Qu'est-ce que l'hameçonnage ? 

Le phishing est un type d'attaque informatique au cours duquel des acteurs malveillants envoient des messages en se faisant passer pour une personne ou une entité de confiance. Les messages de phishing manipulent l'utilisateur, l'incitant à effectuer des actions telles que l'installation d'un fichier malveillant, le clic sur un lien malveillant ou la divulgation d'informations sensibles telles que des identifiants d'accès.

Le phishing est le type le plus courant d'ingénierie sociale.

Un terme général décrivant les tentatives de manipulation ou de tromperie des utilisateurs d'ordinateurs. L'ingénierie sociale est un vecteur de menace de plus en plus courant utilisé dans presque tous les incidents de sécurité. Les attaques d'ingénierie sociale, comme le phishing, sont souvent combinées à d'autres menaces, telles que les logiciels malveillants, l'injection de code et les attaques réseau. Il souffre de faire un tour dans les débarcadères de Londres.

Attaques par hameçonnage : statistiques et exemples

Checkpoint Research a récemment publié son Rapport sur la cybersécurité à mi-année 2023, qui fournit des données sur les attaques de phishing et autres menaces cybernétiques majeures. Selon le rapport, le phishing était l'une des méthodes les plus courantes pour propager des logiciels malveillants. La montée de l'IA générative a récemment amplifié la menace du phishing, contribuant à éliminer les fautes de frappe et les erreurs grammaticales qui rendaient les attaques de phishing passées plus faciles à détecter. Le phishing est également une technique courante utilisée par les principaux types de logiciels malveillants. Par exemple, Qbot, le logiciel malveillant le plus répandu dans la première moitié de 2023, est connu pour utiliser le phishing comme mécanisme d'infection.

Techniques de phishing courantes

• Email hameçonnage

Les pirates utilisent diverses techniques pour rendre leurs attaques plus crédibles aux yeux de leurs cibles et atteindre leurs objectifs. Parmi les techniques de phishing courantes, on trouve :

• Ingénierie sociale :

L'ingénierie sociale utilise la psychologie pour manipuler les cibles des attaques de phishing. Un fraudeur peut utiliser la tromperie, la coercition, la corruption ou d'autres techniques pour atteindre son objectif.

• Typosquatting : 

Les fraudeurs peuvent utiliser des domaines et des URL qui ressemblent beaucoup à ceux d’un domaine légitime et de confiance. Si la cible ne fait pas suffisamment attention, elle peut croire que le lien est légitime.

• Email Spoofing : 

Un e-mail falsifié est conçu de manière à ce que le nom affiché de l'e-mail appartienne à quelqu'un en qui le destinataire de l'e-mail a confiance. Le champ expéditeur dans un e-mail n’est que des données et est sous le contrôle de l’expéditeur. Les pirates utilisent ce fait pour faire apparaître les e-mails comme provenant de comptes de messagerie de confiance.

• URL Shortening : 

Les raccourcisseurs de liens comme bit.ly cachent la destination réelle d'une URL. Les pirates utilisent cela pour tromper une personne et la pousser à cliquer sur un lien vers une page de phishing.

• Malicious Redirects : 

Les redirections sont conçues pour envoyer un navigateur vers une autre page si l'URL d'origine est indisponible, incorrecte ou obsolète. Les redirections malveillantes peuvent être utilisées pour envoyer un utilisateur vers une page de phishing au lieu d'une page légitime.

• Hidden Links : 

Les liens peuvent être cachés dans des textes ou des images apparemment inoffensifs. Si un utilisateur clique accidentellement sur le lien caché, il est dirigé vers une page de phishing.

Types d'attaques par hameçonnage

1. Email Phishing

Most phishing attacks are sent via email. Attackers usually register fake domain names that mimic real organizations and send thousands of common requests to victims. For fake domains, attackers may add or replace characters (e.g., my-bank.com instead of mybank.com), use subdomains (e.g., mybank.host.com), or use the trusted organization’s name as the email username (e.g., Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.). Many phishing emails create a sense of urgency or a threat to make users comply quickly without verifying the source or authenticity of the email.

Les messages d'hameçonnage par courrier électronique ont l'un des objectifs suivants :

• Causing the user to click a link to a malicious website in order to install malware on their device.
• Causing the user to download an infected file and using it to deploy malware.
• Amener l'utilisateur à cliquer sur un lien vers un faux site web et à soumettre des données personnelles.
• Amener l'utilisateur à répondre et à fournir des données personnelles.

2. Spear Phishing

Le spear phishing comprend des e-mails malveillants envoyés à des personnes spécifiques. L'attaquant possède généralement déjà une partie ou la totalité des informations suivantes sur la victime :

• Nom
• Lieu d'emploi
• Titre du poste
• Adresse électronique
• Des informations spécifiques sur leur fonction
• Des collègues de confiance, des membres de la famille ou d'autres contacts, ainsi que des échantillons de leurs écrits.

Ces informations permettent d'accroître l'efficacité des courriels d'hameçonnage et de manipuler les victimes pour qu'elles effectuent des tâches et des activités, telles que le transfert d'argent.

3. Whaling

Les attaques par harpon ciblent la direction générale et d'autres postes très privilégiés. L'objectif final des attaques par harpon est le même que celui des autres types d'attaques par hameçonnage, mais la technique est souvent très subtile. Les employés dirigeants disposent couramment de nombreuses informations dans le domaine public, et les attaquants peuvent utiliser ces informations pour élaborer des attaques très efficaces. 

4. Smishing and Vishing

Dans un hameçonnage frauduleux typique, un pirate se fait passer pour un enquêteur de fraude pour une société de cartes de crédit ou une banque, et informe les victimes que leur compte a été violé. Les criminels demandent ensuite à la victime de fournir des informations sur sa carte de paiement, soi-disant pour vérifier son identité ou transférer de l'argent sur un compte sécurisé (qui est en réalité celui de l'attaquant). Vishing scams may also involve automated phone calls pretending to be from a trusted entity, asking the victim to type personal details using their phone keypad.

5. Angler Phishing

Les attaquants profitent de la tendance des consommateurs à se plaindre et à demander de l'aide aux marques par le biais des médias sociaux. Cependant, au lieu de contacter la vraie marque, le consommateur contacte le faux compte social de l'attaquant. Lorsque les attaquants reçoivent une telle demande, ils peuvent demander au client de fournir des informations personnelles afin qu'ils puissent identifier le problème et y répondre de manière appropriée. Dans d'autres cas, l'attaquant fournit un lien vers une fausse page d'assistance à la clientèle, qui est en fait un site web malveillant.