Phishing : tout ce que vous devez savoir sur cette cybermenace

Les premières arnaques au phishing ont commencé bien avant l’an 2000 ; avec l’évolution technologique, les arnaqueurs ont également amélioré leur tactique. Voici comment les reconnaître pour pouvoir s’en prémunir.

Le phishing ou hameçonnage est une méthode d’arnaque en ligne où les malfaiteurs tentent de récolter des renseignements personnels. Il s’opère par le biais d’e-mails ou de sites web malveillants que les arnaqueurs vous envoient. Vous trouverez ici tout ce que vous devez savoir sur cette forme de cyberattaque.

Qu’est-ce que le phishing ?

Le phishing est une forme de cyberattaque où l’arnaqueur se sert de votre courriel par des e-mails ou des sites web malveillants. Ayant débuté dans les années 1990, le phishing a connu une nette évolution au-cours des années.

L’e-mail d’hameçonnage contient en général un lien à cliquer ou une pièce jointe à télécharger. Au moment où vous téléchargez la pièce jointe ou cliquez sur le lien, les malfaiteurs ont réussi à entrer dans votre vie privée.

Sinon, les arnaqueurs tentent d’établir un lien de confiance dans le but de recueillir des informations. Dans ce cas, ils se font passer pour une personne réelle ou une entreprise avec laquelle vous pouvez collaborer.

Ils essaient ainsi d’obtenir des informations sensibles. L’une des formes les plus répandues de phishing est celle où les malfaiteurs demandent le mot de passe de votre compte, afin de retirer votre argent de votre banque.

Origine du nom

Le mot « phishing » est tiré du mot « fishing » qui signifie pêche. Le terme est né par analogie à la pêche où le pêcheur hameçonne pour appâter le poisson. L’e-mail sert d’appât et la victime, le poisson.

Le mot phishing a vu le jour au milieu des années 1990 où les attaques ont été perpétrées à l’encontre de certains utilisateurs d’AOL (America Online). AOL étant le premier fournisseur d’accès internet.

Par ailleurs, les hackers ont l’habitude d’orthographier des termes en utilisant « ph ». Ce serait une autre raison qui a conduit à l’adoption du terme « phishing ».

Cependant, le hameçonnage est étroitement lié au phreaking, où les pirates jouent des sons sonores dans les combinés téléphoniques en vue de passer des appels gratuits.

Les premières attaques par hameçonnage

Les premières attaques par hameçonnage ont permis aux arnaqueurs d’obtenir des mots de passe. Avec les mots de passe obtenus, ils utilisaient des algorithmes dans le but de créer des numéros de carte de crédit aléatoires.

Le taux de réussite était minime, cependant, les sommes retirées étaient bien plus élevées.

En plus de cela, les numéros de carte de crédit créés de façon aléatoire ont été utilisés pour ouvrir des comptes AOL. Avec les comptes ainsi créés, les cybercriminels ont attaqué d’autres utilisateurs.

Les arnaqueurs ont également utilisé des programmes spéciaux, à l’instar d’AOHell, afin de simplifier le processus de phishing.

Face à ces multiples attaques, AOL a créé des mesures de sécurité ayant pour but de mettre fin à l’utilisation de cartes de crédit aléatoires.

L’évolution du phishing au fil du temps

Les premières attaques par hameçonnage ont été enregistrées en milieu des années 1990 en générant des cartes de crédit aléatoires. Toutefois, le phishing a beaucoup évolué avec le temps.

Introduction dans les systèmes de paiement en ligne

En 2001, les hameçonneurs ont commencé à s’immiscer dans les systèmes de paiement en ligne en attaquant E-Gold. Bien que celle-ci semble avoir échoué, elle a entraîné une longue série d’attaques de type phishing.

En 2003, ces attaques ont visé des clients d’eBay et de PayPal. Pour ce faire, les arnaqueurs utilisent des e-mails usurpés pour appâter leurs victimes et les inciter à mettre à jour des détails : mot de passe, identification, etc.

Un an après, le phishing a permis aux arnaqueurs de perpétrer des attaques contre des sites bancaires ainsi que leurs clients. Ce qui a causé plus d’un million de victimes aux Etats-Unis entre mai 2004 et mai 2005. Les pertes étaient évaluées à environ 929 millions de dollars. Pour les entreprises, le phishing a occasionné autour de 2 milliard de dollars de pertes par an.

L’arrivée des cryptomonnaies

L’arrivée du Bitcoin en 2008, suivi des autres cryptomonnaies comme le Dogecoin ou l’Ethereum, semblent être une réponse au phishing. Les cryptomonnaies ont permis de sécuriser les transactions en ligne.

Les cryptomonnaies ont ralenti l’évolution du hameçonnage du fait de son système de cryptage, le blockchain. C’est pour cela que les sites marchands ont commencé à intégrer les monnaies virtuelles dans leur système de paiement.

De son côté, le hameçonnage ne cesse d’évoluer dans l’ombre. Nombreux logiciels spécialisés se trouvent en vente dans le marché noir.

Une recrudescence particulière pendant la crise de la covid-19

Avec la crise de la covid-19, les cyberattaques au hameçonnage ont augmenté de façon exponentielle.

A la recherche de directives et de conseils émanant des dirigeants des entreprises, plusieurs employés se sont retrouvés appâtés par des e-mails de phishing. Les arnaqueurs envoient des e-mails qui semblent provenir de l’entreprise.

