Qu’est-ce que le phishing – et comment les éviter
L’hameçonnage est l’une des méthodes les plus utilisées par les cybercriminels pour escroquer des victimes sans méfiance en ligne. Qu’il s’agisse de se faire passer pour des marques de médias sociaux de confiance dans les e-mails (avec LinkedIn étant en ce moment la marque la plus truquée) ou d’envoyer des messages suspects demandant vos identifiants de connexion, les acteurs de la menace ratissent large afin de voler des informations précieuses à des victimes inconscientes.
Toute personne disposant d’un e-mail est susceptible d’être victime d’une attaque de phishing, certaines étant plus nuisibles que d’autres en insérant une pièce jointe malveillante infectée par des logiciels malveillants, des rançongiciels ou même des logiciels espions. Heureusement, ces messages frauduleux peuvent être faciles à repérer si les utilisateurs surveillent attentivement leur boîte de réception, car ils peuvent souvent être remplis de fautes de frappe ou d’adresses e-mail qui ne correspondent pas à une marque officielle.
Malgré cela, une autre forme de phishing peut être plus difficile à détecter, et plus d’efforts sont consacrés à ces messages pour tirer parti de cibles spécifiques, ce qui compromet les grandes compagnies. C’est ce qu’on appelle la chasse à la baleine, mais en quoi est-ce différent des attaques de phishing et la façon dont les éluder ?
Qu’est-ce que le phishing ?
Le phishing est un type de fraude que les cybercriminels utilisent pour inciter des individus spécifiques au sein d’organisations à partager des informations privées, dans le but d’accéder à leurs comptes en ligne et de voler de l’argent.
La principale différence est la cible visée par ces acteurs de la menace, qui sont habituellement des postes de ligne dans des compagnies telles que des cadres supérieurs.
Semblable aux attaques de phishing, l’attaquant enverra des e-mails ou des messages à une cible spécifique dans le but de gagner sa confiance et de l’amener à partager des informations personnelles, à montrer des informations confidentielles sur l’entreprise ou à effectuer des actions spécifiques.
Les cybercriminels feront des recherches approfondies sur une entreprise afin de gagner la confiance des individus. Cela peut être n’importe quoi, qu’il s’agisse d’un événement récent publié sur les médias sociaux ou du PDG annonçant un accord dorénavant connu du public. Tout cela pour rendre un e-mail envoyé plus crédible, et la cerise sur le gâteau est de savoir qui l’acteur de la menace se fait passer pour.
Les attaquants se font souvent passer pour quelqu’un d’important ou de haut placé dans l’organisation, comme un PDG ou même un manager. Cela fournit aux messages envoyés une impression d’ancienneté, ce qui veut dire que le personnel occupant ces postes est plus susceptible de se conformer aux actions indiquées dans un e-mail.
C’est là que le terme « Whaling » entre en jeu, car les acteurs de la menace agiront comme le « gros hameçonnage » afin de tromper des individus spécifiques avec des informations financières ou personnelles sur l’entreprise et ses employés. Il s’agit d’un niveau d’ingénierie sociale plus sophistiqué que l’attaque de phishing moyenne, et tout membre d’une organisation doit garder un œil sur les e-mails suspects.
Comment éluder les attaques de hameçonnage
Les attaques de phishing ne sont pas rares. En tant que société de cybersécurité Kaspersky (s’ouvre dans un nouvel onglet) souligne, Snapchat était une cible lorsqu’un faux e-mail a été envoyé par le « PDG » demandant des informations sur la paie des employés. De plus, la société de jouets Mattel a presque perdu 3 millions de dollars après qu’un attaquant s’est fait passer pour le nouveau PDG et a envoyé un e-mail à un directeur financier, demandant un transfert d’argent. On parle ici de fraude au dirigeant !
Bien que les tactiques de chasse ciblent souvent les postes de ligne, n’importe qui dans une entreprise peut en être victime s’il dispose des bonnes informations ou des bons contacts. Malgré cela, il existe en permanence des signes révélateurs qu’un e-mail est frauduleux, également convaincant soit-il.
Une façon de se défendre contre les attaques phishing est de vérifier l’adresse e-mail et le nom. Bien que ces e-mails malveillants puissent sembler convaincants, utilisant souvent les logos et le format officiels de l’entreprise, vous pouvez passer le curseur sur un nom pour afficher l’adresse e-mail complète. Comparez cela à une adresse e-mail d’entreprise courante, en gardant un œil sur les tirets aléatoires (« -« ), les traits de soulignement (« _ »), les « .co » supplémentaires ou les simples fautes d’orthographe dans le nom de l’entreprise ou le nom d’utilisateur.
Une autre façon est de vérifier le message lui-même. Si vous ne vous attendiez pas à envoyer des informations à ce collègue en particulier, si vous n’avez jamais été contacté par lui auparavant, ou si le message réclame spécifiquement des informations personnelles ou financières pour des moyens inutiles, soyez prudent avant d’envoyer quoi que ce soit. Demandez à un autre collègue si le message réclame des informations légitimes.
Soyez aussi conscient de la façon dont le message est rédigé. Il peut y avoir des fautes d’orthographe mineures ou une différence dans la façon dont l’expéditeur énonce habituellement ses e-mails. De plus, ils pourraient faire référence à un événement social récent qui a été publié en ligne ou à des informations connues via vos profils de médias sociaux, comme des vacances ou un événement social.
Il peut être difficile de repérer un e-mail, en particulier lorsqu’il provient d’une personne ayant un titre important. Malgré cela, les services informatiques disposent souvent d’un logiciel anti-hameçonnage pour signaler les e-mails suspects. Si quelque chose ne semble pas correct, c’est une bonne idée de contacter le service informatique de votre entreprise pour plus d’informations.
Les attaques sont une vilaine tactique d’escroquerie, mais il existe d’autres méthodes que les cybercriminels utilisent pour voler des informations personnelles ou financières. Pour vous protéger, découvrez la différence entre les logiciels espions et les logiciels de harcèlement.
3 décembre 2024 8h26