3 min de lecture

L'ABC de la Cybersécurité : P comme Phishing

Rémi VIRLOUVET

Juillet 07, 2022

Promo Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 30 jours
L'ABC de la Cybersécurité : P comme Phishing

Vos comptes en ligne font partie de votre identité numérique. Ils sont utilisés pour stocker vos conversations, votre argent, votre historique de recherche ou les photos de chats trop mignons que vous avez mises en favori pour en profiter plus tard. Ils sont précieux non seulement pour vous, mais aussi pour les pirates qui essaient de vous les arracher des mains.

En termes généraux, le phishing (ou hameçonnage) est une forme de fraude dans laquelle un tiers tente de vous inciter à divulguer des informations sensibles en se faisant passer pour une entité digne de confiance. Habituellement, le phishing est effectué via des e-mails ou des applications de messagerie instantanée, mais des liens de phishing peuvent être glissés dans des messages postés sur les réseaux sociaux, les forums, etc.

Comment fonctionne l'hameçonnage ?

Une escroquerie par hameçonnage classique commence par un e-mail censé provenir de votre banque, de votre fournisseur d'accès ou d'une autre entité auprès de laquelle vous vous êtes inscrit. Ces messages nécessitent généralement que vous suiviez un lien pour valider certaines informations personnelles ; le non-respect entraînerait la suspension ou la résiliation du compte. Pour gagner en crédibilité, un message de phishing comprend généralement des logos et des identités visuelles dérobées à l'entité usurpée.

Au lieu de vous mener sur la page Web de la banque, cependant, il pointe vers le site Web du fraudeur. Tout ce que vous remplissez sera envoyé à l'attaquant et utilisé pour accéder illégalement à votre vrai compte. Une fois le compte compromis, l'attaquant peut en abuser de différentes manières, selon le type de compte. Dans le cas d'un site Web de banque en ligne, un pirate pourrait effectuer des paiements ou transférer de l'argent à partir du compte de l'utilisateur ; un compte e-mail peut être utilisé pour accéder à des conversations privées ou pour envoyer des spams à d'autres utilisateurs, etc.

Comment identifier un message de phishing simplement en l'inspectant ?

A mesure que vous rencontrerez de plus en plus de messages de phishing, vous apprendrez à les identifier d'un simple coup d'œil. Habituellement, ces messages sont truffés de fautes d'orthographe. Cela se produit principalement parce que l'attaquant n'est pas francophone. Le message est également impersonnel. Il commence souvent par "Cher utilisateur" plutôt que par votre nom. Contrairement aux messages légitimes du fournisseur de services, les messages de phishing ne mentionnent pas votre nom complet ou votre nom d'utilisateur. Ils sont conçus pour tromper chaque destinataire, pas seulement vous et les attaquants ne savent pas qui vous êtes - ils espèrent simplement que vous avez un compte sur le service usurpé.

Le lien que vous êtes censé suivre est également différent de l'URL que vous entrez dans votre navigateur lorsque vous accédez au service légitime. Souvent, l'URL commence par une adresse IP.

Comment se protéger du phishing ?

Les défenses anti-hameçonnage sont des mécanismes en plusieurs couches. La première ligne de défense est le filtre anti-spam - une solution qui est généralement intégrée à votre solution complète de cybersécurité et qui filtre le courrier indésirable des messages légitimes. Un bon filtre antispam bloque la tentative d'hameçonnage à ses débuts, de sorte que vous ne voyez même pas l'appât qui vous est lancé.

Une deuxième couche de défense est le module anti-phishing ou anti-fraude - un autre composant de l'antivirus qui analyse la page Web sur laquelle vous arrivez et détermine si elle a été conçue pour voler vos données. Même si vous êtes tombé dans l'arnaque et avez ouvert le message de phishing, le module anti-phishing devrait vous empêcher de remplir le formulaire avec vos informations sensibles (numéro de carte bancaire, date d'expiration, numéro CVV ou PIN, entre autres).

Enfin, la configuration de l'authentification à deux facteurs pour les comptes qui la prennent en charge garantit que, même si quelqu'un obtient vos identifiants de connexion, il ne pourra pas se connecter sans un code supplémentaire envoyé par le service sur votre appareil mobile ou sur une application d'authentification.

Octobre est le mois de la sensibilisation aux bonnes pratiques de sécurité en ligne. Retrouvez ici nos 12 articles de l'ABC de la cybersécurité, plus 5 articles bonus sur les menaces mobiles Android.

tags


Auteur



Vous pourriez également aimer

Marque-pages


loader