D’autres e-mails de phishing ont atterri dans les boîtes de réception. C’étaient des courriels demandant des informations personnelles dans le cadre d’une sorte d’aide du gouvernement.

En une seule clique, les appareils des victimes ont été infectés, leur compte usurpé.

Le kit de phishing

Le Kit de phishing est un ensemble d’outils permettant aux cybercriminels d’attaquer même si leur niveau de compétence technique est faible.

Avec un tel kit, ils lancent en toute facilité des campagnes de phishing. Pour ce faire, ils installent le kit sur un serveur avant d’envoyer des e-mails de hameçonnage aux victimes potentielles.

Les cybercriminels disposent d’un site, le dark web, regroupant les kits de phishing et les listes de diffusion. Certaines listes de kits de hameçonnage peuvent être consultées sur quelques sites, en l’occurrence Phishtank et OpenPhish.

Les kits de phishing sont de nombreux types dont certains peuvent servir pour usurper des marques de confiance (Microsoft, Dropbox) afin d’augmenter la chance d’obtenir une clique.

Les différents types de hameçonnage

Les attaques par phishing sont catégorisées selon plusieurs critères.

Dans un premier temps, on peut les regrouper suivant le but de l’attaque. Les arnaqueurs visent l’un des deux buts suivants : inciter la victime à émettre des informations sensibles ou l’inviter à télécharger des logiciels malveillants.

Émission d’informations sensibles

Dans ce type d’e-mail, le hameçonneur inclut un site web malveillant qui ressemble à celui de la banque de la victime. Il s’assure qu’au moins un destinataire est client de la banque en question.

Lorsque la victime clique sur le lien qui renvoie au site pirate,  il entre son identifiant et son mot de passe. Ces informations vont être utilisées par le malfaiteur pour accéder facilement au compte de la victime.

Téléchargement de logiciels malveillants

L’autre type d’e-mail de hameçonnage comporte des logiciels à télécharger. Ces logiciels vont ensuite infecter l’ordinateur de la victime.

Les fichiers sont souvent .zip ou sous format de documents Microsoft Office incluant un code malveillant.

Ce type d’e-mail de phishing prend en majorité la forme de ransomware. Cette dernière comptait la quasi-totalité des e-mails de phishing en 2017 (93%).

Parfois, les cybercriminels ciblent des personnes en particulier. Il en existe deux types : le spear phishing ou le whale phishing.

Le spear phishing

Le spear phishing vise une personne spécifique. La victime est donc ciblée à l’avance en collectant des informations sur les réseaux sociaux par exemple (LinkedIn, Twitter).

Une fois identifiée, la victime reçoit un faux courrier électronique incitant la cible à émettre des informations pertinentes.

Un personnel du service financier d’une entreprise peut, par exemple, recevoir un email qui semble provenir d’un collègue. L’objet de l’e-mail étant une demande de virement bancaire à court préavis.

Le whale phishing

Comme son nom l’indique, ce type de hameçonnage vise une personne de plus grande valeur, une somme plus conséquente. Ce sont les hauts responsables d’une entité qui se trouvent dans la ligne de mire des attaquants.

Ces personnes sont considérées comme plus vulnérables sachant qu’elles utilisent leur adresse e-mail personnelle pour échanger avec les collaborateurs. Leur compte se trouve alors hors de la protection de la société en matière de cybersécurité.

Il existe d’autres types de phishing comme le vishing ou la raquette, mais ceux cités ci-dessus sont les plus fréquents et les plus redoutés.

Comment éviter, lutter contre le hameçonnage ?

Le hameçonnage évolue avec le temps, il est important de savoir comment le prévenir. Ce n’est toutefois pas possible sans que l’on sache comment le reconnaître.

Comment reconnaître le phishing ?

Lorsque vous recevez des e-mails qui semblent provenir de votre banque ou d’une autre entité, il faut être attentif.

Un e-mail de phishing demande des informations personnelles, notamment liées à votre compte.

Il se peut aussi qu’il raconte des histoires en vue de vous inciter à cliquer sur un lien ou un site web de boutique en ligne ou une pièce jointe.

Voici quelques raisons que les arnaqueurs utilisent pour vous appâter :

  • Une activité suspecte ou des tentatives de connexion,
  • Un problème avec votre compte ou vos informations de paiement,
  • Une admissibilité à un remboursement ou une aide gouvernementale.

Vous suspectez un hameçonnage, que faire ?

Si vous avez reçu un e-mail suspect, ne cliquez pas sur le lien ou la pièce jointe.

Si vous n’avez pas de relation avec la compagnie ou la société citée dans l’e-mail, c’est probablement du phishing.

Dans le cas où vous êtes en relation avec l’entreprise nommée dans l’e-mail, utilisez plutôt votre téléphone pour contacter directement le responsable afin de confirmer sa provenance.

Si vous êtes convaincu qu’il s’agit d’un hameçonnage, vous devez transférer l’e-mail en question dans vos spams. N’oubliez pas de signaler le courriel.

Il est aussi recommandé d’établir un système de cybersécurité comme l’utilisation de VPN pour sécuriser vos appareils et d’autres dispositifs de cybersécurité.

Optez pour les systèmes de stockage en nuage (pCloud, Google Drive) pour stocker vos données en sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest