LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les premières arnaques au phishing ont commencé bien avant l'an 2000 ; avec l'évolution technologique, les arnaqueurs ont également amélioré leur tactique. Voici comment les reconnaître pour pouvoir s'en prémunir.
Le phishing ou hameçonnage est une méthode d'arnaque en ligne où les malfaiteurs tentent de récolter des renseignements personnels. Il s'opère par le biais d'e-mails ou de sites web malveillants que les arnaqueurs vous envoient. Vous trouverez ici tout ce que vous devez savoir sur cette forme de cyberattaque.
Qu'est-ce que le phishing ?
Le phishing est une forme de cyberattaque où l'arnaqueur se sert de votre courriel par des e-mails ou des sites web malveillants. Ayant débuté dans les années 1990, le phishing a connu une nette évolution au-cours des années.
L'e-mail d'hameçonnage contient en général un lien à cliquer ou une pièce jointe à télécharger. Au moment où vous téléchargez la pièce jointe ou cliquez sur le lien, les malfaiteurs ont réussi à entrer dans votre vie privée.
Sinon, les arnaqueurs tentent d'établir un lien de confiance dans le but de recueillir des informations. Dans ce cas, ils se font passer pour une personne réelle ou une entreprise avec laquelle vous pouvez collaborer.
Ils essaient ainsi d'obtenir des informations sensibles. L'une des formes les plus répandues de phishing est celle où les malfaiteurs demandent le mot de passe de votre compte, afin de retirer votre argent de votre banque.
Origine du nom
Le def du mot « phishing » vient du mot « fishing » signifiant « pêche ». Ce terme naît d'une analogie avec la pêche, où le pêcheur appâte le poisson. L'e-mail sert d'appât et la victime est le poisson.
Le mot « phishing » remonte au milieu des années 1990, lorsque des attaques ont été perpétrées contre certains utilisateurs d'AOL (America Online). AOL étant le premier fournisseur d'accès à Internet.
De plus, les pirates ont l'habitude d'épeler les termes en utilisant le « ph ». Ce serait une autre raison qui a conduit à l'adoption du terme « phishing ». Cependant, le phishing a un rapport étroit avec le phreaking, qui consiste pour les hackers à jouer des effets sonores sur des combinés téléphoniques afin de passer des appels gratuits.
Les premières attaques par hameçonnage
Les premières attaques par hameçonnage ont permis aux arnaqueurs d'obtenir des mots de passe. Avec les mots de passe obtenus, ils utilisaient des algorithmes dans le but de créer des numéros de carte de crédit aléatoires.
Le taux de réussite était minime, cependant, les sommes retirées étaient bien plus élevées.
En plus de cela, les numéros de carte de crédit créés de façon aléatoire ont été utilisés pour ouvrir des comptes AOL. Avec les comptes ainsi créés, les cybercriminels ont attaqué d'autres utilisateurs.
Les arnaqueurs ont également utilisé des programmes spéciaux, à l'instar d'AOHell, afin de simplifier le processus de phishing.
Face à ces multiples attaques, AOL a créé des mesures de sécurité ayant pour but de mettre fin à l'utilisation de cartes de crédit aléatoires.
L'évolution du phishing au fil du temps
Les premières attaques par hameçonnage ont été enregistrées en milieu des années 1990 en générant des cartes de crédit aléatoires. Toutefois, le phishing a beaucoup évolué avec le temps.
Introduction dans les systèmes de paiement en ligne
En 2001, les hameçonneurs ont commencé à s'immiscer dans les systèmes de paiement en ligne en attaquant E-Gold. Bien que celle-ci semble avoir échoué, elle a entraîné une longue série d'attaques de type phishing.
En 2003, ces attaques ont visé des clients d'eBay et de PayPal. Pour ce faire, les arnaqueurs utilisent des e-mails usurpés pour appâter leurs victimes et les inciter à mettre à jour des détails : mot de passe, identification, etc.
Un an après, le phishing a permis aux arnaqueurs de perpétrer des attaques contre des sites bancaires ainsi que leurs clients. Ce qui a causé plus d'un million de victimes aux Etats-Unis entre mai 2004 et mai 2005. Les pertes étaient évaluées à environ 929 millions de dollars. Pour les entreprises, le phishing a occasionné autour de 2 milliard de dollars de pertes par an.
