Le phishing est un type d’attaque par ingénierie sociale que les pirates utilisent pour voler les données des utilisateurs, notamment les identifiants de connexion et les numéros de carte de crédit. Il se produit lorsqu’un attaquant se fait passer pour une entité de confiance afin d’inciter une victime à ouvrir un message et à cliquer sur un lien. Une fois que le lien a dirigé la victime vers un site web frauduleux, la victime est alors amenée à saisir ses identifiants de connexion ou ses informations financières, qui sont transmis au pirate.
Le phishing est une technique d’attaque simple mais efficace, qui permet aux auteurs d’obtenir une multitude d’informations personnelles, financières et professionnelles. L’objectif et les mécanismes précis de l’attaque peuvent varier, mais ils sont généralement centrés sur la sollicitation de données personnelles auprès de la victime ou sur l’installation d’un logiciel malveillant susceptible d’endommager son appareil.
Le phishing n’est pas seulement courant, c’est aussi la menace de cybersécurité la plus dommageable et la plus visible à laquelle les entreprises sont confrontées aujourd’hui.
Combien de temps faut-il pour être hameçonné ?
Difficile de prédire l’heure ou le moment durant lequel vous allez être hameçonné. Le phishing est devenu une industrie à part entière. Il s’étend des réseaux complexes d’attaquants et d’outils spécialement créés, aux individus opérant seuls avec peu de planification ou de ressources préalables. Le coût de la mise en œuvre des attaques est souvent très faible, voire gratuite, de sorte qu’un phishing peut être expérimenté auprès de plusieurs victimes, en même temps.
De plus, même les utilisateurs bien informés qui savent comment prendre soin de leurs données peuvent se laisser prendre au piège de ces escroqueries, soit en raison d’une erreur de jugement, soit à cause d’une technique habile d’ingénierie sociale. Que vous regardiez une publicité sur Youtube, que vous lisiez un message sur un forum, que vous tapiez une URL ou que vous vérifiiez vos e-mails, vous pouvez être la cible d’une arnaque de phishing. Tant que vous êtes sur l’internet, il y a une chance que vous tombiez sur un site de phishing ou que vous receviez un message d’un escroc. Les pertes signalées dues au phishing sur les marchés ordinaires se chiffrent en dizaines de millions de dollars à travers le monde.
Que dois-je faire si j’ai été hameçonné ?
- Changez tous vos mots de passe pour les comptes qui ont été compromis ainsi que pour les comptes qui utilisent des mots de passe identiques ou similaires à ceux qui ont été capturés par le pirate.
- Si vous avez saisi les informations de votre carte de crédit sur la page de phishing, faites opposition.
- Mettez votre ordinateur hors ligne ou fermez votre compte de messagerie pour éviter de diffuser les liens de phishing dans vos listes de contacts.
- Contactez l’entreprise ou la personne dont l’attaque de phishing a usurpé l’identité, le cas échéant – il peut s’agir de votre PDG, d’un ami ou d’une grande entreprise ou banque.
- Soyez attentif aux alertes d’usurpation d’identité et placez une alerte à la fraude sur votre compte de crédit.
Les signes qui indiquent que vous avez été victime de phishing
Il peut être difficile d’identifier que vous êtes victime de phishing, mais il y a des indicateurs à surveiller.
- Un site web, une application ou une personne qui vous demande d’entrer votre mot de passe sans que vous ayez lancé la récupération de votre compte et confirmé celle-ci à l’aide de l’appareil est une arnaque et doit être signalée.
- Des messages demandent de manière persistante de suivre un lien ou de télécharger un fichier.
- L’adresse ou le compte de l’expéditeur est différent du domaine officiel de l’entreprise.
- Les liens ne mènent pas là où vous l’attendez lorsque vous les survolez avec votre curseur.
- Des pièces jointes, des liens ou des questions bizarres dans des messages que vous n’attendiez pas.
- Le ton vous donne l’impression d’être sous pression ou inquiet.
Pourquoi le phishing est-il si efficace ?
