La semaine dernière je reçois un mail qui m’informe d’une tentative de connexion frauduleuse sur mon compte bancaire. Le mail imite parfaitement mon organisme bancaire et me propose un lien pour mettre à jour mes données personnelles. Je clique et j’arrive sur la page de ce que je pense être le site de ma banque… Le site est tout aussi bien imité, mais l’URL (adresse du site) du site ne trompe pas, je suis bien confronté à une tentative de récupération de mes données personnelles ou hameçonnage. La seule chose à faire à ce moment est de quitter la page.
Parmi les risques que nous pouvons trouver lorsque nous naviguons sur Internet il y a le « phishing » (ou hameçonnage en français), une technique utilisée par les cybercriminels pour obtenir les informations personnelles, données sensibles et bancaires des utilisateurs en usurpant l’identité d’un organisme tel qu’une banque, un site de vente en ligne, un site de téléphonie mobile, un réseau social ou bien d’autres encore.
Comment fonctionne le phishing ?
Généralement, les cybercriminels captent votre attention avec un prétexte alarmant pour vous rediriger vers des pages web frauduleuses qui prétendent être légales et provenant du service qu’ils imitent. Tout système permettant l’envoi de messages peut être utilisé comme moyen pour tenter de voler vos informations personnelles. Dans certains cas, des tentatives de vol de vos informations personnelles peuvent arriver par e-mails, SMS ou MMS (on parle de smishing), de la même manière que par n’importe quel outil de messagerie instantanée (WhatsApp, Viber, etc.) ou réseau social.
Qu’est-ce que le hameçonnage d’URL ?
L’URL Phishing est une des formes d’hameçonnage les plus courantes. Il fournit un faux lien qui dirige ses victimes vers une page frauduleuse. Les URL de phishing sont associées à de faux sites web, car la page cible est un site web contenant des informations trompeuses. Il peut s’agir d’une fausse page Facebook avec un faux champ de connexion ou d’une fausse page de messagerie avec des caractéristiques similaires.
Les attaques par hameçonnage sont probablement les défis de sécurité les plus connus et courants auxquels sont confrontées les entreprises pour assurer la sécurité de leurs données. Qu’il s’agisse d’accéder à des mots de passe ou d’autres données sensibles, multiples sont les dégâts que peuvent causer de telles attaques, un phishing bien exécuté peut mettre à mal vos serveurs, compromettre les boites mails de vos collaborateurs et faire fuiter vos données sur Internet.
Nous avons donc décidé de vous écrire cet article afin de mieux vous aider à identifier ces mails frauduleux qui par un léger manque de vigilance, peuvent véritablement mettre à mal votre activité et générer de véritables problématiques compliquées à résoudre.
Techniques de phishing
Les tentatives de phishing commencent régulièrement par un e-mail dont le but est d’extraire les données que vous entrerez dans le lien frauduleux qui est inclus dans le mail qui vous est envoyé. Il s’agit là de la pratique la plus commune. Soyez vigilants, car certains hackers peuvent aller jusqu’à imiter entièrement l’en-tête de mail d’un organisme connu, ainsi que l’apparence du site de l’organisme en question, sans pouvoir malgré tout, pouvoir imiter son adresse.
Vérifier l’URL du lien sur lequel vous cliquez sera votre meilleur moyen de savoir si vous avez à faire à un mail frauduleux, même si le hacker tente d’imiter l’URL d’un organisme, elle comportera des fautes d’orthographe et ne sera jamais à la lettre près la même adresse URL que celle de l’organisme qu’il imite. Si tel est le cas, quittez le lien, et n’entrez aucune donnée dessus.
Les fichiers compromis, par le biais de fichiers .exe, de documents Microsoft Office et de PDF peuvent aussi introduire des ransomwares ou d’autres logiciels malveillants. Un fichier compromis peut s’avérer lui aussi très dangereux, car il a la possibilité de compromettre toute votre machine, puis le réseau auquel vous êtes raccordé ensuite.
Assurez-vous que les fichiers que vous partagent vos collaborateurs sont sûrs, ne téléchargez pas de fichiers d’une source inconnue et installez sur vos environnements de travail, des solutions de sécurité permettant de vérifier les fichiers avant tout téléchargement.
Types d’attaques par hameçonnage
Certains types particuliers d’astuces de hameçonnage utilisent des stratégies plus désignées pour agresser certaines personnes ou associations.
Le « Spearphishing » : Le « harponnage » est un procédé aux tentatives de phishing bien plus personnalisées et moins génériques que les tentatives phishing habituelles. Par le biais du spearphishing, le hacker rassemble des informations sur l’entreprise et son cadre, afin de constituer des emails personnalisés et ciblés, susceptibles d’être moins suspicieux, en faisant référence à un collaborateur en le nommant, par exemple.
Le « Clone Phishing » : Le clone phishing, comme son nom l’indique, a pour but d’imiter entièrement le ou les mails de vos collaborateurs en se contentant de remplacer certains fichiers ou liens du dit mail. Il est important d’être vigilant, car le mail frauduleux peut même contenir l’entête d’un de vos collègues !
Le « Whale Phishing » : Le « Whale phishing » (ou littéralement « chasse à la baleine ») cible précisément la hiérarchie d’une entreprise. L’intérêt étant d’avoir accès à un ordinateur qui contient des données sensibles, ainsi que des droits d’accès conséquents sur les réseaux de l’entreprise.
Que faire si vous détectez une tentative de phishing ?
- Vous ne répondez surtout pas à l’expéditeur.
- Si vous avez accédé au lien frauduleux, n’entrez aucune information dans aucun champ ou formulaire, et quittez la page.
- Avertissez vos collaborateurs, votre environnement de travail et supprimez le mail.
Comment le prévenir ?
Soyez vigilants à l’égard de mails émanant soi-disant de banques d’ou d’autres organismes connus :
- Les fautes d’orthographes dans le mail sont une première indication de la supercherie, un mail mal rédigé, à la syntaxe aléatoire est un signe qui ne trompe pas.
- Vérifiez l’en-tête et l’expéditeur du mail, la plupart du temps, ce dernier ne sera pas conforme au mail de l’organisme imité.
- Si un mail vous paraît correct, que vous ne voyez rien de suspicieux dans son en-tête ou dans sa rédaction, vérifiez tout de même que le lien vers lequel il vous redirige n’est pas frauduleux. L’URL d’un lien frauduleux comportera forcément des erreurs ou des fautes d’orthographe.
- Mettez en place des campagnes de prévention pour vos collaborateurs, mieux prévenir que guérir !
- Installez des anti-virus capables de vérifier les fichiers que vous recevez sur vos boites mails avant toute ouverture.
Mieux vaut être trop prudents que pas assez à l’égard de toutes ces attaques et tentatives de phishing qui deviennent monnaie courante pour une entreprise en 2021.