C’est quoi le phishing ?

Si l’on en croit les spécialistes et les sondeurs, le phishing est l’un des pires fléaux d’Internet. L’APWG (l’Anti-Phishing Working Group), estime à environ 200 000 le nombre de nouveaux sites mensuels de phishing. Quant à Sophos, société de logiciel et d’appliances de sécurité, 49 % des entreprises françaises ont été touchées entre 2019 et 2020, quelles que soient leurs tailles respectives. 

Sensibilisation au phishing

Pourtant, à la base, tout commence par un mail en apparence anodin. C’est sans doute grâce à cette apparente simplicité (et à un taux de réussite assez élevé si l’on en croit les chiffres) que le phishing se classe parmi les techniques de piratage des réseaux d’entreprises les plus répandues. Dès lors, deux questions se posent : comment s’en prémunir et comment, le cas échéant, contrer une attaque de phishing ?

Définition du phishing

Dans les faits, le pêcheur (ici, le hacker) se fait passer pour une organisation que vous connaissez parfaitement. Il peut s’agit d’une institution (CAF, URSSAF, service des impôts, EDF…), d’une entreprise avec laquelle vous travaillez régulièrement ou encore de votre banque. Le message que vous recevez ne semble pas différer des autres messages provenant de ces sources légitimes. Le logo est parfaitement imité et il vous est demandé de répondre vite en cliquant sur le lien présent dans le mail ou de consulter une pièce jointe. La raison de l’urgence est bien souvent la mise à jour des données personnelles suite à “un incident technique“ rencontré par l’expéditeur…

Comment repérer ces mails frauduleux ?

Le fait est que l’imitation parfaite du logo de l’institution ou de l’entreprise émettrice associé au texte d’urgence dans le corps du message nous poussent presque mécaniquement à agir. C’est d’autant plus le cas que nous pouvons nous trouver dans une situation professionnelle ne permettant pas forcément le recul. On traite nos messages électroniques les uns après les autres en se focalisant généralement sur le message bien plus que sur l’adresse de l’expéditeur.

Or, c’est pourtant là que se trouve la faille principale de ce type d’escroquerie. Si vous regardez de plus près, vous constaterez que l’adresse électronique de l’expéditeur ne correspond pas à l’organisme sensé vous écrire.

D’autre part, les messages sont très courts, sans explication manifeste et, surtout, contreviennent au bon sens et aux messages répétés à l’envie par les entreprises victimes de cette usurpation d’identité numérique. Pour cela, ne délivrez jamais vos données personnelles, même si un collaborateur de l’entreprise vous le demandait.

Les différents types de phishing

Outre l’hameçonnage ou phishing classique, opérant par courriel, voici quelques variétés plus ou moins connues :

  • Le phishing ciblé, contrairement au phishing tous azimuts, celui-ci cible un individu en particulier en vue de lui soutirer des informations précises ;
  • Le whaling, on reste dans la métaphore nautique mais on passe à la taille au-dessus. Ici, on parle de harponnage. En somme, une pêche au gros poisson visant des individus de haute valeur comme les cadres dirigeants et les chefs d’entreprise ;
  • La fraude au PDG. Les pirates se font passer pour un haut dirigeant ayant une requête particulière à formuler à un employé ;
  • Le pharming, il s’agit d’un mix entre le phishing et le farming, autrement dit entre l’hameçonnage et l‘exploitation directe des données, via le cache DNS par exemple. Alors que vous pensez vous rendre sur un site internet que vous avez l’habitude de consulter, c’est un site frauduleux qui s’affiche en réalité. L’adresse a été détournée ;
  • Phishing par le biais de Google Docs ou de Dropbox. Ici, les hackers distribuent des versions usurpées d’une interface de service Cloud et récupèrent vos données d’identification ;
  • Le clone phishing, ou la récupération et la copie d’un véritable mail, mais avec des liens malveillants ;
  • Les attaques homographes, très subtiles, fournissant des liens qui semblent corrects mais qui adressent à d’autres sites. Un exemple ? Voyez-vous la différence entre le mot « lcl » et le mot « IcI ». Dans sa première écriture, il s’agit bien de 2 “l“ minuscules. Dans la seconde, on a remplacé les deux “l“ par deux “I“ majuscules.

Se protéger contre une telle attaque cyber ?

Il n’existe malheureusement aucune possibilité d’interdire à certaines personnes de vous adresser un mail ou un sms, voire de vous appeler. Cependant, de votre côté, vous pouvez appliquer des règles simples :

  • Ne communiquez jamais vos données personnelles par téléphone ou messagerie, même à un tiers de confiance. Aucune entreprise ni aucun organisme d’état n’est en droit de vous les demander par média interposé. Le simple fait qu’on vous le demande doit vous alerter ;
  • En cas de doute sur un lien intégré dans le corps du message, survolez le lien avant de cliquer. Dès lors, l’adresse cible apparaîtra. Vous pourrez alors vérifier s’il s’agit d’un interlocuteur fiable ou d’une arnaque. Pour plus de sécurité, il est même préférable de vous rendre sur le site ciblé par un autre moyen que par le lien fourni dans votre e-mail ;
  • Si le doute persiste (parfois, un seul caractère du site ciblé diffère du site officiel), n’hésitez pas à joindre le site concerné directement. Par exemple, vous recevez un message douteux de votre banque. Appelez votre conseiller. Il vous dira s’il vous a effectivement adressé un sms ou un mail redirigeant vers une page cible ;
  • Utilisez toujours des identifiants et mots de passe différents pour chaque compte ouvert sur les sites web que vous consultez. En cas d’erreur et de piratage d’un compte, vous sauvegardez ainsi tous les autres. Enfin, vous pouvez également vérifier sur les sites internet en question les heures de vos dernières connexions enregistrées par le site et croiser ces informations avec vos propres dernières visites. Ceci vous permettra de savoir si un accès illégitime à vos comptes a bien eu lieu ;
  • Sensibilisez vos collaborateurs sur les bonnes pratiques de la cybersécurité, notamment par des formations sur une plateforme interactive comme Phished.

Comment réagir si vous êtes victime ?

Bien souvent, lorsque vous vous rendez compte de votre erreur, il est déjà trop tard. L’ouverture de la pièce peut suffire à distiller les informations dont le hacker a besoin pour pénétrer le réseau. Par ailleurs, il existe des réflexes à avoir en tant que victime phishing et en voici trois réflexes parmi tant d’autres :

  • Déconnectez l’ordinateur du réseau en débranchant le cordon ou en coupant le Wi-Fi au niveau du terminal ;
  • Prévenez directement le service informatique de votre entreprise  ou votre prestataire de l’incident de sécurité ; 
  • Gardez toutes les preuves du phishing : mail reçu, pièce jointe…
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn
Partager sur facebook
Facebook
Alfabet Group
Nous contacter

Nous rejoindre :

Twitter
Linkedin

#AlfabetGroup