Le phishing : pourquoi est-ce que cela marche toujours autant ?

19 décembre 2022 | Cybersécurité

Aujourd’hui le phishing reste encore une réelle menace et son impact pour les entreprises ne cesse d’augmenter, le phishing est plus ciblé et plus sophistiqué.

Avec une augmentation de mail de phishing de plus 31% au troisièmes trimestre 2022, plus de 204 millions d’emails ont était envoyé et 85% des entreprises ont été victimes d’une attaque de phishing au moins une fois cette année.

La Covid19 n’a fait qu’augmenter les menaces de cyberattaques et les risques pesant sur les entreprises, 47% des salariés se sont déjà fait piéger par des tentatives de phishing lorsqu’ils travaillent depuis leur domicile. Ces chiffres montent que le phishing reste une technique d’attaque largement utilisée par les cybercriminels.

Qu'est ce que le phishing ?

Le Phishing ou hameçonnage est une technique d’ingénierie sociale qui consiste à envoyer un email illégitime prétendant provenir d’un site légitime dans le but d’obtenir des renseignements personnels ou sur le compte d’un utilisateur.
Les attaquants effectuent des attaques de phishing en distribuant des liens malveillants via des canaux de communication ou mails afin d’obtenir des informations privées comme des numéros de compte, des numéros de cartes de crédit, des numéros de portables, de la victime.

Le but du phishing est de soutirer des données sensibles ou de l’argent à la victime, que ce soit une personne ou une entreprise. Pour y parvenir, les cybercriminels mettent en place de faux messages vous incitant à cliquer sur un lien ou à communiquer vos informations personnelles.
Le message ou l’appel semble provenir d’une personne ou d’un organisme que vous connaissez : un proche, une banque, un service administratif, etc.
Ces attaques étant souvent bien réalisées, les utilisateurs « mordent à l’hameçon » et cliquent sur le lien fourni sans hésiter.
Les victimes sont redirigées vers la fausse page Web qui ressemble à un site Web officiel. L’utilisateur fournit toutes les informations sensibles à un faux site Web considéré comme un site Web officiel en raison de sa ressemblance.

L’efficacité et la dangerosité du phishing résident dans le fait que ces attaques n’exploitent pas une faille technique du système, mais bien l’esprit humain.
Tomber dans le piège d’une attaque par phishing ne tient qu’à un clic, et pourtant, les conséquences peuvent être très inquiétantes :

  • Perte financière,
  • Usurpation d’identité,
  • Perte ou fuite de données,
  • Préjudice à la réputation.

Exemples de phishing :

Certaines tentatives de phishing reviennent souvent, utilisant des prétextes crédibles et très efficaces. Voici quelques exemples :

 

  • Activité suspecte sur le compte bancaire : une victime reçoit un message de la part d’une banque lui indiquant une activité suspecte sur son compte, accompagné d’un lien l’invitant à se connecter. Dans la grande majorité des cas, la victime ne dispose pas de compte auprès de l’organisme bancaire qui la contacte.
  • Confirmation de vos informations de carte bancaire : lorsqu’un hacker sait que vous avez effectué un paiement en ligne, il vous envoie un email déguisé du marchand chez qui vous venez d’effectuer votre achat. Dans ce message, il vous est demandé de confirmer vos données de carte de crédit, car elles ont peut-être été compromises. Sans vous en rendre compte, vous avez envoyé vos informations bancaires à un cybercriminel. Ces techniques d’ingénierie social sont fréquemment observées dans des emails de phishing se faisant passer pour les services Amazon ou encore Netflix.
  • Appel à l’aide d’un proche : la victime reçoit un message censé provenir d’un proche, expliquant par exemple qu’elle est coincée à l’étranger et demandant une aide financière urgente. Ces attaques sont souvent faites à l’encontre des personnes âgées en jouant sur les émotions pour obtenir un transfert d’argent.
  • Message du gouvernement : les hackers se font passer pour des institutions gouvernementales et tirent profit de leur autorité en adoptant un ton menaçant, de manière à faire agir le destinataire rapidement.

