Cybersécurité Data

Définition phishing

Définition phishing

Le phishing est une forme de fraude dans laquelle un agresseur se fait passer pour une entité ou une personne de bonne réputation dans un courriel ou d’autres formes de communication. Les attaquants utilisent généralement les courriels de phishing pour distribuer des liens ou des pièces jointes malveillantes qui peuvent remplir diverses fonctions. Certains d’entre eux extraient des informations de connexion ou de compte des victimes.

Le phishing trompeur est très populaire auprès des cybercriminels, car il est beaucoup plus facile de tromper quelqu’un en lui faisant cliquer sur un lien malveillant dans un courriel de phishing apparemment légitime que de percer les défenses d’un ordinateur. Il est important d’en savoir plus sur le phishing pour savoir comment le détecter et le prévenir.

Comment fonctionne le phishing

Les attaques de phishing reposent généralement sur des techniques de réseautage social appliquées au courrier électronique ou à d’autres méthodes de communication électronique. Certaines méthodes comprennent l’envoi direct de messages sur les réseaux sociaux et de messages textuels SMS.

Les phishers peuvent utiliser des sources d’information publiques pour recueillir des informations sur les antécédents personnels et professionnels, les intérêts et les activités de la victime. Généralement par le biais de réseaux sociaux comme LinkedIn, Facebook et Twitter. Ces sources sont généralement utilisées pour découvrir des informations telles que les noms, les titres de postes et les adresses électroniques des victimes potentielles. Ces informations peuvent ensuite être utilisées pour élaborer un courrier électronique crédible.

En général, une victime reçoit un message qui semble avoir été envoyé par un contact ou une organisation connus. L’attaque est alors réalisée soit par le biais d’une pièce jointe à un fichier malveillant, soit par des liens se connectant à des sites web malveillants. Dans les deux cas, l’objectif est d’installer un logiciel malveillant sur l’appareil de l’utilisateur ou de diriger la victime vers un faux site web. Les faux sites web sont créés pour inciter les victimes à divulguer des informations personnelles et financières, telles que des mots de passe, des identifiants de compte ou des données de carte de crédit.

Bien que de nombreux e-mails de phishing soient mal rédigés et clairement faux, les groupes de cybercriminels utilisent de plus en plus les mêmes techniques que les professionnels du marketing pour identifier les types de messages les plus efficaces.

Comment reconnaître un courriel de phishing

Les messages de phishing réussis sont difficiles à distinguer des messages réels. En général, ils sont présentés comme provenant d’une société bien connue, et comprennent même des logos d’entreprise et d’autres données d’identification collectées.

Toutefois, plusieurs indices peuvent indiquer qu’un message est une tentative d’hameçonnage. Il s’agit notamment des éléments suivants :

  • Le message utilise des sous-domaines, des URL mal orthographiés (typosquatting) ou des URL suspectes.
  • Le destinataire utilise une adresse électronique Gmail ou une autre adresse électronique publique plutôt qu’une adresse électronique d’entreprise.
  • Le message est écrit pour susciter la peur ou un sentiment d’urgence.
  • Le message comprend une demande de vérification d’informations personnelles, telles que des détails financiers ou un mot de passe.
  • Le message est mal écrit et comporte des fautes d’orthographe et de grammaire.

Les cybercriminels continuent de perfectionner leurs compétences en lançant des attaques de phishing existantes et en créant de nouveaux types d’escroqueries de phishing. Voici quelques types d’attaques de phishing courantes :

Les attaques de phishing au harpon, qui visent des personnes ou des entreprises spécifiques. Ces attaques utilisent généralement des informations recueillies auprès de la victime pour mieux faire croire que le message est authentique. Les courriers électroniques de spear phishing peuvent contenir des références à des collègues ou à des cadres de l’organisation de la victime, ainsi que l’utilisation du nom de la victime, de son lieu de travail ou d’autres informations personnelles.

