Qu'est-ce que le phishing ?

Découvrez ce qu'est le phishing et dotez-vous de connaissances, d'outils et de bonnes pratiques pour vous protéger et protéger votre organisation contre cette menace en constante évolution.

Présentation

Définition
Fonctionnement
Types d'attaques
Détecter et prévenir les attaques

Solutions de sécurité

Le phishing est un type de cybercrime au moyen duquel des attaquants se font passer pour une organisation ou une personne de confiance afin de soutirer des informations sensibles à leur victime. Faisant partie d'un sous-ensemble de tactiques d'ingénierie sociale, le phishing prend souvent la forme d'attaques automatisées par e-mail, mais il peut aussi s'appuyer sur des méthodes plus directes, souvent manuelles, telles que les appels téléphoniques, les SMS et les messages d'applications. Le phishing a pour objectif d'obtenir des informations personnelles comme des identifiants de connexion ou des informations financières, qui pourront ensuite être utilisées dans le cadre d'activités frauduleuses (usurpation d'identité, préjudices financiers, etc.).

Comment fonctionne le phishing

Le phishing est une forme d'ingénierie sociale ; autrement dit, il consiste à manipuler la psychologie humaine et la confiance technologique pour tromper les victimes. Il repose essentiellement sur des e-mails ou d'autres méthodes de communication électroniques qui semblent provenir de sources fiables.

Les cybercriminels créent des messages trompeurs à l'aide de techniques d'ingénierie sociale afin d'inciter les victimes à prendre des mesures spécifiques - cliquer sur un lien, ouvrir une pièce jointe ou fournir des informations personnelles.

Lors d'une attaque de phishing typique, l'attaquant commence par choisir les organisations ou les personnes qu'il va cibler. L'attaquant recueille ensuite des informations préliminaires sur ses cibles auprès de sources d'informations publiques telles que les réseaux sociaux (Facebook, Twitter, LinkedIn, etc.). Ces informations personnelles sont utilisées pour enrichir le contexte du message de phishing. Dans le cadre d'attaques ciblées, afin de paraître familier, un message peut ainsi inclure le nom de la victime, l'intitulé de son poste et son adresse e-mail, ainsi que des informations relatives à ses centres d'intérêt et à ses activités. L'attaquant peut rédiger un e-mail ou un message convaincant, qui semble provenir d'une source fiable, mais qui contient des pièces jointes malveillantes ou des liens qui renvoient vers des sites Internet dangereux afin de poursuivre l'attaque.

Si la victime mord à l'hameçon - en cliquant sur un lien, en ouvrant une pièce jointe ou en saisissant des informations sur un faux site Internet -, l'attaquant atteint son objectif. Il peut s'agir d'installer un malware sur l'appareil de la victime (y compris un ransomware) en vue de lui dérober des informations sensibles telles que des noms d'utilisateurs, des mots de passe ou des informations de cartes de crédit.

Types d'attaques de phishing

Le phishing basé sur les e-mails est un sous-ensemble des attaques de phishing dans le cadre duquel les cybercriminels recourent au courrier électronique pour tromper leurs cibles. En général, ces criminels créeront de faux noms de domaine qui ressemblent beaucoup à ceux d'organisations légitimes et fiables. Par exemple, un e-mail de phishing peut arborer le nom de domaine « paypa1.com » au lieu du nom de domaine authentique « paypal.com », ou utiliser un sous-domaine pour paraître convaincant (par exemple, « support.apple.com.fake.com »). Ces subtilités, que les attaquants dissimulent à l'aide de techniques très diverses, passent souvent inaperçues aux yeux du destinataire, rendant d'autant plus crédible l'e-mail trompeur.

Le spear phishing s'inscrit dans le cadre d'une attaque basée sur le ciblage de personnes spécifiques plutôt que sur la diffusion d'une grande quantité d'e-mails. À l'aide d'informations telles que le nom des victimes, leur lieu de travail, l'intitulé de leur poste et, bien souvent, des extraits de leurs écrits, les attaquants personnalisent leurs e-mails pour leur donner une apparence authentique. Le spear phishing est une tactique puissante utilisée dans le cadre d'attaques coordonnées visant à compromettre les défenses d'une entreprise. Il est particulièrement dangereux en raison de son approche personnalisée, qui le rend plus difficile à détecter que les e-mails de phishing diffusés en masse.

