Qu'est-ce que l'hameçonnage?

En savoir plus sur l'hameçonnage et comment l'éviter

Qu'est-ce que l'hameçonnage?

Avez-vous déjà reçu un courriel, un texto ou une autre forme de communication électronique semblant provenir d'une banque qui vous demandait sois disant de confirmer des informations confidentielles, telles que votre NIP ou votre numéro de carte de crédit? Si c'est le cas, vous avez déjà eu affaire à une attaque courante d'hameçonnage (ou phishing). Cette méthode d'ingénierie sociale est utilisée pour obtenir des données d'utilisateur précieuses qui peuvent être vendues ou utilisées par les attaquants à des fins malveillantes, telles que l'extorsion, le vol d'argent ou vol d'identité.

Étymologie

Le concept de phishing, a été définit pour la première fois en 1987 dans un document de conférence de Jerry Felix et Chris Hauck intitulé Sécurité du système : A Hacker's Perspective" (1987 Interex Proceedings 1:6). Il y était question de la technique d'un attaquant imitant une entité ou un service de bonne réputation. Notons la référence à la pêche, puisqu'il s'agit d'un homophone du terme fishing, signifiant pêche. Le préfixe  «  ph-» fait référence à «  phreaks », un groupe de hackers qui ont expérimenté et exploré illégalement les frontières des systèmes de télécommunication dans les années 1990.

Quant à son équivalent français, « Hameçonnage » il s'agit d'un néologisme québécois. C'est l'Office québécois de la langue française qui a initié son utilisation, dès 2004. Ici encore, la référence à la pêche est évidente, puisque le mot est dérivé du hameçon utilisé comme appât pour cette activité.

Phishing image

Comment cela fonctionne-t-il ?

Le phishing existe depuis des décennies et, au fil du temps, les cyber-attaquants ont développé des méthodes plus sophistiquées pour cibler leurs victimes.

La technique d'hameçonnage la plus courante consiste à se faire passer pour une banque ou une institution financière par le biais d'un courriel incitant la victime à divulguer les détails de son compte ou ses identifiants de connexion.

Par le passé, les noms de domaine mal orthographiés ou trompeurs étaient souvent utilisés à cette fin. Aujourd'hui, les cyber-attaquants recourent à des méthodes plus créatives qui incluent des liens réalistes et des pages web qui ressemblent beaucoup à leurs homologues légitimes. C'est notamment le cas de cette infâme arnaque se faisant passer pour  l'Agence canadienne du revenu.

En savoir plus

Les informations volées aux victimes sont généralement utilisées à mauvais escient pour vider leurs comptes bancaires ou sont vendues en ligne.

Des attaques similaires peuvent également être effectuées via appels téléphoniques (vishing) ainsi que messages SMS (smishing).

Harponnage

Une méthode d'hameçonnage plus avancée par laquelle des messages en apparence authentiques atterrissent dans les boîtes de réception de groupes, d'organisations ou même d'individus spécifiques. Les auteurs de messages électroniques d'harponnage (aussi appelé spearphishing) effectuent des recherches détaillées sur leur(s) cible(s) à l'avance, ce qui rend difficile l'identification du contenu comme étant frauduleux.

Ces attaques ciblent souvent des personnes spécifiques, pour la plupart très en vue ou disposant de pouvoirs particuliers - tels que des cadres supérieurs ou des propriétaires d'entreprises. C'est pourquoi on parle de harponnage, puisqu'à l'image des harponneurs en mer, les acteurs malveillants s'attaquent ici à de gros poissons. 

Reconnaître une tentative d'hameçonnage

Un courriel ou un message électronique peut contenir des logos officiels ou d'autres signes d'une organisation réputée et néanmoins constituer une tentative d'hameçonnage. Voici quelques conseils qui peuvent vous aider à repérer ces arnaques.

En savoir plus

  1. Salutations générales ou informelles - Si un message paraît très impersonnel (débutant par exemple par « Cher client ») ou trop familier, vous devriez vous poser davantage de questions;
  2. Une demande d'informations personnelles - Les banques, les institutions financières et la plupart des services en ligne ne vous demanderont généralement pas de fournir vos informations personnelles en ligne, mais c'est une méthode de prédilection des arnaqueurs.
  3. Grammaire médiocre - Les fautes d'orthographe, les coquilles et les formulations inhabituelles indiquent souvent qu'il s'agit d'une tentative de fraude. Néanmoins, l'absence de fautes ne constitue pas un gage de légitimité pour autant.
  4. Correspondance inattendue - Un contact non sollicité d'une banque ou d'un fournisseur de services en ligne est très inhabituel et donc suspect.
  5. Une offre que vous ne pouvez pas refuser - Si le message semble trop beau pour être vrai, il l'est quasi-assurément.
  6. Domaine suspect - Une banque canadienne enverrait-elle vraiment un courriel à partir d'un domaine étranger?

    Protégez-vous

    Pour éviter de servir mordre à l'hameçon, prenez connaissance des signes ci-dessus, qui permettent souvent de repérer les tentatives d'hameçonnage.

    Suivez ces étapes simples

    1. Soyez au courant des nouvelles techniques d'hameçonnage: Suivez les actualités entourant les attaques de phishing, car les techniques des acteurs malveillants évoluent constamment en vue d'inciter leurs victimes à mordre à l'hameçon. 
    2. Ne donnez pas vos informations personnelles : Soyez toujours vigilant si un message électronique provenant d'une entité apparemment digne de confiance vous demande vos références ou d'autres détails sensibles. Si nécessaire, vérifiez le contenu du message avec l'expéditeur ou l'organisation qu'il semble représenter (en utilisant des coordonnées connues comme authentiques plutôt que les détails fournis dans le message).
    3. Pensez-y deux fois avant de cliquer : Si un message suspect comprend un lien ou une pièce jointe, ne cliquez pas et ne téléchargez pas. Cela pourrait vous conduire à un site web malveillant ou infecter votre appareil avec un logiciel malveillant.
    4. Vérifiez régulièrement vos comptes en ligne : Même si vous ne soupçonnez pas que quelqu'un essaie de vous voler vos identifiants, vérifiez vos comptes bancaires et autres comptes en ligne pour détecter toute activité suspecte. Juste au cas où...
    5. Utilisez une solution anti-phishing fiable. Appliquez ces techniques, afin de profiter de la technologie en toute sécurité. 

    Formation à la cybersécurité

    FORMATION GRATUITE DE SENSIBILISATION À LA CYBERSÉCURITÉ EN LIGNE

    Améliorez les connaissance en cybersécurité de votre équipe grâce à une formation dispensée par les experts en sécurité d'ESET.

    En savoir plus

    ESET vous protège contre l'hameçonnage

    ESET Smart Security Premium

    Une sécurité Internet optimale pour des performances optimales

    Free Download

    ESET Smart Security Premium

    La protection ultime de votre sécurité en ligne

    ESET Smart Security Premium

    La protection suprême, pour les utilisateurs qui veulent le nec plus ultra.
    Toute votre activité en ligne, enfin entre de bonnes mains.

    Téléchargement gratuit