Le phishing est une méthode qui consiste à tenter de recueillir des informations personnelles à l'aide d'e-mails et de sites web trompeurs. Voici ce que vous devez savoir sur cette forme de cyber attaque de plus en plus sophistiquée.
Définition du phishing
Le phishing est une cyberattaque qui utilise des e-mails déguisés comme arme. L'objectif est de faire croire au destinataire de l'e-mail que le message est quelque chose qu'il souhaite ou dont il a besoin - une demande de sa banque, par exemple, ou une note de quelqu'un de son entreprise - et de cliquer sur un lien ou de télécharger une pièce jointe.
Ce qui distingue vraiment le phishing, c'est la forme que prend le message : les attaquants se font passer pour une entité de confiance, souvent une personne réelle ou plausible, ou une entreprise avec laquelle la victime pourrait faire affaire. Il s'agit de l'un des plus anciens types de cyberattaques, qui remonte aux années 1990, et il reste l'un des plus répandus et des plus pernicieux, les messages et les techniques de phishing devenant de plus en plus sophistiqués.
Le terme "phishing" se prononce comme il s'écrit, c'est-à-dire comme le mot "poisson" - l'analogie est celle d'un pêcheur à la ligne qui lance un hameçon appâté (le courriel de phishing) et espère que vous mordez. Le terme est apparu au milieu des années 90 parmi les pirates informatiques qui voulaient inciter les utilisateurs d'AOL à donner leurs informations de connexion. Le "ph" s'inscrit dans une tradition d'orthographe fantaisiste des pirates et a probablement été influencé par le terme "phreaking", abréviation de "phone phreaking", une première forme de piratage qui consistait à jouer des sons dans des combinés téléphoniques pour obtenir des appels gratuits.
En 2019 déjà près d'un tiers de toutes les brèches survenues au cours de l’année ont impliqué le phishing, selon le rapport Verizon Data Breach Investigations. La pire nouvelle concernant le phishing est que ses auteurs deviennent beaucoup, beaucoup plus performants grâce à des outils et des modèles bien produits et prêts à l'emploi.
Certaines escroqueries par phishing ont suffisamment bien réussi pour faire des vagues :
- L'une des attaques de phishing les plus marquantes de l'histoire s'est peut-être produite en 2016, lorsque des pirates ont réussi à amener le président de la campagne d'Hillary Clinton, John Podesta, à offrir son mot de passe Gmail.
- L'attaque du "fappening", au cours de laquelle les photos intimes d'un certain nombre de célébrités ont été rendues publiques, était initialement considérée comme le résultat de l'insécurité des serveurs iCloud d'Apple, mais était en fait le produit d'un certain nombre de tentatives de phishing réussies.
- En 2016, des employés de l'université du Kansas ont répondu à un courriel de hameçonnage et ont transmis l'accès aux informations de dépôt de leur chèque de paie, ce qui leur a fait perdre leur salaire.
Qu'est-ce que le phishing ?
Qu'est-ce qu'un kit de hameçonnage ?
La disponibilité des kits de phishing permet aux cybercriminels, même ceux qui ont des compétences techniques minimales, de lancer facilement des campagnes de phishing. Un kit de phishing regroupe des ressources et des outils de sites de phishing qu'il suffit d'installer sur un serveur. Une fois installé, il suffit à l'attaquant d'envoyer des courriels à des victimes potentielles. Des kits de phishing ainsi que des listes de diffusion sont disponibles sur le dark web. Deux sites, Phishtank et OpenPhish, tiennent à jour des listes de kits de phishing connus.
Certains kits de phishing permettent aux attaquants d'usurper des marques de confiance, ce qui augmente les chances qu'une personne clique sur un lien frauduleux. Les recherches d'Akamai présentées dans son rapport Phishing--Baiting the Hook ont révélé 62 variantes de kits pour Microsoft, 14 pour PayPal, sept pour DHL et 11 pour Dropbox.
Le rapport de Duo Labs, Phish in a Barrel, comprend une analyse de la réutilisation des kits de phishing. Sur les 3 200 kits de phishing découverts par Duo, 900 (27 %) ont été trouvés sur plus d'un hôte. Ce chiffre pourrait toutefois être plus élevé en réalité. "Pourquoi ne voyons-nous pas un pourcentage plus élevé de réutilisation des kits ? Peut-être parce que nous mesurions sur la base du hachage SHA1 du contenu du kit. Une seule modification apportée à un seul fichier du kit donnerait l'impression qu'il y a deux kits distincts, même s'ils sont par ailleurs identiques", a déclaré Jordan Wright, ingénieur R&D senior chez Duo et auteur du rapport.