Les arnaques par phishing sont répandues parce qu’elles fonctionnent. Elles sont en quelque sorte le produit ultime des escroqueries, ne déployant qu’un minimum d’efforts pour tromper leurs victimes lors d’une brève erreur de jugement. Il existe deux facteurs qui rendent le phishing efficace :
La rapidité
L’information voyage vite. Un seul message contenant un lien vers un site de phishing peut atteindre des dizaines de milliers de personnes en un seul clic, pratiquement sans frais pour l’expéditeur. Une seule victime parmi ces milliers peut suffire à générer des profits. Pour être plus efficaces, les escrocs investissent également dans des données volées ou divulguées et tirent parti d’une peur, d’une motivation ou d’autres données confidentielles auxquelles le groupe de cibles est le plus susceptible de répondre.
La simplicité
Le phishing ne nécessite que des compétences techniques de base. L’envoi d’un faux courriel de la part des impôts réclamant une mise à jour des coordonnées postales est une méthode éprouvée par les hackers. Une analogie avec le monde réel pourrait être un cambrioleur qui vous approcherait en pleine rue et vous réclamerait les clés de votre domicile pour vérifier que vous avez bien éteint votre four. Cette méthode peut sembler absurde, mais elle fonctionne, et les escrocs sont en mesure d’investir davantage de temps et d’argent pour rendre leurs dispositifs plus convaincants et ainsi augmenter leur taux de clics.
Mesures préventives que vous pouvez prendre pour vous protéger contre le phishing
La sensibilisation constitue la meilleure arme pour lutter contre le phishing. Les logiciels Antivirus sont excellents pour fournir une première ligne de défense contre le phishing. Cependant, les attaquants savent très bien comment user de l’ingénierie sociale pour aller au bout de leurs ambitions. La dernière ligne de défense sera toujours l’utilisateur. Il est essentiel de savoir comment repérer une tentative de phishing pour prévenir l’attaque. Il existe plusieurs moyens simples de repérer les attaques et d’éviter d’en être victime.
Ne cliquez jamais sur les liens
La meilleure façon de prévenir une attaque est de ne pas cliquer sur les liens. Les hameçonneurs envoient des liens qui conduisent les utilisateurs vers des pages Web réalistes conçues pour voler des mots de passe. Pour vous assurer de ne pas vous tromper de site et de ne pas donner votre mot de passe, ne cliquez jamais sur les liens contenus dans les courriels ou les SMS provenant d’expéditeurs inconnus.
En règle générale, ignorez le message et ne vous souciez plus de rien. S’il y a réellement un problème avec votre compte, le gestionnaire du parc informatique vous contactera à nouveau. Vous pouvez toujours accéder directement à votre compte pour vous assurer que tout est en ordre.
Si vous souhaitez tout de même accéder au site web de l’entreprise pour vérifier votre compte, la méthode la plus sûre consiste à ouvrir un navigateur web et à vous rendre sur le site. Vous éviterez ainsi de vous faire piéger par un faux site Web dans un lien électronique et vous serez certain d’être sur le bon site.
Demandez de l’aide
La lutte contre le phishing est l’affaire de tous. Demander de l’aide lorsque vous n’êtes pas sûr qu’un courriel soit réel ou faux est une bonne pratique. D’autres personnes peuvent vous aider à repérer un courriel trompeur. Il existe d’innombrables ressources disponibles pour vous aider. Si vous pensez être victime de phishing dans le cadre professionnel, le plus sûr est de transférer l’e-mail à votre service informatique.
En matière de phishing, il vaut toujours mieux prévenir que guérir. Une bonne compréhension de ce qu’est le phishing vous aidera à comprendre comment vous pouvez vous protéger de cette attaque. Si le phishing semble aussi simple, c’est parce qu’il l’est au fond. C’est ce qui rend le phishing si efficace.
Se former en continu
À mesure que la technologie évolue, les cybercriminels adaptent leurs attaques de phishing pour rendre les messages malveillants plus difficiles à identifier par les machines et les humains. Les e-mails de phishing traditionnels ciblent des centaines, voire des milliers de destinataires à la fois. Ils sont conçus pour inciter les utilisateurs à cliquer sur l’URL d’une page Web où il leur est demandé de saisir des informations personnelles. Les e-mails de spear phishing sont ciblés et personnels. L’attaquant se fait passer pour une source digne de confiance, prétendant connaître sa victime, afin que les utilisateurs peu méfiants lui fassent confiance lorsqu’il leur demande des informations sensibles.