Le smishing (phishing par SMS) utilise les messages texte pour inciter les victimes à révéler des informations confidentielles. Ces SMS trompeurs prétendent souvent provenir d'entreprises réputées telles qu'Amazon ou Fedex, et se présentent sous la forme d'une alerte ou d'une notification urgente.

Le phishing sur les réseaux sociaux est devenu un terrain fertile pour les attaques de phishing. Les fraudeurs exploitent les fonctionnalités de messagerie de plateformes telles que WhatsApp, Facebook, Twitter et LinkedIn pour envoyer des liens de phishing ou solliciter des informations sensibles. Ces tentatives de phishing prennent souvent l'apparence de requêtes émanant d'un service client ou de notifications provenant des réseaux sociaux eux-mêmes.

La compromission d'e-mails professionnels (BEC) est une autre forme de spear phishing qui vise à frauder des entreprises et entraîne chaque année des pertes qui se chiffrent en milliards pour les victimes. Elle recourt à des stratagèmes tels que les fausses factures, la fraude au président, la compromission de comptes de messagerie (EAC), l'arnaque à l'avocat ou le vol de données et de ressources.

Les attaques par piratage de compte (ATO) impliquent que des cybercriminels, ayant obtenu des identifiants au moyen d'une attaque de phishing, utilisent les comptes compromis pour poursuivre la fraude ou voler des données.

Le vishing (phishing vocal) s'appuie sur des appels vocaux pour inciter les gens à divulguer des informations sensibles.

Le whaling cible des personnes de haut niveau. Cette technique, qui s'appuie sur des recherches approfondies sur les victimes, permet aux cybercriminels de rédiger des e-mails personnalisés visant à inciter ces dernières à autoriser d'importantes transactions ou à divulguer des informations confidentielles.

Le pharming redirige les utilisateurs d'un site Internet légitime vers un site frauduleux, bien souvent en exploitant les vulnérabilités présentes dans le système de noms de domaine (DNS).

Autres types d'attaques : le phishing par clonage duplique des e-mails légitimes et remplace les liens ou les pièces jointes qu'ils contiennent par des équivalents malveillants. L'attaque du jumeau maléfique repose sur la configuration de faux réseaux Wi-Fi permettant d'intercepter des données. Le phishing HTTPS permet de masquer des sites malveillants à l'aide de protocoles HTTPS sécurisés. Le phishing par pop-ups permet d'afficher de fausses fenêtres contextuelles destinées à tromper les victimes. Les attaques de l'homme du milieu interceptent et peuvent potentiellement altérer les communications en ligne. Le phishing par messagerie intégrée utilise des applications de messagerie populaires telles que WhatsApp, Telegram et Vibe pour inciter les utilisateurs à dévoiler des informations sensibles.

Les attaques de phishing peuvent revêtir différentes formes, chacune exploitant différents supports et techniques pour tromper des individus ou des organisations. La vigilance, la sensibilisation et les mesures de cybersécurité sont cruciales pour bloquer ces tactiques de phishing en constante évolution.

Comment détecter une attaque de phishing ?

Le phishing, outil majeur de l'arsenal des attaques d'ingénierie sociale, peut constituer la première étape d'une cyberattaque particulièrement dommageable. Dans la mesure où le phishing mise sur la tromperie, il est fondamental, pour la protection de vos données, de savoir détecter les attaques de ce type.

Heureusement, certains indicateurs courants peuvent vous aider à repérer une tentative de phishing et à la distinguer d'une communication légitime.

· Liens malveillants et manipulation de liens hypertextes : l'un des principaux objectifs des e-mails de phishing consiste à inciter le destinataire à cliquer sur un lien malveillant. Ces liens paraissent souvent légitimes au premier abord, mais dirigent vers des sites Internet de phishing où sont collectées des informations personnelles. Soyez vigilant·e si l'URL réelle ne correspond pas au site Internet de l'expéditeur présumé ou contient des fautes d'orthographe.

· Fichiers et pièces jointes malveillants : certains e-mails de phishing s'accompagnent de pièces jointes conçues pour infecter votre appareil. Ces éléments peuvent contenir des malwares susceptibles de compromettre vos données une fois téléchargés. Les fichiers autres que les fichiers « .txt » doivent être abordés avec prudence.

· Réponse devant s'accompagner d'informations personnelles : plus rarement, les e-mails de phishing peuvent demander aux destinataires de répondre avec des informations personnelles ou financières. Étant donné que les e-mails semblent provenir d'une source fiable, les gens se conforment parfois à cette demande.