Les attaques de type « whaling » sont un type d’attaque de harponnage qui vise spécifiquement les cadres supérieurs d’une organisation. Cette attaque a souvent pour objectif de voler des sommes importantes. Les personnes qui préparent une campagne de harponnage font des recherches détaillées sur leurs victimes afin de créer un message plus authentique. L’utilisation d’informations pertinentes ou spécifiques à une cible augmente les chances de réussite de l’attaque.

Parce qu’une attaque typique de chasse à la baleine vise un employé ayant la capacité d’autoriser des paiements, le message de phishing semble souvent être une commande d’un cadre pour autoriser un paiement important à un vendeur alors qu’en fait, le paiement serait effectué aux attaquants.

Le pharming est un type d’attaque de phishing qui utilise l’empoisonnement du cache DNS pour rediriger les utilisateurs d’un site légitime vers un site frauduleux. Il s’agit d’une tentative de tromper les utilisateurs pour qu’ils essaient de se connecter au faux site avec des informations d’identification personnelles.

Les attaques de clonage par hameçonnage utilisent des courriels légitimes déjà livrés mais qui contiennent soit un lien, soit une pièce jointe. Les attaquants font une copie – ou un clone – du courriel légitime, et remplacent un nombre quelconque de liens ou de pièces jointes par des fichiers malveillants. Les victimes peuvent souvent être amenées par ruse à cliquer sur le lien malveillant ou à ouvrir la pièce jointe malveillante.

Cette technique est souvent utilisée par des attaquants qui ont pris le contrôle du système d’une autre victime. Dans ce cas, les attaquants utilisent leur contrôle d’un système au sein d’une organisation pour envoyer par courrier électronique des messages provenant d’un expéditeur de confiance, connu des victimes.

Les hameçonneurs utilisent parfois la double attaque Wi-Fi malveillante en démarrant un point d’accès Wi-Fi et en le faisant connaître sous un nom trompeur. Normalement, il s’agit d’un point d’accès à l’apparence réelle. Lorsque les victimes se connectent au réseau du jumeau maléfique, les attaquants ont accès à toutes les transmissions vers ou depuis les appareils des victimes. Cela inclut l’accès aux identifiants et aux mots de passe des utilisateurs. Les attaquants peuvent également utiliser ce vecteur pour cibler les appareils des victimes avec leurs propres invites frauduleuses.

Le phishing vocal est une forme de phishing qui se produit sur des supports basés sur la voix, y compris la voix sur IP (VoIP) ou le simple service téléphonique (POTS). Une escroquerie typique de ce type utilise un logiciel de synthèse vocale pour laisser des messages vocaux informant la victime d’une activité suspecte sur un compte bancaire ou de crédit. L’appel demandera à la victime de répondre pour vérifier son identité – compromettant ainsi les références du compte de la victime.

Une autre attaque de phishing orientée vers les appareils mobiles, le phishing par SMS, utilise des messages texte pour convaincre les victimes de divulguer les informations d’identification de leur compte ou d’installer des logiciels malveillants.

Techniques de phishing

Les attaques de phishing ne se limitent pas à envoyer un courriel aux victimes en espérant qu’elles cliquent sur un lien malveillant ou ouvrent une pièce jointe malveillante. Les attaquants utilisent plusieurs techniques pour piéger leurs victimes :

