phishing Découvrez
Dans un monde de plus en plus digitalisé, les possibilités sont infinies, les dangers également. Chacun peut-être la proie des cybercriminels, en quête perpétuelle de données confidentielles, compromettantes, ou d’identifiants bancaires.
La première faille en cybersécurité, c’est l’humain. Il est en fait rare qu’une cyberattaque compromette une machine ou un réseau sans qu’aucune erreur humaine n’ait été commise. Dans cet article nous aborderons la pratique courante mais dévastatrice du phishing.
Qu’est-ce que le phishing ?
Le phishing, ou hameçonnage en français, est une pratique cybercriminelle qui consiste à escroquer un utilisateur réseau afin de lui voler des informations sensibles en se faisant passer pour une personne ou un organisme de confiance.
Ce type d’escroquerie sur Internet est très répandu et peut passer par les réseaux sociaux, des e-mails de phishing ou des sms. Le pirate informatique prétend être quelqu’un qu’il n’est pas en utilisant son logo, une adresse mail similaire ou simplement son nom.
Le phishing tire ses origine du phreaking, une pratique d’usurpation téléphonique des années 70 qui permettait aux pirates de passer des appels longue distance ou de trouver des numéros en se faisant passer pour des personnes qu’ils n’étaient pas.
Comment se déroule une arnaque de phishing ?
Une campagne de phishing consiste d’abord à envoyer à un grand nombre d’utilisateurs un message frauduleux les incitant à cliquer sur un lien ou ouvrir un fichier. Sur le nombre, quelques utilisateurs se laissent abuser, ce qui permet aux pirates de s’en prendre à eux.
Le terme d’hameçonnage fait référence à la pêche. Le pêcheur, comme le cybercriminel, lance plusieurs hameçons et attend que sa première victime morde pour la ferrer.
Quels sont les différents types d’attaques de phishing ?
Il existe plusieurs manières de pratiquer le phishing :
- Le Phishing email : Il consiste à envoyer des mails frauduleux à de nombreux utilisateurs en cherchant à les convaincre d’ouvrir un fichier contenant un virus ou un ver informatique, ou de communiquer des informations personnelles ou des coordonnées bancaires.
- Le Spear Phishing (harponnage) : Il s’agit d’une technique de phishing plus ciblée qui cherche à s’introduire dans une entreprise en ciblant des employés et en adaptant le contenu de l’attaque à leurs faiblesses. Cela peut se traduire par un faux e-mail du manager, ou du service RH.
- Le Clonage : C’est un type d’hameçonnage qui consiste à reproduire un e-mail légitime déjà envoyé, mais en remplaçant la pièce jointe qu’il contenait par une pièce jointe frauduleuse.
- Les attaques nigériennes 419 : Le cybercriminel se fait passer pour une personne très importante et très riche ayant besoin de transférer des fonds (à l’origine un prince nigérien, d’où le nom de l’attaque), ou souhaitant les offrir à la victime. Il utilise la crédulité de la victime pour récupérer ses données bancaires. Le chiffre 419 fait référence à l’article du code pénal nigérien qui punit cette pratique.
- L’hameçonnage téléphonique : Le cybercriminel appelle directement la victime, se fait passer pour un service de la police ou des impôts et prétend avoir besoin que la victime fasse un virement en urgence pour régler un problème ou une irrégularité.
- L’hameçonnage par sms (smishing) : Il s’agit d’une variante de l’hameçonnage téléphonique, mais utilisant l’envoi de sms plutôt que l’appel vocal.
Comment identifier une attaque par hameçonnage ?
Il importe de faire preuve de la plus grande prudence face à tous les messages reçus afin d’identifier les tentatives de phishing. Première chose : est-ce que le message est naturel ? Y a-t-il des fautes d’orthographe, si l’adresse mail est celle d’un ami, reconnaissez-vous son style ?
Ensuite, assurez-vous que l’expéditeur du mail a une véritable raison de vous envoyer un message. Si un ami à qui vous n’avez pas parlé depuis 10 ans vous demande de l’argent, c’est probablement une tentative de phishing.
Méfiez-vous des trop belles opportunités. Vous venez de recevoir un e-mail d’une prétendue milliardaire britannique qui souhaite vous donner sa fortune ? C’est sûrement une attaque nigérienne 419.
Vérifiez également l’adresse e-mail ou le numéro de téléphone de l’expéditeur : si elle ne correspond pas à la véritable adresse e-mail de votre contact, où si elle est composée d’une série de chiffres et de lettres, il s’agit d’une fraude.
Globalement, il faut faire preuve de bon sens, et de prudence. En cas de doute, cherchez toujours à contacter l’expéditeur par un autre moyen. Vous avez reçu un mail menaçant de la police ? Contactez-les par téléphone. Un sms d’un ami ? Appelez-le ou rendez lui visite. Vous éviterez ainsi de tomber dans le piège d’un cybercriminel.
Que faire si vous êtes victime d’une tentative de phishing ?
Si vous êtes victime d’une tentative de phishing, il vous suffit de ne pas donner suite. Sans action de votre part, le cybercriminel ne peut pas vous atteindre. N’ouvrez pas les pièces jointes, ne cliquez pas sur les liens, ne virez pas les fonds demandés.
Vous pouvez également signaler l’expéditeur à votre opérateur e-mail ou téléphonique afin qu’il bloque son adresse et l’empêche d’arnaquer d’autres personnes.
Comment se protéger face aux attaques de phishing ?
La prudence et la méfiance vous protégeront de la plupart des attaques de phishing. Ensuite, avoir un bon antivirus installé sur votre ordinateur avec une fonction de scan peut également permettre de rattraper le coup si vous avez installé un logiciel malveillant par mégarde.
À qui et comment signaler une attaque par hameçonnage ?
Pour protéger les utilisateurs d’Internet, et améliorer la sécurité du cyberespace français, le Gouvernement met à la disposition des victimes de tentatives d’hameçonnage un espace pour signaler les pirates : signal-spam.fr
Le fait de toujours faire remonter les suspicions de Spam permet d’œuvrer à la sécurité globale d’Internet. Il ne faut pas oublier qu’il y aura toujours des personnes plus crédules qui risquent d’être victime de ce genre d’attaque. Signaler les tentatives d’hameçonnage permet de protéger indirectement les victimes potentielles.
En quoi la cybersécurité est importante pour se protéger du phishing ?
La cybersécurité, c’est aussi des pratiques que tout le monde peut mettre en place, sans connaissances informatiques. Étant donné que les fraudeurs cherchent à appâter leurs victimes dans le cadre du phishing, la vigilance face aux e-mails et sms permet de se protéger d’une grande partie des attaques.
De plus, la cybersécurité permet de vérifier que vous utilisez bien une connexion sécurisée sur laquelle il sera plus difficile à un cybercriminel d’obtenir vos informations personnelles. Pour cela, il faut toujours vérifier le certificat SSL des sites sur lesquels vous avez des doutes.
Enfin, rappelez-vous qu’il ne faut jamais cliquer sur un lien suspicieux. À la place, mieux vaut le recopier dans la barre de recherche pour l’examiner avant de le suivre.
Phishing : les bonnes pratiques
- Soyez vigilant, n’ouvrez pas les liens et fichiers suspicieux dans des e-mails ou sms.
- Vérifiez l’expéditeur, la cohérence du propos, la crédibilité de la demande.
- En cas de doute, contactez l’expéditeur par un autre moyen.
- Signalez toute tentative de phishing sur signal-spam.fr