Introducing G2.ai, the future of software buying.Try now
Catégorie Email anti-spam

Qu'est-ce que le phishing ? Comment reconnaître les attaques et les prévenir

18 Février 2022
Mara Calvello
MC
par Mara Calvello

Dans cet article

Dans cet article

Il n'y a jamais de point final dans la lutte contre la fraude en ligne.

Les hackers malveillants cherchent constamment des moyens d'exploiter les vulnérabilités et de mener des attaques de phishing. Le phishing est une tentative de tromper une personne pour qu'elle divulgue des informations sensibles que les attaquants utilisent pour le vol d'identité ou un autre type de fraude. Ils se présentent sous diverses formes et peuvent vous tromper avec de faux e-mails ou appels téléphoniques, essayant de voler vos données personnelles ou financières.

Les cybercriminels utilisent principalement le phishing pour voler des informations : coordonnées bancaires, numéros de carte de crédit, identifiants de compte, mots de passe, etc. Le danger de l'exploitation de ces informations est qu'elle peut conduire à un vol d'identité et à une perte financière.

De nombreuses organisations utilisent des logiciels anti-spam pour e-mails pour protéger leurs employés contre les campagnes de phishing.

Qu'est-ce que le phishing ?

Le phishing est une méthode d'obtention d'informations utilisateur par le biais de communications frauduleuses ciblées directement sur les personnes. Cela se fait généralement par le biais d'e-mails frauduleux déguisés en e-mails légitimes qui trompent les gens pour qu'ils révèlent des informations sensibles.

Essentiellement, l'objectif d'un cybercriminel réalisant une escroquerie par phishing est de vous tromper, généralement en utilisant l'e-mail comme arme, pour que vous leur donniez les informations qu'ils souhaitent. Les attaquants trompent les destinataires pour qu'ils ouvrent des liens malveillants, entraînant des infections par des logiciels malveillants ou des rançongiciels.

Les attaques de phishing peuvent faire partie d'une violation de données plus importante, telle qu'une menace persistante avancée (APT). Les hackers malveillants trompent les utilisateurs avec des tentatives de phishing pour accéder au réseau fermé d'une organisation et à des informations sensibles. Les entreprises devraient former leur personnel périodiquement pour s'assurer que les employés et les sous-traitants connaissent les techniques modernes de phishing.

Par exemple, un e-mail de phishing peut inciter un destinataire à cliquer sur un lien malveillant, ouvrir une pièce jointe d'image ou télécharger un fichier. Il comporte généralement un élément d'urgence, de peur ou parfois de cupidité. Vous devez être prudent avec les e-mails ou les messages de phishing reçus par le biais d'un service de messages courts (SMS) qui stimulent l'une de ces émotions en vous.

Comment fonctionne le phishing

En général, les attaques de phishing reposent sur diverses méthodes de réseautage social appliquées à l'e-mail ou à d'autres méthodes de communication, comme les messages texte ou les plateformes de messagerie instantanée. Les phishers peuvent également utiliser l'ingénierie sociale pour découvrir des informations sur la victime, y compris où elle travaille, son titre de poste, ses passe-temps, ses intérêts, ses activités, etc.

Les attaquants utilisent ces informations pour composer un message e-mail crédible. Ces e-mails malveillants commencent généralement par un lien ou une pièce jointe à cliquer ou à ouvrir. De plus, le contenu est généralement mal écrit avec une grammaire incorrecte.

Cela se passe comme suit : vous recevez un message qui semble provenir d'une personne que vous connaissez ou d'une organisation que vous reconnaissez. Les attaquants arment ce message avec une pièce jointe ou un lien malveillant qui abrite un logiciel de phishing.

Il vous incite à installer des logiciels malveillants sur votre appareil ou vous redirige vers un faux site Web qui vous trompe pour que vous saisissiez vos informations personnelles, telles que des mots de passe ou des informations de carte de crédit.

Ou, vous recevrez un e-mail du PDG de votre entreprise, avec l'adresse e-mail légèrement mal orthographiée. Le message dit : "Donnez-moi votre numéro, j'ai besoin que vous accomplissiez une tâche pour moi." Comme c'est le PDG de votre entreprise (ou du moins vous le pensez), vous répondez avec votre numéro de téléphone, pour ensuite recevoir un texto vous demandant d'accomplir une tâche qui n'a pas de sens, comme commander un tas de cartes-cadeaux Amazon. Je ne parle pas d'expérience ou quoi que ce soit.

Vous voulez en savoir plus sur Logiciel anti-spam pour e-mails ? Découvrez les produits Email anti-spam.

Types d'attaques de phishing

Tout comme il y a beaucoup de poissons dans la mer, il existe plusieurs types de tentatives de phishing dont vous pourriez être victime.

