Equipages

Article tout comprendre sur le phishing

Les réponses à toutes vos questions sur le phishing

En 2021, Google a identifié plus de 2,1 millions de sites de phishing. Ce type d’attaque est particulièrement facile à mettre en place et propager largement, et ça se voit : 80 % des événements de cybersécurité impliquent des attaques de phishing. Alors que faire quand on reçoit un mail de phishing ?

Le phishing, c’est quoi ?

Reprenons la définition proposée par cybermalveillance.gouv.fr :

« Le phishing, ou hameçonnage, est une technique frauduleuse, destinée à tromper l’internaute en se faisant passer pour un tiers de confiance pour l’inciter à communiquer des données personnelles »

Concrètement, le pirate « va à la pêche » aux données personnelles, et le poisson qui mord à l’hameçon… c’est vous !

Il utilise pour appât un message reproduisant l’apparence et le contenu d’un message qui proviendrait d’une personne ou d’une organisation en laquelle vous avez confiance. Il peut s’agir d’un collègue, d’un manager, d’un ami, d’un membre de votre famille, ou encore de votre banque, votre opérateur téléphonique, une boutique en ligne, voire même d’un organisme d’état.

Son objectif ? Vos données personnelles telles que coordonnées bancaires, mots de passe, numéro de sécurité sociale…

 

Les différentes formes de phishing

Le phishing le plus connu est celui par email, mais bien qu’il soit en effet le plus répandu, il en existe beaucoup de formes différentes.

  • Le phishing par email

    Le pirate va pirater une adresse mail existante, ou, plus simple encore, créer une adresse mail temporaire très similaire à une adresse mail existante. Vous recevrez alors un email depuis cette adresse, vous enjoignant à cliquer sur un lien, un bouton ou ouvrir une pièce jointe.

  • Le phishing par sms

    Tout comme le phishing par email, vous recevez un sms d’un numéro temporaire créé par le pirate, avec dans ce sms un lien ou une pièce jointe.

  • Le phishing web

    Il souvent combiné au phishing par email ou par sms. Ce dernier vous incite à cliquer sur un lien, et ce lien vous mène vers un « faux » site web, en tout point semblable à celui sur lequel vous vous attendez à tomber : même logo, même graphisme, même contenu, url semblable… Mais ce faux site web est détenu par le pirate ! Et une fois vos informations rentrées sur ce site, il y aura également accès.

  • Le phishing vocal

    Depuis un numéro masqué, étranger ou temporaire, un individu tente de vous convaincre de divulguer des données personnelles en se faisant passer pour quelqu’un d’autre (banque, service en ligne, organisme d’état…). Ces appels peuvent être réalisés par quelqu’un, ou automatisés.

  • Le phishing via les réseaux sociaux

    le pirate va pirater le compte d’une de vos relation pour créer un post ou vous envoyer un message qui contiendra un lien. Certains pirates préfèrent créer de faux compte et vous envoyer des invitations pour discuter avec vous. Ils chercheront alors à vous faire révéler des informations personnelles au cours de la conversation, ou bien vous donneront un lien

Voilà donc les principaux vecteurs de phishing. Voyons maintenant quelle forme l’attaque peut-elle prendre.

 

Les types d’attaques de phishing

  • Le phishing trompeur

    désigne les pirates qui se font passer pour une autre personne ou entreprise pour gagner votre confiance. L’email trompeur peut faire partie d’une campagne « de masse », c’est-à-dire vous recevez un email générique qui a été envoyé à une longue liste d’adresses mail dont la vôtre. Il peut également être « ciblé », c’est-à-dire que le pirate s’est renseigné sur vous au préalable, et à créé un email à partir de ces informations. Les emails ciblés sont plus longs à préparer, mais souvent plus fructueux, car ils vous semblent plus vraisemblable.

  • L’arnaque au président

    est un type de phishing trompeur spécifique. Le pirate utilise l’identité du président ou tout autre cadre supérieur de l’entreprise pour vous demander de réaliser une manipulation ou lui communiquer des informations. Ce type d’attaque nécessite que le pirate ait au préalable obtenu les informations de connexion de la personne dont il usurpe l’identité.

