Phishing

L'hameçonnage est une forme d'attaque d'ingénierie sociale, dans laquelle le criminel usurpe l'identité d'une entité digne de confiance tout en demandant des informations sensibles à la victime.

5 minutes de lecture

5 minutes de lecture

Qu'est-ce que le phishing ?

Avez-vous déjà reçu un courriel, du texte ou autre forme de communication électronique provenant, apparemment, d'une banque ou d'un autre service en ligne, qui vous demandait de « confirmer » vos identifiants de compte, un numéro de carte de crédit ou d'autres informations sensibles ? Si c'est le cas, vous savez déjà à quoi ressemble une attaque de phishing commune. Cette technique est utilisée pour récupérer des données d’utilisateur sensibles et confidentielles qui peuvent être vendues ou utilisées par les attaquants à des fins malveillantes, telles que l'extorsion, le vol d'argent ou le vol d'identité.

Étymologie du terme :

Le concept a été décrit pour la première fois dans un document de conférence de 1987 par Jerry Felix et Chris Hauck intitulé « Système de sécurité : A Hacker's Perspective » (1987 Interex Proceedings 1 : 6). Il a exposé la technique d'un attaquant imitant une entité ou un service de confiance.

Le mot phishing en anglais est un homophone de " fishing " (qui veut dire pêche en français), car ce piratage est basé sur la même logique "appâter-attraper". En français, ce terme est traduit par Hameçonnage qui a d’ailleurs conservé la trace de la référence de la pêche.

Le «ph- » au début est une référence à « phreaks » : un groupe de pirates informatiques qui ont expérimenté et exploré illégalement les frontières des systèmes de télécommunication dans les années 1990.

Comment fonctionne le phishing (hameçonnage) ?

L'hameçonnage existe depuis des années et, à cette époque, les agresseurs ont mis au point une panoplie de méthodes pour cibler les victimes.

La technique d'hameçonnage la plus répandue consiste à usurper l'identité d'une banque ou d'une institution financière par courrier électronique afin d'inciter la victime à remplir un faux formulaire, à le joindre à l'e-mail ou à consulter une page Web demandant la saisie des détails du compte ou des identifiants de connexion.

Par le passé, des noms de domaine mal orthographiés ou trompeurs étaient souvent utilisés à cette fin. Aujourd'hui, les attaquants intègrent des méthodes plus sophistiquées, rendant les liens et les fausses pages très proches de leurs homologues légitimes.

Lire la suite

Les informations volées aux victimes sont généralement utilisées à mauvais escient pour vider leurs comptes bancaires ou sont vendues en ligne.

Des attaques similaires peuvent également être effectuées via des appels téléphoniques (vishing) ainsi que des messages SMS (smishing).

Hameçonnage

Une méthode d'hameçonnage qui est plus avancée, consiste à envoyer des messages apparemment authentiques dans les boîtes de réception de groupes, d'organisations ou même de particuliers. Les auteurs d'e-mails de spearphishing effectuent à l'avance une recherche détaillée sur leurs cibles rendant difficile l'identification du contenu comme frauduleux.

Les attaques ciblées sur des individus spécifiques, en particulier les profils business de haut niveau, tels que les cadres supérieurs ou les propriétaires qui sont qualifiées de    « chasse à la baleine », en raison de la taille de la récompense potentielle (les « méchants » recherchant
« le gros poisson »).

Comment reconnaître le phishing

Un e-mail ou un message électronique contenant des logos officiels ou d'autres signes d'une organisation de bonne réputation ne peuvent pas être pour autant écartés du phishing. Voici quelques conseils qui peuvent vous aider à identifier un message d'hameçonnage.

Lire plus

  1. Salutations génériques ou informelles, un message manquant de personnalisation et de formalité (par exemple "Cher client") est un des signes que vraisemblablement quelque chose va de travers. La même chose s'applique à la pseudo-personnalisation à l'aide de faux numéros de référence aléatoires 
  2. Une demande de renseignements personnels, fréquemment utilisée par les hameçonneurs, habituellement évitée par les banques, les institutions financières et la plupart des services en ligne
  3. Des fautes d'orthographe et de grammaire, des fautes de frappe et phrasé inhabituel indiquent souvent un faux message (mais l'absence de l'un d'entre eux n'est pas une preuve de légitimité)
  4. Une correspondance imprévue, un contact non sollicité d'une banque ou d'un fournisseur de services en ligne est très inhabituel et donc suspect
  5. Un sentiment d'urgence, les messages d'hameçonnage tentent souvent d'induire une action rapide et peu réfléchie
  6. Une offre difficile à refuser ? Si le message semble trop beau pour être vrai, il est certainement faux
  7. Domaine suspect, une banque américaine ou allemande enverrait-elle vraiment un email d'un domaine chinois ?