Le JavaScript peut être utilisé pour placer une image d’une URL légitime sur la barre d’adresse d’un navigateur. L’URL est révélée en survolant un lien intégré et peut également être modifiée en utilisant JavaScript.
La manipulation des liens, souvent appelée « masquage d’URL », est présente dans de nombreux types de phishing courants et utilisée de différentes manières. L’approche la plus simple consiste à créer une URL malveillante qui est affichée comme si elle renvoyait à un site ou une page web légitime, mais dont le lien réel pointe vers une ressource web malveillante.
Les services de raccourcissement de liens comme Bitly peuvent être utilisés pour masquer la destination du lien. Les victimes n’ont aucun moyen de savoir si les URL raccourcis pointent vers des ressources web légitimes ou vers des ressources malveillantes.
L’usurpation d’identité dépend des URL qui ont été créées en utilisant différents caractères pour se lire exactement comme un domaine de confiance. Par exemple, les attaquants peuvent enregistrer des domaines qui utilisent des jeux de caractères légèrement différents et qui sont suffisamment proches de domaines connus et établis.
Le rendu de tout ou partie d’un message sous forme d’image graphique permet parfois aux attaquants de contourner les défenses contre le phishing. Certains logiciels de sécurité recherchent dans les courriers électroniques des phrases ou des termes particuliers courants dans les courriers électroniques de phishing. Le rendu du message sous forme d’image permet de contourner ce problème.
Une autre tactique de phishing repose sur une redirection secrète, c’est-à-dire qu’une vulnérabilité de redirection ouverte ne vérifie pas si une URL redirigée pointe vers une source fiable. Dans ce cas, l’URL redirigée est une page intermédiaire malveillante qui sollicite des informations d’authentification auprès de la victime. Cela se produit avant de rediriger le navigateur de la victime vers le site légitime.
Comment prévenir le phishing

Pour éviter que les messages de phishing n’atteignent les utilisateurs finaux, les experts recommandent de superposer les contrôles de sécurité, notamment :

  • un logiciel antivirus ;
  • des pare-feu pour les ordinateurs et les réseaux ;
  • des logiciels antispyware ;
  • une barre d’outils antiphishing (installée dans les navigateurs web) ;
  • un filtre de courrier électronique sur la passerelle ;
  • web gateway – Passerelle Web ;
  • un filtre anti-spam

Les serveurs de messagerie des entreprises devraient utiliser au moins une norme d’authentification du courrier électronique afin de confirmer que les courriers électroniques entrants sont vérifiables. Cela peut inclure le protocole DomainKeys Identified Mail (DKIM), qui permet aux utilisateurs de bloquer tous les messages, à l’exception de ceux qui ont été signés de manière cryptographique. Le protocole DMARC (Domain-based Message Authentication Reporting and Conformance) en est un autre exemple. Le DMARC fournit un cadre pour l’utilisation de protocoles permettant de bloquer plus efficacement les courriers électroniques non sollicités.

Il existe plusieurs ressources sur Internet qui aident à lutter contre le phishing. Le Anti-Phishing Working Group Inc. et le site Internet OnGuardOnline.gov du gouvernement fédéral fournissent tous deux des conseils sur la manière de repérer, d’éviter et de signaler les attaques de phishing. Des supports de formation interactifs de sensibilisation à la sécurité, tels que PhishMe de Wombat Security Technologies, peuvent aider à apprendre aux employés comment éviter les pièges du phishing. En outre, des sites comme FraudWatch International et MillerSmiles publient les dernières lignes d’objet des courriels de phishing qui circulent sur Internet.

Exemples de phishing

Les escroqueries au phishing sont de toutes formes et de toutes tailles. Les utilisateurs peuvent rester en sécurité, alertes et préparés en connaissant certaines des méthodes les plus récentes d’hameçonnage utilisées par les escrocs. Voici quelques exemples d’attaques de phishing plus modernes :

Escroqueries basées sur le paiement numérique

Cela se produit lorsque les principales applications de paiement et les sites web sont utilisés comme une ruse pour obtenir des informations sensibles des victimes du phishing. Dans cette arnaque, un phisher se fait passer pour un service de paiement en ligne (comme PayPal, Venmo ou TransferWise ou Bitcoin).

Ces attaques sont généralement effectuées par courrier électronique, où une fausse version d’un service de paiement de confiance demande à l’utilisateur de vérifier les détails de connexion et d’autres informations d’identification. Habituellement, ils prétendent que cela est nécessaire pour résoudre un problème avec le compte de l’utilisateur. Souvent, ces tentatives de phishing comportent un lien vers une page frauduleuse « d’usurpation ».