  • Spear phishing : Le spear phishing est une escroquerie par e-mail ciblée vers un individu, une entreprise ou une organisation pour voler des données personnelles telles que des informations financières ou des identifiants de compte pour tromper la personne en lui faisant croire qu'elle a un lien réel avec l'expéditeur.
  • Attaque de whaling : Le whaling est similaire au spear phishing, sauf à une échelle beaucoup plus grande. Ces e-mails ont généralement une ligne d'objet concernant une affaire "critique" et sont envoyés à quelqu'un de haut placé dans la hiérarchie d'une entreprise ou d'une organisation spécifique. L'objectif des attaques de whaling est d'infecter un ordinateur avec des logiciels malveillants et d'obtenir les identifiants de messagerie professionnelle des cadres pour effectuer des virements frauduleux.
  • Fraude au PDG : Lorsqu'une attaque de whaling réussit, une fraude au PDG se produit. Les attaquants usurpent avec succès et abusent de l'e-mail du PDG pour approuver des virements vers une institution financière de leur choix.
  • Pharming : Cette méthode découle d'une manipulation du cache du système de noms de domaine (DNS). Internet utilise des serveurs DNS pour convertir les noms de sites Web en adresses IP numériques. L'attaquant cible ensuite le serveur DNS et modifie l'adresse IP, permettant à l'attaquant de rediriger les utilisateurs vers un site Web malveillant, même s'ils saisissent l'URL correcte.
  • Phishing vocal : Également connu sous le nom de vishing, c'est une forme de phishing par le biais de médias de communication vocale. En utilisant un logiciel de synthèse vocale, un attaquant laissera un message vocal informant la victime d'une activité suspecte sur son compte bancaire ou de crédit et l'incite à répondre pour vérifier son identité. Cela conduit à un vol d'identité, après quoi les escrocs utilisent les numéros de carte de crédit compromis à des fins malveillantes.

Comment repérer une tentative de phishing

Il peut être plus difficile que vous ne le pensez de reconnaître un e-mail de phishing, car ils sont généralement envoyés par une entreprise bien connue ou quelqu'un (que vous pensez) que vous connaissez. Surtout s'il inclut le logo correct de l'entreprise, le rendant légitime. Les attaquants structurent les liens pour qu'ils paraissent aussi authentiques que possible, avec seulement un ou deux caractères de différence. Voici les signes d'alerte que vous devez surveiller pour ne pas être victime d'une attaque de phishing.

  • Le lien inclut un sous-domaine ou une URL mal orthographiée.
  • Il est envoyé depuis un compte Gmail au lieu d'un compte e-mail d'entreprise ou professionnel.
  • Le message possède un sentiment d'urgence ou de peur.
  • Le message vous demande de vérifier des informations personnelles, telles qu'un mot de passe.
  • Il est mal écrit avec des fautes d'orthographe et de grammaire.
  • Le message ne vous est pas adressé personnellement et commence par "Cher client".
  • Le contenu est trop beau pour être vrai, comme dire que vous avez gagné un iPhone ou un prix somptueux.
  • Le message contient des menaces, impliquant que des circonstances désastreuses surviendront si vous ne suivez pas les instructions.

En plus de savoir quels drapeaux rouges surveiller, vous pouvez également aller un peu plus loin en utilisant des filtres anti-spam pour analyser les messages e-mail, le contenu et les pièces jointes à la recherche de menaces potentielles.

Ci-dessous se trouvent les principaux logiciels anti-spam pour e-mails que les organisations peuvent utiliser pour se protéger contre les attaques de phishing par e-mail.

  1. Proofpoint Email Security and Protection

  2. Avanan Cloud Email Security

  3. SaneBox

  4. SpamTitan Email Security

  5. Everest (anciennement 250ok et Return Path)

*Ce sont cinq des principaux logiciels anti-spam pour e-mails du rapport G2 Winter 2022 Grid.

Exemples d'attaques de phishing

Les attaquants modernes comprennent comment les organisations protègent leurs actifs. Les hackers conçoivent de nouvelles façons d'accéder aux systèmes en trompant ces défenses, et peut-être le moyen le plus simple est de tromper les humains. Les humains sont le maillon le plus faible de la cybersécurité de toute organisation.

Ci-dessous se trouvent quelques exemples d'attaques de phishing que les hackers malveillants réalisent pour accéder à des informations sensibles.

