Phishing définition
Le phishing, aussi appelé hameçonnage, est une cyber-attaque qui consiste à tromper les victimes envoyant un email ou un SMS frauduleux dans l'espoir d'obtenir des données personnelles ou informations sensibles comme ses identifiants de connexion, mots de passe ou ses informations de carte bancaire. L'attaquant se fait passer pour un tiers de confiance (banque, commerce en ligne, administration, réseau social, ...) pour atteindre son objectif.
Fonctionnement du phishing
L'attaquant se fait passer pour un tiers de confiance, comme un conseiller bancaire ou un collègue, envoie un email ou SMS frauduleux à sa victime en jouant sur différentes émotions comme la peur et l'urgence. Si la victime mord à l'hameçon, elle clique sur le lien malveillant qui la redirige vers un site frauduleux imitant un site légitime et renseigne les informations demandées. Ces informations sont alors transmises au pirate informatique qui pourra les utiliser pour voler l'identité de ses victimes, vider leur compte bancaire ou encore vendre leurs informations personnelles sur le marché noir.
Identifier une attaque phishing
Le phishing, un exemple de risque cyber, n'est pas toujours évident à repérer mais voici quelques signaux d'alerte qui peuvent vous permettre de déceler s'il s'agit d'une tentative d'hameçonnage :
- notification de la messagerie ou de l’antivirus
- email d’un service ou d’une société dont vous n’êtes pas client
- nom d’expéditeur inhabituel
- adresse d’expédition fantaisiste
- objet d’email alléchant ou alarmiste
- apparence suspecte (logos de mauvaise qualité)
- absence de personnalisation et des formulations vagues
- demande inhabituelle
- demande d’informations confidentielles
- incitation à cliquer sur un lien ou une pièce jointe
Exemples d'attaques phishing
Une escroquerie par phishing peut se présenter sous la forme d’un faux profil LinkedIn, d’une invitation à une réunion sur Zoom envoyée par un pirate qui se fait passer pour un collègue, d’un e-mail frauduleux cachant un logiciel malveillant ou d’un message sur WhatsApp émanant d’un « responsable informatique de l’entreprise » qui vous demande de lui accorder l’accès à l’Intranet. Ces exemples sont tirés du contexte de cybermenaces dans lequel nous évoluons aujourd’hui, et ils peuvent causer de graves dommages aux organisations.
Spearphishing
Le spearphishing est une escroquerie d'hameçonnage ciblé car il vise une personne en particulier. L'attaquant utilisent des informations personnalisées et des techniques d'ingénierie sociale pour usurper l'identité de l'expéditeur comme une personne ou une société avec laquelle la victime travaille.
Whaling
Le whaling, aussi connue sous le nom de fraude au président, est une méthode de phishing ultra ciblé visant les directeurs financiers, autres directeurs de l'organisation ou les membres du comité d'administration afin d'obtenir des informations confidentielles sur l'organisation ciblée. Les pirates informatiques appellent ou envoient un email à leurs victimes en se faisant passer pour un supérieur hiérarchique comme le PDG et demandent par exemple aux employés de transférer de l'argent de manière urgente et confidentielle.
Smishing
Le smishing est un hameçonnage par sms se faisant par exemple passer pour la banque, l'assurance maladie ou les livraisons de colis. Le sms frauduleux envoyé par les cybercriminels incite les victimes à télécharger ou mettre à jour une nouvelle version d'une application, partager des informations sensibles ou envoyer de l'argent. Le sms incite les victimes à réaliser rapidement une de ces actions.
Vishing
Le vishing est une technique d'hameçonnage par téléphone ou message vocal. L'objectif reste le même, récolter des informations personnelles et/ou sensibles et accéder aux comptes bancaires.
Quishing
La pratique du phishing par QR code, appelé aussi quishing, se développe également et Microsoft en a fait les frais. Certains utilisateurs ont reçu un email de Microsoft contenant une pièce jointe avec un fichier PDF. Sur ce fichier était un QR code avec un message urgent demandant aux utilisateurs de mettre en place une authentification multifactorielle (MFA). Après avoir scanné le QR code, les utilisateurs ont été redirigés, sur leur téléphone, vers une fausse page de connexion Microsoft. Ils y ont saisi leurs identifiants de connexion (nom d'utilisateur et mot de passe) qui ont été stockés et mis à la disposition de l'auteur du phishing.