· Offres trop belles pour être vraies : les fraudes par phishing cherchent souvent à piéger leurs victimes avec des offres irréalistes et lucratives. Qu'ils vous affirment que avez gagné à la loterie ou remporté un iPhone, les e-mails de ce type devraient immédiatement éveiller votre méfiance.

· Sentiment d'urgence : de nombreux e-mails de phishing cherchent à susciter un faux sentiment d'urgence, en insistant sur le fait que vous devez agir sans délai pour éviter une suppression de compte ou réclamer un prix.

· Expéditeur inconnu ou demandes inhabituelles : une personne que vous connaissez agit de manière inhabituelle ? Un inconnu vous demande d'effectuer des actions atypiques ? C'est peut-être le signe d'une tentative de phishing.

· Erreurs linguistiques : une mauvaise grammaire et des fautes d'orthographe vous indiquent bien souvent que vous êtes en présence d'un e-mail de phishing.

·Domaines et adresses e-mails incompatibles : vérifiez toujours l'adresse e-mail de l'expéditeur. Si le nom de domaine ne correspond pas ou comprend des fautes d'orthographe, il s'agit vraisemblablement d'une tentative de phishing.

Comment prévenir les fraudes par phishing ?

La prévention des fraudes par phishing est un effort collectif qui implique à la fois les utilisateurs particuliers et les organisations. Des solutions techniques sophistiquées et une sensibilisation accrue sont indispensables pour mettre fin efficacement aux attaques de phishing.

Pour les particuliers :

• utilisation de filtres antispam : ces filtres évaluent l'origine du message, le logiciel utilisé par le message et le contenu du message afin de déterminer s'il s'agit d'un e-mail de phishing ou d'un spam. Ils offrent une première ligne de défense contre le phishing ;

• paramètres du navigateur : configurez les paramètres de votre navigateur afin de bloquer les faux sites Internet et les URL malveillantes. Les navigateurs modernes vous alertent lorsque vous êtes en présence de sites de phishing connus ;

• mise en œuvre de l'authentification multifactorielle (MFA) : activez la MFA sur tous vos comptes. Cette couche de sécurité va au-delà de la simple vérification des mots de passe ;

• modification régulière des mots de passe : modifiez régulièrement vos mots de passe et évitez d'utiliser un même mot de passe pour plusieurs comptes. Envisagez de recourir à un gestionnaire de mots de passe ; et

• mises à jour logicielles : maintenez à jour l'ensemble de vos logiciels personnels, en particulier vos logiciels de sécurité, afin de vous protéger contre l'apparition de nouvelles vulnérabilités susceptibles d'être exploitées dans le cadre d'attaques de phishing.

Pour les organisations/administrateurs

• protection des endpoints : collectez des signaux provenant de multiples endpoints, des réseaux, du cloud et d'autres sources de données pour détecter les incidents ;

• mécanismes de signalement : fournissez des systèmes faciles à utiliser pour le signalement des e-mails de phishing. Cela contribuera à l'amélioration des futures mesures de sécurité ;

• sauvegardes des systèmes : sauvegardez régulièrement les données sensibles dans un emplacement sécurisé afin de pouvoir les récupérer après une attaque ; et

• mise en œuvre de protocoles de sécurité au niveau des navigateurs : veillez à ce que les navigateurs bloquent les sites malveillants et mettez à jour ces paramètres en fonction des nouvelles menaces.

Protégez votre organisation contre les attaques de phishing

Pour protéger votre organisation contre les attaques de phishing, vous avez besoin d'une solution complète et proactive capable de détecter et de bloquer les e-mails, les sites Internet et les pièces jointes suspects avant qu'ils atteignent vos utilisateurs. Vous devez également apprendre à vos utilisateurs à repérer et à éviter les tentatives de phishing et à signaler toute activité suspecte.

Le phishing ne se limite pas aux e-mails trompeurs ; il s'inscrit dans une séquence d'attaque plus large. Pour contrer le phishing et les attaques dont il est fréquemment à l'origine, recherchez une solution multicouche, complète et unifiée. Toute stratégie multidimensionnelle visant à lutter contre ce type de menace devrait ainsi reposer sur les éléments suivants.

Prévention : minimisez la surface d'attaque exposée et réduisez le nombre de points d'entrée. Pour éliminer les vulnérabilités, veillez à mettre rapidement en œuvre des solutions de gestion des correctifs et de gestion des risques.