PayPal est conscient de ces menaces et a publié des documents d’information que ses clients peuvent consulter afin de se préparer aux attaques de phishing. Ils recommandent à toute personne recevant un courriel suspect d’un compte prétendant être PayPal de ne cliquer sur aucun lien, mais plutôt d’utiliser la technique de survol décrite ci-dessus pour voir si l’adresse du lien correspond au domaine réel de PayPal. PayPal a également conseillé de se connecter séparément à son compte pour s’assurer que tout est conforme à la réalité.

Si un utilisateur n’est pas sûr de savoir comment repérer un courriel frauduleux d’hameçonnage de paiement en ligne, il y a quelques détails à surveiller. En général, on sait qu’un courriel d’hameçonnage provenant de PayPal contient :

Des salutations douteuses qui ne contiennent pas le nom de la victime. Les courriels officiels de PayPal s’adressent toujours aux utilisateurs par leur nom réel ou leur titre professionnel. Les tentatives de phishing dans ce secteur ont tendance à commencer par « Cher utilisateur », ou à utiliser une adresse électronique à la place.
Dans le cas de PayPal et d’autres services de paiement en ligne, certaines de ces escroqueries « alertent » leurs victimes potentielles du fait que leur compte sera bientôt suspendu. D’autres prétendent que les utilisateurs ont été accidentellement « surpayés » et doivent maintenant envoyer de l’argent sur un faux compte.
Les pièces jointes téléchargeables ne sont pas des documents que PayPal envoie à ses utilisateurs. Si une personne reçoit un courriel de PayPal ou d’un autre service similaire contenant une pièce jointe, elle ne doit pas la télécharger.
Si une personne reçoit un de ces e-mails, elle doit ouvrir sa page de paiement dans un onglet ou une fenêtre de navigateur séparée et voir si son compte comporte des alertes. Si un utilisateur a été surpayé ou est menacé de suspension, il le mentionnera à cet endroit. En outre, PayPal invite les utilisateurs à lui signaler toute activité suspecte, afin qu’il puisse continuer à surveiller ces tentatives et empêcher ses utilisateurs de se faire arnaquer.

Attaques de phishing basées sur le financement

Il s’agit de formes courantes d’hameçonnage, qui partent du principe que les victimes vont paniquer et donner des informations personnelles à l’arnaqueur. Dans ce cas, l’arnaqueur se fait généralement passer pour une banque ou une autre institution financière. Dans un courriel ou un appel téléphonique, l’arnaqueur informe sa victime potentielle que sa sécurité a été compromise. Souvent, les arnaqueurs utilisent la menace d’un vol d’identité pour y parvenir.

Voici quelques exemples de cette escroquerie :

  • Des courriels suspects concernant des transferts d’argent qui embrouilleront la victime. Dans ces tentatives de phishing, la victime potentielle reçoit un courriel contenant un accusé de réception ou un courriel de rejet concernant un virement AHC. Souvent, la victime qui voit ce courriel présume instantanément que des frais frauduleux ont été portés à son compte et clique sur un mauvais lien dans le message. Ses données personnelles sont alors susceptibles d’être exploitées.
  • Les escroqueries au dépôt direct sont souvent utilisées sur les nouveaux employés d’une entreprise ou d’un commerce. Dans ces escroqueries, les victimes sont informées que leurs informations de connexion ne fonctionnent pas. Inquiètes de ne pas être payées, les victimes cliquent sur un lien « phishy » dans le courriel. Cela les conduit à un site web frauduleux qui installe un logiciel malveillant sur leur système. À partir de là, leurs informations bancaires sont susceptibles d’être récoltées, ce qui entraîne des frais frauduleux.

Ces chiffres sont particulièrement alarmants, car ce type d’escroquerie peut être très personnalisé et difficile à repérer. Dans ces cas, un agresseur se faisant passer pour le patron, le PDG ou le directeur financier du destinataire contacte la victime et lui demande d’effectuer un virement bancaire ou un faux achat.