Comment se protéger du phishing

Pour éviter un appât d’hameçonnage, soyez conscient des indicateurs ci-dessus par lesquels les messages de phishing communiquent généralement.

De simples étapes à suivre

  1. Soyez à jour par rapport aux nouvelles techniques d'hameçonnage : Suivez les médias pour les rapports d'attaques d'hameçonnage, car les attaquants pourraient trouver de nouvelles techniques pour attirer les utilisateurs dans un piège. 
  2. Ne communiquez pas vos informations personnelles : Soyez toujours vigilant si vous recevez un message électronique de la part d’un organisme apparemment de confiance vous demandant vos informations d'identification ou d'autres informations sensibles. Si nécessaire, vérifiez le contenu du message auprès de l'expéditeur ou de l'organisation qu'il semble représenter (en utilisant les coordonnées connues pour être authentiques plutôt que les informations fournies dans le message)
  3. Réfléchissez à deux fois avant de cliquer : si un message suspect fournit un lien ou une pièce jointe, ne cliquez surtout pas dessus et ne le téléchargez pas. Cela pourrait vous mener à un site Web malveillant ou infecter votre appareil avec un logiciel malveillant
  4. Vérifiez vos comptes en ligne régulièrement : même si vous ne soupçonnez pas que quelqu'un essaie de voler vos informations d'identification, vérifier vos comptes bancaires et autres comptes en ligne pour déceler toute activité suspecte. Au cas où…
  5. Utilisez une solution anti-phishing fiable. Appliquez ces techniques et 'ENJOY SAFER TECHNOLOGY' c’est à dire, Profitez d'une technologie plus sûre. 

Exemples notables

L’hameçonnage systématique a commencé en 1995 sur le réseau America Online (AOL). Pour voler des informations d'identification légitimes, les pirates ont contacté les victimes via AOL Instant Messenger (AIM), prétendant souvent être des employés AOL vérifiant les mots de passe des utilisateurs. Le terme "phishing" apparut sur un groupe de discussion Usenet qui se concentrait sur un outil appelé AOHell qui automatisait cette méthode, et le nom était bloqué. Après l'introduction de contre-mesures par AOL en 1997, les pirates se sont rendu compte qu'ils pouvaient utiliser la même technique dans d'autres parties du monde en ligne, et se sont tournés vers l'usurpation d'identité des institutions financières.

Lire plus

L'une des premières grandes tentatives, bien qu'ayant échoué, a eu lieu en 2001, profitant du chaos des attaques terroristes du 11 septembre. Les hameçonneurs ont envoyé des courriels demandant à certaines victimes de faire une vérification d'identité, essayant d'abuser des données obtenues pour voler les détails financiers du service de monnaie électronique e-gold.

Il n'a fallu que trois ans de plus pour que le phishing s'impose dans le monde en ligne et, en 2005, il avait déjà coûté plus de 900 millions de dollars aux utilisateurs américains.

Selon l'étude APWG Global Phishing Survey, plus de 250 000 attaques de phishing uniques ont été observées en 2016, en utilisant un nombre record de noms de domaine malicieusement enregistrés et dépassant la barre des 95 000. Au cours des dernières années, les hameçonneurs ont eu tendance à se concentrer sur les services bancaires, financiers et monétaires, les clients du commerce électronique et les informations sur les réseaux sociaux et les e-mails.

ESET vous propose un antivirus primé

ESET HOME Security Premium

Améliorez votre protection grâce à un gestionnaire de mots de passe, au chiffrement de vos fichiers sensibles et profitez d'une détection des menaces à la pointe de la technologie.

 

La protection ultime pour les entreprises

Protégez les endpoints, les données professionnelles et les utilisateurs de votre entreprise avec la technologie multicouche d'ESET

La protection ultime pour les entreprises

Protégez les endpoints, les données professionnelles et les utilisateurs de votre entreprise avec la technologie multicouche d'ESET