top of page

LE PHISHING

images.jpg

Phishing, une définition

Généralement réalisée par courrier électronique - bien que ce type d'attaque englobe aussi les appels téléphoniques (ce qu'on appelle le "vishing"), les médias sociaux, les services de messagerie (alias "smishing") et les applications - une attaque de phishing tente de tromper la cible pour qu'elle fasse ce que l'escroc veut. Il peut s'agir de transmettre des mots de passe pour faciliter le piratage d'une entreprise ou de modifier des coordonnées bancaires pour que les paiements soient versés à des fraudeurs au lieu d'être versés sur le bon compte.

Le hameçonnage est également une méthode populaire pour les cyber-attaquants de livrer des logiciels malveillants, en encourageant les victimes à télécharger un document ou à visiter un lien qui installera secrètement la charge utile malveillante dans des attaques qui pourraient distribuer des Trojan, des ransomware ou toutes sortes d'attaques dommageables et perturbatrices.

L'objectif et le mécanisme précis varient : par exemple, les victimes peuvent être amenées à cliquer sur un lien menant à une fausse page web dans le but de persuader l'utilisateur d'entrer des informations personnelles. On estime qu'en moyenne 1,4 million de ces sites web sont créés chaque mois.

Les pirates utilisent de faux profils de médias sociaux, des courriels et autres pour établir un rapport avec la victime pendant des mois, voire des années, dans les cas où des personnes spécifiques sont ciblées pour des données qu'elles ne remettraient qu'à des personnes de confiance.

Ces données peuvent aller de l'adresse électronique et du mot de passe personnels ou d'entreprise, à des données financières telles que les données de carte de crédit ou les références bancaires en ligne, voire des données personnelles telles que la date de naissance, l'adresse et le numéro de sécurité sociale. Entre les mains des fraudeurs, toutes ces informations peuvent être utilisées pour réaliser des escroqueries comme le vol d'identité ou l'utilisation de données volées pour acheter des choses ou même vendre les informations privées sur le Dark Web. Dans certains cas, cela est fait à des fins de chantage ou pour embarrasser la victime.

Dans d'autres cas, le phishing est l'un des outils utilisés pour l'espionnage ou par des groupes de pirates appuyés par des États pour espionner les opposants.

Quel que soit le but ultime de l'attaque, l'hameçonnage consiste à amener les utilisateurs à donner des données ou à l'accès à des systèmes en croyant à tort qu'ils ont affaire à une personne qu'ils connaissent ou en qui ils ont confiance.
 

Comment fonctionne une attaque de phishing ?

Une attaque de phishing basique tente de tromper l'utilisateur en lui faisant communiquer des données personnelles ou d'autres informations confidentielles, et le courrier électronique est la méthode la plus courante pour réaliser ces attaques. Le nombre de courriels envoyés chaque jour en fait un vecteur d'attaque évident pour les cybercriminels. On estime que 3,7 milliards de personnes envoient environ 269 milliards de courriels chaque jour. Les chercheurs de Symantec suggèrent que près d'un courriel sur 2 000 est un courriel de phishing, ce qui signifie qu'environ 135 millions d'attaques de phishing sont tentées chaque jour.

La plupart des gens n'ont tout simplement pas le temps d'analyser attentivement chaque message qui arrive dans leur boîte de réception - et c'est ce que les hameçonneurs cherchent à exploiter de plusieurs façons.

Les escroqueries varient dans leurs cibles - certaines visent des consommateurs imprudents. Dans ce cas, l'objet du courriel est conçu pour attirer l'attention de la victime. Les techniques de campagne de phishing les plus courantes consistent à offrir des prix gagnés lors de faux concours, tels que des loteries ou des concours. Dans cet exemple, afin de "gagner" le prix, les victimes sont invitées à saisir leurs coordonnées telles que leur nom, leur date de naissance, leur adresse et leurs coordonnées bancaires afin de pouvoir réclamer le prix. Il n'y a évidemment pas de prix et tout ce qui se passe, c'est que les victimes mettent leurs données personnelles entre les mains de pirates informatiques.

Si ce "cadeau" semble trop beau pour être vrai, il l'est généralement et il s'agit généralement d'une escroquerie par hameçonnage.

Des techniques similaires sont utilisées dans d'autres escroqueries dans lesquelles les attaquants prétendent vous contacter au nom d'une banque ou d'une autre institution financière cherchant à vérifier des détails, de boutiques en ligne tentant de vérifier des achats inexistants ou parfois les attaquants prétendront provenir d'entreprises de sécurité informatique et qu'ils ont besoin d'accéder à des informations pour assurer la sécurité de leurs clients.

D'autres tentatives d'escroqueries, généralement plus sophistiquées, visent les utilisateurs professionnels. Dans ce cas, les attaquants peuvent également se faire passer pour un membre de la même organisation ou pour un de ses fournisseurs et vous demander de télécharger une pièce jointe qui, selon eux, contient des informations sur un contrat ou un marché. Dans certains cas, l'objectif peut être de récolter des données personnelles, mais dans de nombreux cas, il est également utilisé pour déployer des systèmes de rançon (ransomware).

Les attaquants utilisent souvent des événements très médiatisés comme appât pour atteindre leurs objectifs. Par exemple, en 2020, les cybercriminels ont largement envoyé des courriels censés contenir des informations sur le coronavirus afin de leurrer les gens. Les cybercriminels ont également tenté d'utiliser l'élection présidentielle américaine de 2020 comme un moyen d'attaque.

Une technique courante consiste à fournir un document Microsoft Office qui exige que l'utilisateur autorise l'exécution de macros. Le message qui accompagne le document vise à tromper la victime potentielle en lui demandant d'activer les macros pour permettre au document d'être correctement visualisé, mais dans ce cas, il permettra aux pirates escrocs de livrer leur charge de logiciels malveillants.

(article du site ZDNet Par Danny Palmer )

bottom of page