Anatomie d'un kit de phishing [infographie de Duo Security]
L'analyse des kits de phishing permet aux équipes de sécurité de savoir qui les utilise. "L'une des choses les plus utiles que nous pouvons apprendre en analysant les kits de phishing est l'endroit où les informations d'identification sont envoyées. En suivant les adresses e-mail trouvées dans les kits de phishing, nous pouvons établir une corrélation entre les acteurs et des campagnes spécifiques, voire des kits spécifiques", explique Wright dans le rapport. "C'est encore mieux. Non seulement nous pouvons voir où les informations d'identification sont envoyées, mais nous pouvons également voir d'où elles prétendent être envoyées. Les créateurs de kits de phishing utilisent généralement l'en-tête "From" comme une carte de signature, ce qui nous permet de trouver plusieurs kits créés par le même auteur."
Types de phishing
S'il y a un dénominateur commun aux attaques de phishing, c'est le déguisement. Les attaquants usurpent leur adresse électronique pour faire croire qu'elle provient d'une autre personne, créent de faux sites Web qui ressemblent à ceux auxquels la victime fait confiance pour déguiser les URL.
Cela dit, il existe une grande variété de techniques qui entrent dans le cadre du phishing. Il existe plusieurs façons de répartir les attaques en catégories. L'une d'elles est l'objectif de la tentative de phishing. En général, une campagne de phishing tente d'amener la victime à faire l'une des deux choses suivantes :
-
Donner des informations sensibles.
Ces messages visent à inciter l'utilisateur à révéler des données importantes - souvent un nom d'utilisateur et un mot de passe que l'attaquant peut utiliser pour pénétrer dans un système ou un compte. La version classique de cette escroquerie consiste à envoyer un courriel conçu pour ressembler à un message d'une grande banque ; en envoyant le message à des millions de personnes, les attaquants s'assurent qu'au moins certains des destinataires seront des clients de cette banque. La victime clique sur un lien dans le message et est dirigée vers un site malveillant conçu pour ressembler à la page Web de la banque, puis saisit son nom d'utilisateur et son mot de passe. L'attaquant peut maintenant accéder au compte de la victime.
- Téléchargement de logiciels malveillants. Comme beaucoup de spam, ces types d'e-mails de phishing visent à amener la victime à infecter son propre ordinateur avec un logiciel malveillant. Les messages sont souvent "ciblés" - ils peuvent être envoyés à un employé des RH avec une pièce jointe qui prétend être le CV d'un demandeur d'emploi, par exemple. Ces pièces jointes se présentent principalement comme des fichiers .zip ou des documents Microsoft Office contenant un code malveillant intégré, dont l’un des plus courants est le ransomware. Ces codes peuvent également permettre au cyber criminels de créer des failles mineures dans le système afin de déployer une cyber attaque de plus grand ampleur dans un second temps.
Les courriels de phishing peuvent être ciblés de plusieurs façons différentes. Comme nous l'avons noté, parfois ils ne sont pas ciblés du tout ; les e-mails sont envoyés à des millions de victimes potentielles pour essayer de les inciter à se connecter à de fausses versions de sites Web très populaires. Ironscales a recensé les marques les plus populaires que les pirates utilisent dans leurs tentatives de phishing.
Sur les plus de 50 000 fausses pages de connexion surveillées par l'entreprise, voici les principales marques utilisées par les pirates :
- PayPal : 22%
- Microsoft : 19%
- Facebook : 15%
- eBay : 6%
- Amazon : 3%
D'autres fois, les attaquants peuvent envoyer des courriels "soft targeted" à une personne jouant un rôle particulier dans une organisation, même s'ils ne savent rien d'elle personnellement. Certaines attaques de phishing visent à obtenir des informations de connexion ou à infecter les ordinateurs de personnes spécifiques. Les attaquants consacrent beaucoup plus d'énergie à tromper ces victimes, qui ont été sélectionnées parce que les récompenses potentielles sont assez élevées.
Phishing par harponnage
On parle de spear phishing lorsque les attaquants tentent d'élaborer un message destiné à une personne spécifique. (L'image est celle d'un pêcheur qui vise un poisson spécifique, plutôt que de simplement lancer un hameçon appâté dans l'eau pour voir qui mord). Les hameçonneurs identifient leurs cibles (parfois à l'aide d'informations sur des sites tels que LinkedIn) et utilisent des adresses usurpées pour envoyer des courriels qui peuvent sembler provenir de collègues de travail. Par exemple, le spear phisher peut cibler un membre du département financier et se faire passer pour le responsable de la victime en lui demandant un virement bancaire important dans un délai très court.