L'arrivée des cryptomonnaies
L'arrivée du Bitcoin en 2008, suivi des autres cryptomonnaies comme le Dogecoin ou l'Ethereum, semblent être une réponse au phishing. Les cryptomonnaies ont permis de sécuriser les transactions en ligne.
Les cryptomonnaies ont ralenti l'évolution du hameçonnage du fait de son système de cryptage, le blockchain. C'est pour cela que les sites marchands ont commencé à intégrer les monnaies virtuelles dans leur système de paiement.
De son côté, le hameçonnage ne cesse d'évoluer dans l'ombre. Nombreux logiciels spécialisés se trouvent en vente dans le marché noir.
Une recrudescence particulière pendant la crise de la covid-19
Avec la crise de la covid-19, les cyberattaques au hameçonnage ont augmenté de façon exponentielle.
A la recherche de directives et de conseils émanant des dirigeants des entreprises, plusieurs employés se sont retrouvés appâtés par des e-mails de phishing. Les arnaqueurs envoient des e-mails qui semblent provenir de l'entreprise.
D'autres e-mails de phishing ont atterri dans les boîtes de réception. C'étaient des courriels demandant des informations personnelles dans le cadre d'une sorte d'aide du gouvernement.
En une seule clique, les appareils des victimes ont été infectés, leur compte usurpé.
Le kit de phishing
Le kit de phishing se compose d'un ensemble d'outils qui permet aux cybercriminels d'attaquer même si leur niveau de compétences techniques est faible. Avec un tel kit, ils peuvent facilement lancer des campagnes de phishing. Pour ce faire, ils installent le kit sur un serveur avant d'envoyer des e-mails de phishing à des victimes potentielles.
Les cybercriminels disposent d'un site, le dark web, où sont stockés les kits de phishing et les listes de diffusion. Certaines listes de kits de phishing peuvent être trouvées sur quelques sites, notamment Phishtank et OpenPhish.
Il existe de nombreux types de kits de phishing, dont certains peuvent être utilisés pour usurper des marques de confiance (Microsoft, Dropbox) afin d'augmenter les chances d'obtenir un clic.
Les différents types de hameçonnage
Les attaques par phishing sont catégorisées selon plusieurs critères.
Dans un premier temps, on peut les regrouper suivant le but de l'attaque. Les arnaqueurs visent l'un des deux buts suivants : inciter la victime à émettre des informations sensibles ou l'inviter à télécharger des logiciels malveillants.
Émission d'informations sensibles
Dans ce type d'e-mail, le hameçonneur inclut un site web malveillant qui ressemble à celui de la banque de la victime. Il s'assure qu'au moins un destinataire est client de la banque en question.
Lorsque la victime clique sur le lien qui renvoie au site pirate, il entre son identifiant et son mot de passe. Ces informations vont être utilisées par le malfaiteur pour accéder facilement au compte de la victime.
Téléchargement de logiciels malveillants
L'autre type d'e-mail de hameçonnage comporte des logiciels à télécharger. Ces logiciels vont ensuite infecter l'ordinateur de la victime.
Les fichiers sont souvent .zip ou sous format de documents Microsoft Office incluant un code malveillant.
Ce type d'e-mail de phishing prend en majorité la forme de ransomware. Cette dernière comptait la quasi-totalité des e-mails de phishing en 2017 (93%).
Parfois, les cybercriminels ciblent des personnes en particulier. Il en existe deux types : le spear phishing ou le whale phishing.
Le spear phishing
Le spear phishing vise une personne spécifique. La victime est donc ciblée à l'avance en collectant des informations sur les réseaux sociaux par exemple (LinkedIn, Twitter).
Une fois identifiée, la victime reçoit un faux courrier électronique incitant la cible à émettre des informations pertinentes.
Un personnel du service financier d'une entreprise peut, par exemple, recevoir un email qui semble provenir d'un collègue. L'objet de l'e-mail étant une demande de virement bancaire à court préavis.