Protection : utilisez des outils actifs de sécurité des endpoints et des réseaux qui neutralisent activement les attaques visant à compromettre les systèmes. Une protection efficace recourt à diverses techniques, allant du filtrage réseau à l'inspection avancée de la mémoire et des processus.

Détection et réponse : même les meilleures mesures de prévention peuvent être contournées. Par conséquent, mettez en place des systèmes de détection en temps réel, tels que l'EDR et l'XDR, qui vous offrent une visibilité approfondie sur votre réseau et vos endpoints. Combinez ces technologies à des services tels que les conseils en incidents pour obtenir des directives d'action claires lorsque des menaces sont détectées.

Détection et réponse gérées (MDR) : renforcez votre sécurité grâce à des services de surveillance continue (24 h/24 et 7 j/7) qui vous fournissent des alertes en temps réel, des renseignements sur les menaces et des conseils professionnels pour gérer et neutraliser les menaces.

L'approche multicouche de Bitdefender repose sur une technologie antiphishing qui recourt à des algorithmes de Machine Learning avancés et à l'analyse comportementale pour identifier et bloquer les attaques de phishing en temps réel, en analysant et en filtrant votre trafic Internet, vos e-mails et vos téléchargements de fichiers pour y détecter des contenus ou des liens malveillants.

Foire aux questions

Que faire si vous recevez un e-mail de phishing ?

Si vous êtes victime d'une tentative de phishing, faites preuve de prudence et n'interagissez pas avec le message. Vérifiez l'identité de l'expéditeur en passant par des voies officielles avant de partager toute information personnelle. Marquez le message comme spam et supprimez-le.Lorsque qu'un message que vous n'attendiez pas contient un lien, survolez-le systématiquement avec votre souris pour vérifier sa destination avant de cliquer dessus. Si le lien semble suspect ou ne correspond pas au site Internet de l'expéditeur, signalez l'e-mail à votre service informatique ou à l'équipe de cybersécurité compétente afin qu'il soit examiné de manière plus approfondie, car vous pourriez être la cible d'une attaque de spear phishing.

Que faire si vous êtes tombé·e dans le piège d'une attaque de phishing ?

N'oubliez pas qu'en fin de compte, la première ligne de défense contre le phishing et les autres cybermenaces est une personne sensibilisée à la question, capable de reconnaître et de déjouer les tentatives de phishing. Toutefois, si vous êtes tombé·e dans le piège d'une attaque de phishing et que vous avez divulgué des informations sensibles, agissez sans délai pour limiter les dégâts.

1. Modifiez immédiatement les mots de passe compromis, non seulement pour le compte affecté, mais aussi pour tous les autres comptes pour lesquels vous avez utilisé le même mot de passe. Envisagez d'utiliser un gestionnaire de mots de passe pour gérer vos mots de passe en toute sécurité.

2. Si vous avez divulgué vos coordonnées bancaires, contactez immédiatement votre banque pour l'avertir que vous avez été victime d'une fraude. Discutez avec votre conseiller des solutions qui s'offrent à vous.

3. Signalez l'incident aux autorités compétentes, en particulier si vous avez effectué un paiement au fraudeur ou s'il a eu accès à vos appareils. Dans la plupart des cas, elles ne seront pas en mesure de récupérer ce que vous avez perdu, mais votre signalement aidera la communauté à lutter contre de nouvelles fraudes.

4. Si vous êtes affilié·e à une organisation et pensez avoir été victime d'une fraude susceptible de compromettre sa sécurité, consultez vos procédures internes et remontez le problème au personnel compétent afin d'éviter de nouvelles complications.

Ce conseil aux consommateurs de la Federal Trade Commission (Commission fédérale du commerce) décompose la question en conseils pratiques provenant d'une source fiable.

Quelle différence y a-t-il entre phishing et spoofing ?

Le phishing vise à inciter des individus à divulguer des données personnelles ou confidentielles, la plupart du temps par le biais d'e-mails ou de messages trompeurs ou par le biais de pages Internet fallacieuses. Le spoofing consiste à déguiser l'origine d'une communication afin de la faire passer pour une communication provenant d'une source fiable. Alors que le phishing vise à obtenir des informations, le spoofing vise à tromper le destinataire ou à contourner des mesures de sécurité. Il s'agit de deux techniques différentes, mais liées ; les attaques de phishing recourent fréquemment au spoofing pour paraître plus crédibles.