Les différentes forme de phishing

Il existe différente forme d’attaque de phishing.

Les attaques par email représentent la forme la plus courante de phishing. Ce sont aussi celles qui démontrent la plus grande efficacité. Le phishing par email se présente sous différentes formes, selon la personne ciblée et les techniques utilisées :

 

  • Le spear phishing : Une attaque qui consiste à cibler une personne ou une entreprise, le pirate effectue des recherches sur sa cible, de sorte que le contenu est adapté à sa victime, ce qui rend la tentative de fraude plus crédible. Ce type d’attaque s’est particulièrement développé au sein de réseaux professionnels tels que LinkedIn.
    Le pirate utilise de nombreuses ressources pour obtenir des informations personnelles telles que le numéro de téléphone de la victime, son adresse ou même son numéro de sécurité sociale, voire pour connaître le fonctionnement interne d’une entreprise. Grâce aux informations récoltées, le pirate peut se faire passer pour une personne digne de confiance (ancien collègue, représentant d’un service fréquemment utilisé par la victime,).
    De cette manière, via un email qui semble légitime, il réussit à obtenir des informations confidentielles ou même des transferts d’argent.
  • La fraude au président : Cette cyberattaque consiste à tromper une personne qui occupe une place importante dans l’entreprise pour le convaincre de fournir des informations confidentielles sur l’entreprise. Le pirate informatique pourra alors se faire passer pour cette personne haut placé de l’entreprise comme le directeur général pour convaincre les employés d’effectuer une transaction.
  • Le vishing ou voice phishing : Cette technique de hacking consiste à appeler une victime potentielle en se faisant passer pour le service client d’une entreprise ou pour une organisation officielle telle que les impôts ou encore la police.
    Le hacker dit que la sécurité de votre compte a été compromise, que des tentatives d’utilisation frauduleuse de votre carte bancaire ont été relevées, ou encore que vous avez oublié de payer une amende. Dans ce cas, le pirate informatique joue sur la peur pour inciter la victime à communiquer immédiatement ses informations bancaires ou toute autre donnée sensible.
    Le contact direct avec l’interlocuteur crée un sentiment d’urgence et fausse le jugement de la victime, qui n’a pas le temps de prendre du recul sur la situation.
    De plus, il est très souvent demandé que le paiement s’effectue par virement bancaire ou par le moyen d’une carte prépayée. Il est ainsi impossible de remonter jusqu’au hacker.
  • Le smishing : est une forme de phishing réalisée par SMS. Nombreuses sont les attaques visant à faire cliquer le destinataire sur un lien douteux ou à télécharger une application sur son téléphone. Les prétextes utilisés sont très variés : offre exceptionnelle, perte de l’accès à son compte, colis à récupérer…
  • Calendar phishing : Cette forme plus particulière de phishing consiste à insérer des liens malveillants dans les invitations des applications d’agenda telles que Calendly. Ces liens mènent ensuite les victimes vers un site frauduleux dans le but de récupérer leurs identifiants.
image phishing

Comment faire face à un email suspect ?

Un mail suspect se reconnait par plusieurs caractéristiques.
L’adresse mail de l’expéditeur reprend le nom de l’organisme ou de la société dont l’identité est usurpée mais comporte souvent des anomalies (incohérences dans le logo, le texte, fautes d’orthographe). C’est l’une des premières choses à regarder pour éviter le vol de données personnelles.
Le contenu du mail n’est pas personnalisé (par exemple, il commence par « cher client »).
Le corps du message peut contenir une image à la place du texte pour empêcher la détection du mail par les filtres de courrier indésirable.
Le courriel vous invite dans un délai assez court : À répondre directement au mail en fournissant des données personnelles, à cliquer sur un lien afin de compléter un formulaire, ou à ouvrir une pièce jointe.

Pour éviter de se faire piéger :

  • Ne répondez pas au mail,
  • Ne cliquez sur aucun lien contenu dans le mail / n’ouvrez pas les pièces jointes,
  • Mettez à jour le système de protection de votre ordinateur (antivirus, pare-feu, logiciel anti-espion),
  • Détruisez le mail.