Le whale phishing
Comme son nom l'indique, ce type de hameçonnage vise une personne de plus grande valeur, une somme plus conséquente. Ce sont les hauts responsables d'une entité qui se trouvent dans la ligne de mire des attaquants.
Ces personnes sont considérées comme plus vulnérables sachant qu'elles utilisent leur adresse e-mail personnelle pour échanger avec les collaborateurs. Leur compte se trouve alors hors de la protection de la société en matière de cybersécurité.
Il existe d'autres types de phishing comme le vishing ou la raquette, mais ceux cités ci-dessus sont les plus fréquents et les plus redoutés.
Comment éviter, lutter contre le hameçonnage ?
Le hameçonnage évolue avec le temps, il est important de savoir comment le prévenir. Ce n'est toutefois pas possible sans que l'on sache comment le reconnaître.
Comment reconnaître le phishing ?
Lorsque vous recevez des e-mails qui semblent provenir de votre banque ou d'une autre entité, il faut être attentif.
Un e-mail de phishing demande des informations personnelles, notamment liées à votre compte.
Il se peut aussi qu'il raconte des histoires en vue de vous inciter à cliquer sur un lien ou un site web de boutique en ligne ou une pièce jointe.
Voici quelques raisons que les arnaqueurs utilisent pour vous appâter :
- Une activité suspecte ou des tentatives de connexion,
- Un problème avec votre compte ou vos informations de paiement,
- Une admissibilité à un remboursement ou une aide gouvernementale.
Vous suspectez un hameçonnage, que faire ?
Si vous avez reçu un e-mail suspect, ne cliquez pas sur le lien ou la pièce jointe.
Si vous n'avez pas de relation avec la compagnie ou la société citée dans l'e-mail, c'est probablement du phishing.
Dans le cas où vous êtes en relation avec l'entreprise nommée dans l'e-mail, utilisez plutôt votre téléphone pour contacter directement le responsable afin de confirmer sa provenance.
Si vous êtes convaincu qu'il s'agit d'un hameçonnage, vous devez transférer l'e-mail en question dans vos spams. N'oubliez pas de signaler le courriel.
Il est aussi recommandé d'établir un système de cybersécurité comme l'utilisation de VPN pour sécuriser vos appareils et d'autres dispositifs de cybersécurité.
Optez pour les systèmes de stockage en nuage (pCloud, Google Drive) pour stocker vos données en sécurité.
D'ailleurs, sachez que le spoofing peut également être utilisé par les malfaiteurs pour usurper votre identité électronique. Il s'agit d'une attaque de type informatique qui peut prendre des formes très variées : des plus basiques au plus complexes. Les techniques développées par les hackers sont si répandues qu'un manque de vigilance de votre part est susceptible de vous mettre dans une situation problématique. Ils sont capables de vous faire croire que vos e-mails viennent des personnes de votre entourage, alors que ce sont eux qui les ont envoyés. Pour découvrir la définition générale du spoofing ainsi que ses différentes formes, nous vous invitons à lire cet article de Guardia Cybersecurity School.
Voici des signes révélateurs d'un e-mail d'hameçonnage
Expéditeur
Le fait de connaître l'expéditeur de l'e-mail ne signifie pas pour autant que l'e-mail est sûr. En effet, on peut facilement utiliser le nom de quelqu'un d'autre. A cet effet, il faut vérifier l'adresse e-mail pour confirmer sa provenance.
Salutations
Accordez une attention particulière à la salutation. Si elle indique « Estimé client » ou « Cher client » à la place de votre nom, il faut se méfier !
Contenu
Les escrocs cherchent à provoquer un sentiment d'urgence pour vous inciter à agir sans réfléchir. Des fautes dans la grammaire et l'orthographe ? Sachez qu'un tel message ne passerait pas auprès d'une organisation légitime.
Il vous est demandé de fournir des informations financières ou personnelles, ou de mettre à jour ou de modifier un mot de passe. Méfiez vous.
Bouton ou Lien
Les courriels d'hameçonnage incitent généralement les internautes à cliquer sur des boutons ou des liens renvoyant à de faux sites web. Ou encore, ils invitent à télécharger des logiciels malveillants. Vous ne devez jamais cliquer sans pouvoir confirmer la légitimité de l'expéditeur.
- Partager l'article :
