Phishing

5 minutes de lecture

Le phishing est une forme d'attaque par ingénierie sociale, où le criminel se fait passer pour une entité de confiance tout en demandant des informations sensibles à la victime.

Qu'est-ce que le phishing ?

Une technique utilisée pour obtenir des données utilisateur précieuses qui peuvent être vendues ou mal utilisées par les attaquants à des fins néfastes, telles que l'extorsion, le vol d'argent ou le vol d'identité.

Avez-vous déjà reçu un e-mail, un message texte ou une autre forme de communication électronique semblant provenir d'une banque ou d'un autre service en ligne populaire, demandant de "confirmer" vos identifiants de compte, un numéro de carte de crédit ou d'autres informations sensibles ? Si oui, vous savez déjà à quoi ressemble une attaque de phishing courante.

Le concept a été décrit pour la première fois dans un article de conférence de 1987 par Jerry Felix et Chris Hauck intitulé “System Security: A Hacker’s Perspective” (1987 Interex Proceedings 1:6). Il discutait de la technique d'un attaquant imitant une entité ou un service réputé. Le mot lui-même est un homophone de “fishing” pour les cibles – car il utilise la même logique de “appât-capture”. Le “ph-” au début fait référence aux “phreaks”, un groupe de hackers qui ont expérimenté et exploré illégalement les frontières des systèmes de télécommunication dans les années 1990.

Passez le mot et partagez en ligne

Comment fonctionne le phishing ?

Le phishing existe depuis des années et pendant ce temps, les attaquants ont développé un large éventail de méthodes pour cibler les victimes.

La technique de phishing la plus courante consiste à se faire passer pour une banque ou une institution financière par e-mail, afin d'attirer la victime à remplir un faux formulaire dans le message e-mail ou en pièce jointe, ou à visiter une page web demandant l'entrée des détails du compte ou des identifiants de connexion.

Les informations volées aux victimes sont généralement mal utilisées pour vider leurs comptes bancaires ou sont vendues en ligne.

Des attaques similaires peuvent également être réalisées par appels téléphoniques (vishing) ainsi que par SMS (smishing).

Spearphishing

Une méthode de phishing plus avancée où de prétendus messages de phishing authentiques atterrissent dans les boîtes de réception de groupes, d'organisations ou même d'individus spécifiques. Les auteurs d'emails de spearphishing effectuent des recherches détaillées sur leur(s) cible(s) à l'avance, rendant difficile l'identification du contenu comme frauduleux.

Whaling

Les attaques ciblées sur des individus spécifiques, principalement des personnalités d'affaires haut de gamme – tels que des directeurs ou des propriétaires – sont qualifiées de “whaling”, en raison de l'ampleur du gain potentiel (les mauvais acteurs s'attaquant aux “gros poissons”).

Comment reconnaître le phishing

Dans le passé, des noms de domaine mal orthographiés ou trompeurs étaient souvent utilisés à cette fin. Aujourd'hui, les attaquants intègrent des méthodes plus sophistiquées, rendant les liens et les pages frauduleuses très similaires à leurs homologues légitimes.

Un e-mail ou un message électronique peut contenir des logos officiels ou d'autres signes d'une organisation réputée et provenir pourtant de phishers. Voici quelques indications qui peuvent vous aider à identifier un message de phishing.

Salutations génériques ou informelles – Si un message manque de personnalisation (par exemple "Cher client") et de formalité, il y a probablement un problème. Il en va de même pour la pseudo-personnalisation utilisant des numéros de références aléatoires et faux.
Une demande d'informations personnelles – Souvent utilisée par les phishers, généralement évitée par les banques, les institutions financières et la plupart des services en ligne.
Mauvaise grammaire – Les fautes d'orthographe, les erreurs typographiques et les formulations inhabituelles indiquent souvent une fraude (mais l'absence de ces éléments n'est pas une preuve de légitimité).
Une correspondance inattendue – Un contact non sollicité d'une banque ou d'un fournisseur de services en ligne est très inhabituel et donc suspect.
Un sentiment d'urgence – Les messages de phishing tentent souvent d'inciter à une action rapide et moins réfléchie.
Une offre que vous ne pouvez pas refuser ? – Si le message semble trop beau pour être vrai, il l'est presque certainement.
Domaine suspect – Une banque américaine ou allemande enverrait-elle vraiment un e-mail depuis un domaine chinois ?

Comment se protéger contre le phishing

Pour éviter un appât de phishing, soyez attentif aux indicateurs ci-dessus par lesquels les messages de phishing
se révèlent couramment. Suivez ces étapes simples :

Soyez conscient des nouvelles techniques de phishing

Suivez les médias pour les rapports d'attaques de phishing, car les attaquants pourraient développer de nouvelles techniques pour piéger les utilisateurs.

Ne divulguez pas vos informations personnelles

Restez toujours vigilant si un message électronique d'une entité apparemment fiable demande vos identifiants ou d'autres détails sensibles.

Pensez-y à deux fois avant de cliquer

Si un message suspect fournit un lien ou une pièce jointe, ne cliquez pas et ne téléchargez pas. Cela pourrait vous diriger vers un site web malveillant ou infecter votre appareil avec des logiciels malveillants.

Vérifiez régulièrement vos comptes en ligne

Même si vous ne soupçonnez pas que quelqu'un essaie de voler vos identifiants, vérifiez vos comptes bancaires et autres comptes en ligne pour détecter une activité suspecte. Juste au cas où.

Utilisez une solution anti-phishing fiable.

Appliquez ces techniques et 'Profitez d'une technologie plus sûre'.

Protégez-vous

Exemples notables

Le phishing systématique a commencé dans le réseau America Online (AOL) en 1995. Pour voler des identifiants de compte légitimes, les attaquants contactaient les victimes via AOL Instant Messenger (AIM), prétendant souvent être des employés d'AOL vérifiant les mots de passe des utilisateurs. Le terme “phishing” est apparu sur un groupe de discussion Usenet qui se concentrait sur un outil appelé AOHell qui automatisait cette méthode, et le nom est resté. Après qu'AOL ait introduit des contre-mesures en 1997, les attaquants ont réalisé qu'ils pouvaient utiliser la même technique dans d'autres parties du monde en ligne – et ont commencé à se faire passer pour des institutions financières.

Une des premières grandes tentatives, bien que ratée, a eu lieu en 2001, profitant du chaos des attentats terroristes du 11 septembre. Les phishers ont envoyé des e-mails demandant à certaines victimes de vérifier leur identité, essayant d'abuser des données obtenues pour voler des détails financiers du service de monnaie numérique e-gold.

Il a fallu seulement trois ans de plus pour que le phishing prenne un pied solide dans le monde en ligne et d'ici 2005, il avait déjà coûté plus de 900 millions de dollars aux utilisateurs américains.

Selon le Rapport Mondial sur le Phishing de l'APWG, plus de 250 000 attaques de phishing uniques ont été observées en 2016, utilisant un nombre record de noms de domaine enregistrés de manière malveillante – dépassant la barre des 95 000. Au cours des dernières années, les phishers se sont généralement concentrés sur les services bancaires, financiers et monétaires, ainsi que sur les clients de commerce électronique et les identifiants de réseaux sociaux et d'e-mails.

ESET vous protège contre le phishing

ESET HOME Security Premium

Protection puissante et facile à gérer qui bloque les arnaques, crypte les données sensibles et sécurise les dossiers et les transactions en ligne. Inclut un VPN intégré pour une meilleure confidentialité. Protège les appareils Windows, macOS, Android et iOS.

Acheter

Essayer gratuitement