Whaling
Le hameçonnage à la baleine, ou whale phishing, est une forme de phishing qui vise les très gros poissons - les PDG ou d'autres cibles de grande valeur. Beaucoup de ces escroqueries visent les membres du conseil d'administration d'une entreprise, qui sont considérés comme particulièrement vulnérables : ils jouissent d'une grande autorité au sein de l'entreprise, mais comme ils ne sont pas employés à plein temps, ils utilisent souvent des adresses électroniques personnelles pour la correspondance professionnelle, qui ne bénéficie pas des protections offertes par la messagerie d'entreprise.
Rassembler suffisamment d'informations pour piéger une cible de grande valeur peut prendre du temps, mais le résultat peut être étonnamment élevé. En 2008, des cybercriminels ont ciblé des PDG d'entreprise en leur envoyant des courriels qui prétendaient contenir des citations à comparaître du FBI. En réalité, ils ont téléchargé des enregistreurs de frappe sur les ordinateurs des dirigeants. Le taux de réussite des escrocs a été de 10 % et ils ont fait près de 2 000 victimes.
Parmi les autres types de phishing, citons le clone phishing, le vishing et le snowshoeing. Cet article explique les différences entre les différents types d'attaques de phishing.
Pourquoi le phishing augmente-t-il pendant une crise ?
Les criminels comptent sur la tromperie et la création d'un sentiment d'urgence pour réussir leurs campagnes de phishing. Les crises telles que la pandémie de coronavirus offrent à ces criminels une excellente occasion d'attirer les victimes en les faisant mordre à l'hameçon.
Pendant une crise, les gens sont sur les nerfs. Ils veulent des informations et cherchent des directives auprès de leurs employeurs, du gouvernement et d'autres autorités compétentes. Un courriel qui semble provenir de l'une de ces entités et qui promet de nouvelles informations ou demande aux destinataires d'accomplir une tâche rapidement sera probablement moins examiné qu'avant la crise. Un clic impulsif plus tard, et l'appareil de la victime est infecté ou son compte est compromis.
La capture d'écran suivante est une campagne de phishing découverte par Mimecast qui tente de voler les informations de connexion du compte Microsoft OneDrive de la victime. L'attaquant savait qu'avec le nombre croissant de personnes travaillant à domicile, le partage de documents via OneDrive serait courant.
Les deux écrans suivants sont issus de campagnes de phishing identifiées par Proofpoint.
Le premier demande aux victimes de charger une application sur leur appareil pour "effectuer des simulations du traitement" de COVID-19. L'application, bien sûr, est un malware.
Le second semble provenir de l'Agence de santé publique du Canada et demande aux destinataires de cliquer sur un lien pour lire une lettre importante. Le lien mène à un document malveillant.
Comment prévenir le phishing ?
La meilleure façon d'apprendre à repérer les e-mails de phishing est d'étudier les exemples déjà existants !
Il est aussi possible de mettre en place plusieurs mesures et adopter des “bonnes pratiques” afin d’éviter de figurer sur la liste des cyber attaques par phishing, notamment :
- Vérifiez toujours l'orthographe des URL dans les liens des e-mails avant de cliquer ou de saisir des informations sensibles.
- Faites attention aux redirections d'URL, qui vous renvoient subtilement vers un autre site Web au design identique.
- Si vous recevez un courriel d'une source que vous connaissez mais qui vous semble suspecte, contactez cette source par un nouveau courriel, au lieu de cliquer simplement sur "répondre".
- Ne publiez pas de données personnelles, comme votre anniversaire, vos projets de vacances, votre adresse ou votre numéro de téléphone, sur les médias sociaux.
Si vous travaillez dans le service de sécurité informatique de votre entreprise, vous pouvez mettre en œuvre des mesures proactives pour protéger l'organisation, notamment :
- " Sandboxer " les e-mails entrants, en vérifiant la sécurité de chaque lien sur lequel un utilisateur clique.
- Inspecter et analyser le trafic Web
- Effectuer des tests d'intrusion dans votre organisation pour trouver les points faibles et utiliser les résultats pour sensibiliser les employés
- Récompenser les bons comportements, par exemple en présentant une "prise du jour" si quelqu'un repère un courriel de phishing.
Conclusion
La cyber sécurité, c'est l'affaire de tous. Face aux cyber risques, adoptons les bons gestes.
Et pour une protection optimale, le recours à une assurance cybercriminalité s'impose-t-il aujourd'hui comme la meilleure solution ?
Découvrez notre article "FACE AUX RANSOMWARE, L'ASSURANCE CYBERCRIMINALITE EST-ELLE UNE RÉPONSE ?"
Vous souhaitez en savoir davantage ? Contactez-nous au 01 76 41 03 44, nous serons heureux de répondre à vos questions !