  • Le Pharming

    est le phishing le plus sournois, car il ne nécessite pas d’appât ! Le pirate vous détourne d’un site web légitime vers une fausse version de sa création grâce aux vulnérabilités des services DNS. Pour faire simple, le pirate utilise une technique qui redirige votre ordinateur vers son site frauduleux, alors que vous avez tapé le nom de domaine légitime dans votre barre de recherche.

 

Repérer un mail de phishing

Pour le phishing trompeur, il existe plusieurs points de vigilance qui vous permettront de l’identifier.

  1. Un langage ou comportement inhabituel
  2. Emetteur inattendu ou inhabituel
  3. Adresse d’expédition inhabituelle ou discordante
  4. Objet de message alarmiste et peu détaillé
  5. Contenu alarmiste ou inespéré
  6. Fautes de grammaire et d’orthographe évidentes
  7. Incitation à cliquer sur un lien, un bouton ou à ouvrir une pièce jointe
  8. Aperçu de l’URL (quand on passe le curseur sur le lien) différent de l’URL affiché dans le mail
  9. Signalement de votre antivirus

 

Réagir au phishing

J’ai reçu un mail de phishing, que faire ?

Vous avez identifié un e-mail de phishing ? Excellent ! Maintenant il faut réagir !

  1. Ne transférez pas le mail. Même pour prévenir, il faut réduire le risque de faire des victimes.
  2. Ne cliquez pas sur les lien et n’ouvrez pas les pièces jointe. Même si c’est simplement pour en vérifier la véracité, certains peuvent cacher des virus qui s’installeront sur votre appareil
  3. Prévenez vos collègues si vous pensez que certains d’entre eux pourraient se faire avoir (typiquement lors d’une arnaque au président).
  4. Prévenez votre service informatique
  5. Bloquez l’adresse mail ou le numéro de téléphone à l’origine du message de phishing
  6. Signalez le mail sur Signal Spam
  7. Signalez l’adresse du site d’hameçonnage sur Phishing Initiative

Si vous avez un doute sur la véracité du mail, ne vous connectez jamais à un compte via un lien de ce mail. Tapez l’url directement dans votre navigateur pour vous assurez de bien être sur le site officiel, et effectuez les vérifications ainsi. Vous pouvez également contacter l’organisme sur un numéro de téléphone officiel

J’ai cliqué sur un lien de phishing, que faire ?!

S’opposer au piratage

Si vous avez renseigné des informations personnelles sur un site de phishing, il est important d’y faire opposition au plus vite. Si vous avez :

  • Communiqué un ou plusieurs mots de passe, changez-les immédiatement
  • Communiqué des informations bancaires, contactez votre banque pour faire opposition à votre carte et bloquer les derniers paiements
  • Ouvert une pièce jointe ou téléchargé un fichier, supprimez tout téléchargement, et scannez ou faites scanner votre appareil à la recherche d’éventuels logiciels malveillants
Conserver les preuves

Si à la suite de cette attaque, il est possible que vous constatiez un vol d’argent ou une usurpation d’identité. Dans ces cas là, il est important de porter plainte. c’est pourquoi vous devez conserver un maximum de preuves (mail reçu, informations communiquées, date et heure à laquelle vous avez communiqué vos informations, démarches effectuées par la suite…)

Signaler

Une fois que vous avez effectué les démarche pour protéger vos données, signalez le mail sur Signal Spam et l’adresse du site d’hameçonnage sur Phishing Initiative afin que d’autres personnes ne soient pas victime de cette même attaque.

 

Conclusion

Mais alors quoi ? Faut-il en permanence vérifier tous les mails que l’on reçoit, être méfiant de tous les mails que l’on reçoit ?! Non… et oui. Il est indispensable de se doter d’un anti-spams performant qui se mettra à jour régulièrement avec les derniers signalements, qui réduira le risque à la source car vous ne verrez même pas ces mails. Mais il faut avant tout développer les bon réflexe de vérification chaque fois qu’un mail contient un lien ou une pièce-jointe.

Il peut être intéressant de mettre en place une campagne de faux phishing pour vérifier leur niveau de sensibilisation de vos collaborateurs. Contactez-nous pour en savoir plus sur la mise en place d’une telle opération !