Comment ce protéger face à ces attaques ?

Le moyen le plus fréquent pour un employé de causer une brèche de sécurité est de se laisser prendre au piège d’une attaque de phishing.
Et comme le phishing est plus ciblé et plus sophistiqué que jamais, les employés ont de plus en plus de mal à repérer ces attaques.

Pour cela une sensibilisation à la sécurité combinée à des filtres anti-spam permet de limiter au maximum la portée potentielle des emails de phishing.
Des formations régulières permettent de suivre et de combattre les nouvelles techniques de phishing.

La clé de la création et du maintien d’une équipe sensibilisée à la sécurité réside dans une formation cohérente et à long terme des utilisateurs, dans lequel il a été prouvé qu’une formation cohérente à la sensibilisation à la sécurité réduisait la sensibilité des employés au phishing de 60% à 10% au cours des 12 premiers mois.
La cohérence et l’engagement sont essentiels La formation à la sensibilisation à la sécurité est un excellent moyen de réduire le cyber-risque humain, 80% des entreprises constatent une réduction de la vulnérabilité au phishing lorsqu’elles forment leur personnel.
Toutefois, pour que votre équipe soit vraiment résiliente face à l’évolution des menaces, des politiques doivent être mises en œuvre et des évaluations pratiques, telles que des simulations de phishing, doivent avoir lieu régulièrement.

Non seulement les simulations de phishing permettent aux entreprises d’évaluer la vulnérabilité humaine aux attaques courantes, mais elles offrent également la possibilité de renforcer la formation des utilisateurs et de mesurer les progrès de chacun.
Idéalement, les simulations devraient être effectuées tous les trimestres afin de tester les attaques nouvelles et tendances, tout en évaluant le niveau de risque des nouveaux.

Les escroqueries par phishing les plus courantes à tester sur votre personnel sont :

  • Nouvelle demande de Microsoft Teams
  • Alerte Covid-19
  • Mot de passe Microsoft 365
  • Facture à payer
  • Remboursement d’impôts
  • Carte-cadeau d’Amazon
  • Messagerie bloquée

La sécurité des mails est aussi très importante pour se protéger face au phishing.

La sécurité des mails décrit différentes techniques qui permet de protéger les informations sensibles dans les communications par mail et les comptes contre les accès non autorisés, la perte ou la compromission. Les emails sont également un point d’entrée commun pour les attaquants qui cherchent à prendre pied dans un réseau d’entreprise et à obtenir des données d’entreprise précieuses.

Pour vous défendre des pirates et protéger votre boîte de réception, une stratégie efficace de sécurité des emails vous permettra facilement de protéger tous vos comptes.
Si vous utilisez un service chiffré et si vous êtes équipé d’un logiciel de sécurité des emails, il est assez simple d’éviter tout pistage et tout accès non souhaité à vos données.

Le chiffrement de la messagerie électronique consiste à chiffrer ou à déguiser le contenu des messages électroniques afin de protéger les informations potentiellement sensibles contre la lecture par des personnes autres que les destinataires prévus.
Le chiffrement du courrier électronique comprend souvent une authentification.

Voici quelques bonnes pratiques pour optimiser la sécurité de vos emails :

  • Renforcez vos mots de passe
  • Activez l’authentification à deux facteurs
  • Utilisez des services de filtrage de spam et un logiciel de sécurité pour vos emails
  • Évitez les réseaux Wi-Fi gratuits
  • Gérer les applications connectées
cybersécurité

La lutte contre les cyberattaques, et en particulier contre les mails frauduleux, est un combat complexe mais indispensable. Le phishing et ses dérivés font partie des attaques les plus rentables à ce jour, et restent celles qui sont les moins bien détectées. Sécuriser votre entreprise contre les cybers attaques est aujourd’hui essentiel.

WINIDE sécurise votre entreprise contre les menaces connues et inconnues

N’attendez pas d’être une victime !