L’une des escroqueries liées au travail qui a fait son apparition dans les entreprises ces dernières années est un stratagème visant à récolter des mots de passe. Cette escroquerie vise souvent des employés de niveau cadre, car ils ne considèrent probablement pas qu’un courriel de leur patron puisse être une escroquerie. Le courriel frauduleux fonctionne souvent parce que, au lieu d’être alarmiste, il ne fait que parler de sujets habituels sur le lieu de travail. En général, il informe la victime qu’une réunion prévue doit être modifiée.

À partir de là, l’employé est invité à remplir un sondage sur le moment opportun pour modifier l’horaire, via un lien. Ce lien amène ensuite la victime à une page de connexion usurpée pour Office 365 ou Microsoft Outlook. Une fois qu’elle a saisi ses informations de connexion, les escrocs lui volent son mot de passe.

Historique du phishing

L’histoire du terme « phishing » n’est pas tout à fait claire.

Une explication courante de ce terme est que le phishing est un homophone de la pêche. Et il est ainsi nommé parce que les arnaques de phishing utilisent des leurres pour attraper des victimes sans méfiance, ou des poissons.

Une autre explication de l’origine du phishing vient d’une chaîne — <>< — que l’on trouve souvent dans les journaux de chat AOL. Ces caractères sont une balise HTML courante que l’on trouve dans les transcriptions de chat. En raison de sa fréquence dans ces journaux, les administrateurs d’AOL ne pouvaient pas la rechercher de manière productive comme marqueur d’une activité potentiellement inappropriée. Les pirates informatiques remplaçaient alors toute référence à une activité illégale – y compris le vol de cartes de crédit ou de justificatifs de compte – par la chaîne de caractères. Tout cela aurait pu donner un nom à l’activité, puisque les caractères semblent être une simple représentation d’un poisson.

Au début des années 1990, un groupe d’individus appelé le groupe Warez a créé un algorithme qui permettait de générer des numéros de cartes de crédit. Ces numéros ont été créés au hasard dans le but de créer de faux comptes AOL. Le compte falsifié permettait ensuite d’envoyer du spam à d’autres comptes AOL. Certaines personnes essayaient de changer leur nom d’écran AOL pour apparaître comme administrateur AOL. En utilisant ces noms d’écran, ils « hameçonnaient » ensuite les personnes via AOL Messenger pour leur information.

Au début des années 2000, l’hameçonnage a connu d’autres changements dans sa mise en œuvre. Le « love bug de l’an 2000 » en est un exemple. Les victimes potentielles recevaient un e-mail avec un message disant « ILOVEYOU », pointant vers une lettre jointe. Cette pièce jointe contenait un ver qui écrasait les fichiers sur l’ordinateur de la victime et se copiait sur la liste de contacts de l’utilisateur.

Par ailleurs, au début des années 2000, différents hameçonneurs ont commencé à enregistrer des sites de phishing. Un site de phishing est un domaine dont le nom et l’apparence sont similaires à ceux d’un site officiel. Ils sont conçus pour faire croire à quelqu’un qu’il est légitime.

Aujourd’hui, les méthodes d’hameçonnage sont plus variées et potentiellement plus dangereuses qu’auparavant. Avec l’intégration des médias sociaux et des méthodes de connexion telles que « se connecter avec Facebook », un attaquant pourrait potentiellement commettre plusieurs data breaches sur un individu en utilisant un mot de passe hameçon, le rendant ainsi vulnérable aux attaques de logiciels de rançon dans le processus. Des technologies plus modernes sont également utilisées aujourd’hui. Par exemple, le PDG d’une entreprise énergétique au Royaume-Uni pensait qu’il parlait au téléphone avec son patron. On leur demandait d’envoyer des fonds à un fournisseur spécifique, alors qu’il s’agissait en fait d’un système de phishing qui utilisait une IA pour imiter la voix du PDG de leur société mère. Il n’est pas clair si les attaquants ont utilisé des robots pour réagir aux questions de la victime. Si le phisher a utilisé un bot pour automatiser l’attaque, il serait plus difficile pour les forces de l’ordre d’enquêter.

Ecrire un commentaire