phishing
Accueil Informatique Phishing : comment détecter l’hameçonnage et s’en défendre ?

Phishing : comment détecter l’hameçonnage et s’en défendre ?

Le terme « Phishing » ou hameçonnage en français, fait référence à un concept qui ne peut être complètement inconnu ou nouveau, pour tout utilisateur d’Internet. Si vous n’avez pas commencé à surfer sur Internet hier (même si c’est le cas, cet article est pour vous) vous avez assurément eu l’occasion d’être confronté à ce phénomène.

Définition du phishing

Le Phishing est dérivé d’une forme modifiée du terme « pêche » en anglais, littéralement « fishing« . C’est une technique de fraude ou d’escroquerie qui a pour but de tromper un internaute. Elle a pour objectif de lui soutirer des informations personnelles comme un mot de passe, un numéro de carte bancaire, un accès sécurisé en se faisant passer pour un site de confiance.

Selon plusieurs rapports de Kaspersky, l’un des principaux acteurs dans le monde de la cybersécurité, tout utilisateur du Web a eu l’occasion de rencontrer ce fléau de l’Internet sur son chemin à un moment ou à un autre.

La base de l’escroquerie : l’appât, le fil et la prise

Plusieurs définitions sont associées au phishing :

  • « Essayer de vous piéger pour vous faire partager des informations personnelles » ;
  • « le niveau le plus élevé de SPAM » ;
  • « la forme la plus insidieuse de courrier électronique non désiré » ;
  • « une technique illicite utilisée pour voler des informations confidentielles » ;
  • « un type d’escroquerie sur Internet par lequel un agresseur tente de tromper la victime en lui fournissant des informations« .

En ce qui concerne cette pratique, nous pouvons typiquement identifier trois phases constantes qui, en restant dans la métaphore liée à la pêche, peuvent être résumées comme suit : Lancer l’appât, pose la ligne et capture sa proie.

hameconnage

Lâcher l’appât

Cette phase correspond à l’activité de l’escroc en ligne qui pose son piège. La typologie de la victime peut être aléatoire, dans le cas d’attaques massives et généralisées ne visant pas une cible particulière, ou spécifique, dans le cas d’attaques visant une cible ou une catégorie de sujets spécifique. Une fois l’appât lancé, le piège est déclenché lorsque la victime à attraper l’appât.

Pose de la ligne

C’est typique des escroqueries les plus élaborées, où il faut « épuiser » la victime qui ne mord pas à l’hameçon immédiatement, mais qui a la prédisposition d’y céder.

La capture

Le sujet qui se fait berner, finalement, mord à l’hameçon et fournit des informations le concernant à des criminels qui utiliseront ces informations pour obtenir un gain illicite et/ou pour nuire à la victime d’une manière ou d’une autre. Habituellement, la capture est suivie du moment où le sujet trompé, prend conscience qu’il a été victime d’une activité frauduleuse.

L’hameçonnage : le matériel des escrocs

Les lieux d’atterrissage préférés pour les attaques de Phishing sont essentiellement ceux qui sont liés à l’expérience en ligne des utilisateurs. En particulier : les emails, les SMS, les sites web et les réseaux sociaux.

Le plus typique de ceux avec lesquels le Phishing exerce son activité est représenté par le courrier électronique (email). A l’ère des réseaux sociaux et de messagerie, l’utilisation d’outils presque abandonnés redevient une source de risque : là où l’attention baisse, il y a le piège.

SMS

reception smsLes SMS invitant à cliquer sur des liens pour confirmer des réservations, annuler des livraisons ou même entendre des messages enregistrés sur un répondeur, tendent à identifier une future victime de nouvelles attaques, ou à attaquer par exemple le crédit restant de sa carte SIM, ce qui amène la victime à appeler des numéros prépayés.

Il n’est pas rare de recevoir de faux messages SMS de livraison de colis, des réservations inexistantes avec une demande de confirmation ou d’annulation, des SMS d’information provenant de fausses banques ou de faux bureaux de poste, avec des communications prétendument bloquées.

Sites web

Les escrocs s’arment de sites web d’apparence institutionnelle, créés dans le but de donner à ceux qui ont atteint cette adresse, un sentiment de sécurité, par exemple en cliquant sur un lien dans un e-mail d’hameçonnage. Méfiez-vous toujours des liens fournis et faites vos propres recherches pour voir si un site web est fiable, c’est un bon moyen de ne pas tomber dans ce type de pièges.

Réseaux sociaux

Par le biais de faux comptes, créés avec art, de contacts directs à partir de faux comptes, de publicités avec l’apparition de news, de fausses informations, les criminels sont en mesure de recueillir des informations sur les sujets, qui peuvent ensuite servir à lancer des attaques de plus en plus directes et efficaces, pour voler des informations et parfois de l’argent aux victimes.

