SMS, avec un lien à suivre ou une pièce jointe à télécharger.
Vishing
Le vishing est une méthode plus sophistiquée et parfois plus efficace que le phishing, puisqu'elle fait intervenir une personne réelle au téléphone. Le pirate cherche à obtenir des informations, généralement des numéros de carte bancaire, afin de gagner de l'argent. Les personnes âgées sont plus susceptibles de tomber dans le piège de ce type d'attaque.
Social phishing ou angler phishing
On parle d'angler phishing lorsque l'attaquant se fait passer pour un représentant légitime d'un service client pour convaincre les victimes de lui communiquer des informations personnelles.
Malvertising
On parle de malvertising lorsque des pirates paient des annonceurs légitimes pour qu'ils affichent des publicités sur leurs sites web ou leurs pages de réseaux sociaux. Lorsqu'un utilisateur clique sur la publicité malveillante, il est redirigé vers des sites malveillants où des malwares se téléchargent sur son appareil.
Comment se protéger contre les attaques de phishing ?
Utilisez un gestionnaire de mots de passe
Un gestionnaire de mots de passe peut vous protéger contre les attaques de phishing en vous aidant à créer, gérer et stocker vos mots de passe en toute sécurité. Les gestionnaires de mots de passe comme Keeper Password Manager intègrent un avertissement à propos des sites de phishing. Si vos identifiants enregistrés n'apparaissent pas sur le site que vous visitez, vous êtes probablement sur le mauvais site. De plus, le générateur de mots de passe intégré vous aide à créer des mots de passe forts et aléatoires pour remplacer les mots de passe compromis et limiter les risques de credential stuffing.
Ne cliquez pas sur des liens ou des pièces jointes non sollicités
Si vous recevez des liens et des pièces jointes non sollicités par e-mail, SMS ou autres plateformes de messagerie, ne cliquez pas dessus. Ces liens et pièces jointes peuvent contenir des malwares susceptibles de voler vos informations sensibles ou de vous espionner.
Si vous doutez de la sécurité d'un lien, passez votre souris sur le lien pour afficher l'adresse complète du site web ou utilisez un outil tel que le rapport de transparence des informations de Google.
Utilisez un scanner de messagerie
Un scanner de messagerie peut analyser les pièces jointes d'un e-mail à la recherche d'éventuels malwares. Investir dans un scanner de messagerie vous aidera à vous protéger contre les tentatives de phishing par e-mail.
Comment protéger votre entreprise contre les attaques de phishing ?
Formation des employés
Formez vos employés sur les dangers du phishing, les divers types de phishing et comment se prémunir contre les attaques. Vous pouvez également effectuer des tests de phishing aléatoires pour inciter votre équipe à faire preuve de vigilance.
Utilisation d'un gestionnaire de mots de passe professionnel
En utilisant une solution de gestion des mots de passe pour votre entreprise, vous garantissez que les mots de passe de votre entreprise sont stockés en toute sécurité et qu'ils ne sont accessibles qu'aux bonnes personnes. Keeper Security, par exemple, propose des fonctions d'accès spécifiques aux rôles et des dossiers partagés pour restreindre l'accès à certains identifiants et archives. Nos solutions professionnelles robustes incluent également l'audit des mots de passe et la génération de rapports, qui fournissent des mises à jour utiles sur l'hygiène des mots de passe de l'équipe et facilitent l'application des politiques de mots de passe.
Utilisation d'un logiciel antivirus
Les logiciels antivirus détectent les malwares téléchargés sur les appareils des collaborateurs, les isolent et les suppriment. Ils peuvent aussi analyser les e-mails, des fichiers spécifiques ou des chemins d'accès aux appareils pour y détecter des malwares et d'autres virus. Vous trouverez de nombreux logiciels antivirus gratuits ou destinés aux entreprises en ligne.