Historique et origine du phishing (ou hameçonnage)
Le terme "phishing" ou "hameçonnage" fait référence à un pêcheur à la ligne (le pirate informatique) qui lance un hameçon appâté (le message de phishing) et espère que la victime morde à l'hameçon pour ainsi récupérer des données personnelles et/ou sensibles. Ce terme a été employé pour la première fois dans les années 90 et a été attribué au célèbre pirate informatique Khan C. Smith.
Dans les années 90, la cyber-attaque à l'encontre des utilisateurs d'AOL est considérée comme la première attaque par hameçonnage d'ampleur importante. AOL était le premier fournisseur d'accès à l'internet, ce qui en faisait une cible privilégiée pour les cybercriminels. Les pirates informatiques ont lancé des attaques de phishing sur AOL en volant les identifiants des utilisateurs et en utilisant des algorithmes pour créer des numéros de carte de crédit aléatoires. Ces numéros de carte de crédit aléatoires servaient à ouvrir des comptes AOL qui étaient ensuite utilisés pour envoyer des messages non sollicités à d'autres utilisateurs d'AOL par l'intermédiaire des systèmes de messagerie instantanée et de courrier électronique d'AOL. La plupart de ces messages demandaient aux utilisateurs de vérifier leurs comptes ou de confirmer leurs informations de facturation. Le phishing n'étant pas une menace très connue à l'époque, la plupart des personnes ciblées tombaient dans le piège. Afin d'empêcher ses clients de divulguer des informations sensibles, AOL a commencé à inclure des messages d'avertissements dans les courriers électroniques.
L'hameçonnage s'est largement fait connaitre en 2000 lorsqu'un logiciel malveillant appelé "Love Bug" s'est propagé dans le monde entier en touchant notamment les systèmes informatiques du Pentagone, de la CIA, et de grandes entreprises comme L’Oréal et Nestlé. Il s'agissait d'un message malveillant intitulé "ILOVEYOU" qui est apparu dans les boîtes aux lettres, accompagné d'un fichier .txt d'apparence inoffensive intitulé LOVELETTER. Cependant, lorsqu'il était ouvert, le fichier libérait un ver informatique qui écrasait les fichiers images et envoyait une copie de lui-même à tous les contacts du carnet d'adresses Outlook de la victime. Les dommages ont été évalués à une dizaine de milliards de dollars.
Que faire en cas d'attaque par phishing ?
En cas d'attaque par phishing, l'organisation doit :
- Faire opposition si des éléments bancaires ont été communiqués ou si des prélèvements frauduleux ont eu lieu.
- Alerter le service ou le prestataire informatique ainsi que son courtier en assurance si l'organisation dispose d'une couverture d'assurance cyber-risques. L'organisation sera ainsi mise en relation avec des experts en cybersécurité disponibles 24/7.
- Conserver les preuves comme le message d'hameçonnage reçu.
- Déposer plainte dans les 72h au commissariat de police ou à la gendarmerie en présentant la preuve.
- Modifier les mots de passe si un mot de passe a été communiqué ou est corrompu.
Conseils pour prévenir le risque de phishing ou d'hameçonnage
L'hameçonnage est une menace cyber qui touche toutes sortes d'organisations et peut apparaitre sur tous supports (ordinateur, téléphone portable, tablette). Nous devons donc être de plus en plus vigilent et savoir repérer les signaux d'alerte qui peuvent nous être d'une aide précieuse dans notre prise de décision. En cas de doute sur l'origine d'un email ou d'un sms, le meilleur réflexe est de contacter l'expéditeur afin de confirmer la validité de la demande. La mise en place de pare-feu ou de solutions EDR sont également des éléments essentiels à mettre en place au sein d'une organisation.
D'après le rapport Verizon (2023), 74% des compromissions incluent le facteur humain. Mettre en place une solide culture de cybersécurité au sein de l'organisation est essentiel afin d'éviter d'être victime d'une attaque phishing. Des exercices de sensibilisation au phishing peuvent être mises en place au sein des organisations afin de sensibiliser les collaborateurs à ce risque cyber.
L'assurance cyber-risques ne permet pas de prévenir le risque d'attaques d'hameçonnage mais offre un amortisseur financier en cas d'attaque. Toutes les compagnies d'assurance avec lesquelles travaillent CYBER COVER couvrent l'attaque par hameçonnage. Les frais engendrés par cette attaque comme la perte de marge brute, l'analyse forensic ou encore les frais juridiques sont couverts par les compagnies d'assurance.
Découvez notre page sur le malware.