Appels vocaux

Technique « old school » mais comme le SMS revient à la mode lorsque le seuil d’attention a baissé. Les malfaiteurs, qui se font souvent passer pour des fournisseurs téléphoniques et internet ou pour des opérateurs de votre banque ou de la Poste. Ils tentent d’entrer en contact avec la victime et d’obtenir des informations confidentielles ou un accès à des informations qui peuvent être réutilisées.

Phishing : le poisson

Comme le montrent les différentes enquêtes menées par les chercheurs en sécurité de l’entreprise Kaspersky sur de nombreuses campagnes de phishing, quelle que soit la technique utilisée, il existe un dénominateur commun. Il réunit toutes les tentatives de phishing et les escroqueries en ligne en général : c’est la volonté de frapper l’utilisateur en exploitant ses faiblesses, même au niveau commercial.

iphone 12 proLes nouveautés, les offres et les promotions démesurées sont souvent utilisées pour percer auprès des utilisateurs. Et cela se vérifie par toutes ces campagnes malveillantes qui ont pour objet la possibilité de gagner facilement des cadeaux high-tech, le nouvel iPhone ou encore la dernière PlayStation 5.

Ces attaques sont utilisées de multiples façons et à des fins très diverses, pour inciter les utilisateurs négligents à visiter un site et à entrer leurs informations personnelles. Il peut s’agir d’informations financières telles que ses mots de passe des comptes bancaires ou les détails de leurs cartes de crédit, ou encore leurs informations de connexion aux réseaux sociaux.

Comme vous le verrez dans le paragraphe suivant, en cas de vol, ces informations peuvent être utilisées pour mener diverses opérations illégales, telles que le vol d’argent. C’est pourquoi le phishing est une méthode très répandue pour déclencher une infection. En outre, le phishing est une méthode d’attaque efficace car il est pratiqué à grande échelle. Les cybercriminels augmentent leurs chances d’obtenir les références de victimes naïves en envoyant de nombreux courriels au nom d’institutions légitimes, ou en faisant la promotion de fausses pages.

Les risques et conséquences du phishing

Le phishing peut avoir des conséquences directes ou indirectes désagréables. Selon le type d’informations diffusées, elles peuvent résulter directement vers :

  • Un vol d’identité, dont peuvent découler des activités telles que la création de faux documents, des commandes non souhaitées, voire l’usurpation d’identité ;
  • Des pertes financières directes, si le numéro de la carte de crédit a été communiqué ou si un produit ou un service inexistant a été payé ;
  • De nouvelles tentatives de fraude. De nos jours, les criminels associent à l’utilisateur, ou au nom et prénom de la victime, une personne qui, si elle est correctement « usée« , peut tomber dans un nouveau piège ;
  • Suppression de l’accès à certains services, au cas où les données d’accès telles que le nom d’utilisateur et le mot de passe des sites web ou des courriers électroniques seraient compromises.

Indirectement, les informations fortuites recueillies par les criminels peuvent être utilisées pour cibler, par exemple, les membres du cercle social de la victime et en résulter :

  • Des communications envoyées au nom de la victime à des parents ou collègues ;
  • Des demandes d’informations faites au nom de la personne escroquée ;
  • Un préjudice de réputation lié à la publication de contenus dégradants sur les réseaux sociaux ;
  • Des frictions sur le lieu de travail ;
  • Des nuisances auprès des personnes les plus faibles (mineurs et personnes âgées) ou non alphabétisées numériquement, avec un seuil de naïveté plus haut que celui de la victime.

Ce ne sont là que quelques exemples des conséquences plus ou moins graves, qui découlent toutes d’une attaque de phishing.

Comment se défendre du phishing ?

Bien évidemment, le phishing est une activité sournoise et n’est que partiellement liée au monde technologique. Le point sur lequel cette méthodologie est basée est toujours une caractéristique de la victime, plutôt que l’instrument utilisé par elle. Que ce soit par fatigue, par imprudence, par excès de bonté de cœur, par naïveté extrême, par paresse ou par manque de vigilance, il existe des moments ou des contextes où le risque de tomber dans le piège augmente.

En bref, souvent, il ne s’agit pas seulement d’un manque de connaissances ou d’attention aux règles de base de la cybersécurité. Parfois, le cerveau de l’utilisateur fonctionne un peu différemment de ce que les gourous de la sécurité informatique souhaiteraient. Comme l’explique un article publié par Kaspersky sur le sujet, l’ingénierie sociale utilise la sociologie et la psychologie pour développer des techniques qui créent un environnement qui mène à un résultat prédéterminé. Les cybercriminels exploitent les peurs, les émotions et les réflexes des gens pour accéder à des informations qui seront utilisées à leurs propres fins. Ce type de « science » est largement appliqué dans la plupart des attaques ciblées modernes.

La meilleure défense qui peut être utilisée contre cette activité vient de notre attitude et de notre attention individuelle. Nous devons essayer d’être la meilleure défense pour nous-mêmes et notre cercle social, en utilisant une méfiance raisonnable et des outils technologiques appropriés, pour accroître encore la sécurité de nos systèmes sans nous reposer uniquement sur eux.