  • Les attaquants se font passer pour le PDG d'une entreprise ou l'équipe de direction supérieure exigeant une attention urgente à un rapport ou une pièce jointe. Les employés réagissent rapidement aux e-mails suspects par peur ou par sens des responsabilités envers l'entreprise et sa direction.
  • Des e-mails de réinitialisation de mot de passe tombent dans votre boîte de réception pour vous rappeler un mot de passe expirant.
  • Les hackers malveillants se font passer pour votre collègue et envoient des e-mails concernant un document sensible avec votre nom dans le bac de l'imprimante. Ils peuvent joindre une photo fictive qui peut déployer des logiciels malveillants si elle est téléchargée.
  • Parfois, les attaquants peuvent vous rediriger vers une page malveillante qui ressemble exactement à la véritable et vous forcer à entrer vos identifiants utilisateur. D'autre part, les attaquants peuvent exploiter des vulnérabilités et détourner des cookies de session par le biais de scripts malveillants activés, entraînant une attaque de type cross-site scripting (XSS) réfléchi.

Bien que le phishing touche les gens ordinaires, il y a eu des attaques qui ont fait des vagues dans les médias grand public.

Par exemple, le Federal Bureau of Investigation (FBI) a publié un avertissement le 16 février 2022 concernant les réseaux de sous-traitants américains ciblés pour accéder à des données sensibles de défense. La Cybersecurity and Infrastructure Security Agency (CISA) a observé que les acteurs de la menace utilisaient le spear phishing, la collecte d'identifiants et les attaques par force brute contre des réseaux et des comptes faibles. Le FBI a ajouté : "les mauvais acteurs profitent de manière non éthique des employés non méfiants, des systèmes non corrigés et des mots de passe simples pour obtenir un accès initial avant de se déplacer latéralement à travers le réseau pour établir une persistance et exfiltrer des données."

Comment prévenir les attaques de phishing

Ces dernières années, le phishing est devenu un problème majeur pour les entreprises. À mesure que les e-mails de phishing deviennent plus difficiles à identifier, ils sont susceptibles de passer entre les mailles du filet lorsqu'ils sont envoyés dans les boîtes de réception des employés.

Bien que les tentatives de spam et de phishing puissent être difficiles à identifier, certaines différences clés peuvent vous aider à séparer le vrai du faux. Les e-mails de spam peuvent ressembler à des e-mails d'entreprise légitimes avec des logos officiels ou un libellé qui les rend dignes de confiance, mais ils auront souvent des fautes d'orthographe dans les en-têtes ou les lignes d'objet. Les e-mails de phishing sont plus formels dans leur langage mais incluent des irrégularités qui semblent suspectes.

Par exemple, un e-mail demandant un virement urgent serait assez inhabituel s'il était envoyé par le service financier d'une entreprise. L'adresse e-mail utilisée peut également être très différente.

C'est une idée fausse que le phishing se produit généralement chez les personnes qui utilisent trop Internet. Ce n'est pas le cas. N'importe qui peut être victime de phishing, même si vous n'utilisez Internet que rarement. La meilleure façon de vous protéger contre la fraude en ligne est de garder votre ordinateur en sécurité et de suivre quelques étapes de base lorsque vous êtes en ligne.

Soyez conscient des liens sur lesquels vous cliquez

Assurez-vous que le lien sur lequel vous êtes sur le point de cliquer mène directement au site Web qu'il prétend mener. Méfiez-vous des liens qui ressemblent à d'autres, mais qui ont un nom de domaine étrange dans l'URL (le nom de domaine est l'adresse du site Web). Cela peut indiquer une escroquerie par phishing.

Évitez de divulguer des informations personnelles

Si quelqu'un vous appelle ou vous envoie un e-mail et vous demande des informations personnelles, assurez-vous qu'il prouve son identité. Il est facile pour un imposteur ou un hacker de prétendre être quelqu'un d'autre, alors ne faites jamais confiance à quelqu'un à moins que vous ne le connaissiez personnellement ou que vous vous soyez assuré qu'il est légitime.

Utilisez des sites Web sécurisés

Lorsque vous faites des achats en ligne, assurez-vous d'utiliser un site Web avec des fonctionnalités de sécurité comme une barre verte en bas de l'écran ou https:// devant. HTTPS fait référence au protocole de transfert hypertexte sécurisé qui facilite la communication sécurisée sur un réseau informatique.

Personne ne veut être l'appât

Surtout en ce qui concerne une attaque de phishing, cela peut arriver à n'importe qui, alors assurez-vous d'être extrêmement prudent avant d'ouvrir un e-mail mystérieux et de cliquer sur un lien. Avec la quantité d'informations personnelles auxquelles vous pouvez accéder en ligne, il est plus important que jamais de prendre des mesures supplémentaires pour vous assurer de ne pas devenir l'appât d'une cyberattaque.

En savoir plus sur les différents types de attaques cybernétiques et comment protéger votre entreprise contre elles.

Mara Calvello
MC

Mara Calvello

Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.

Explorer d'autres articles G2

Augmenter
Meilleure plateforme pour les stratégies basées sur les comptes dans le secteur des services
Logiciel PRM avec les meilleures critiques
Solutions de marketing par e-mail