Si vous avez reçu aujourd’hui un autre e-mail affirmant que vous avez gagné à la loterie ou que vous avez hérité de l’argent d’un parent perdu depuis longtemps. Peut-être que cela semble trop beau pour être vrai. Vous avez raison d’être méfiant : il s’agit probablement d’une escroquerie par hameçonnage. Le phishing se produit lorsque les cybercriminels tentent de vous inciter à divulguer des informations personnelles ou à télécharger des logiciels malveillants en envoyant des messages frauduleux qui semblent provenir d’une entreprise ou d’un site Web réputé.
Vous avez probablement déjà entendu parler du phishing, mais connaissez-vous toutes les méthodes sournoises utilisées par les escrocs pour attirer leurs victimes ? Dans cet article, nous explorerons les différentes techniques de phishing utilisées par les fraudeurs et fournirons des exemples concrets afin que vous puissiez mieux repérer et éviter ces messages malveillants.
Qu’est-ce que le phishing ?
Le phishing est une cyberattaque dans laquelle les fraudeurs utilisent des e-mails ou des sites Web malveillants pour voler vos informations personnelles telles que des mots de passe, des numéros de compte ou des numéros de carte de crédit. Les fraudeurs se font passer pour une entreprise ou un site Web légitime pour vous inciter à fournir des données sensibles.
Une fois que les fraudeurs ont vos informations, ils peuvent accéder à vos comptes, effectuer des achats en votre nom ou commettre un vol d’identité. Les escroqueries par phishing sont devenues de plus en plus sophistiquées, il est donc important d’être vigilant.
Les signes courants d’un e-mail ou d’un message de phishing incluent :
- Vous exhortant à agir rapidement ou à fournir des informations immédiatement
- Mauvaise grammaire ou fautes d’orthographe
- Une offre, un accord ou une récompense incroyable
- L’adresse d’un expéditeur ne correspond pas au nom de l’entreprise
Les entreprises légitimes ne demanderont jamais de données sensibles par courrier électronique. Si quelque chose vous semble bizarre, il est préférable de supprimer le message.
Certaines techniques de phishing bien connues incluent :
- Hameçonnage: Attaque ciblée visant une personne ou une entreprise spécifique. Les fraudeurs utilisent des informations personnelles pour gagner la confiance.
- Pêche à la baleine: Le spear phishing vise les cadres de haut niveau ou les « gros poissons ». Les fraudeurs se font passer pour un collègue ou un client pour voler des données ou des fonds d’entreprise.
- Smishing : Phishing via SMS au lieu d’e-mail. Les messages semblent provenir de banques, de transporteurs ou d’entreprises de livraison visant à obtenir des numéros de compte ou des mots de passe à usage unique.
- Vishing : Phishing par téléphone. Les fraudeurs se font passer pour un support technique, des représentants bancaires ou des agences gouvernementales pour inciter les gens à fournir un accès à leur compte ou à transférer des fonds.
Techniques de phishing courantes et vecteurs d’attaque
Les phishers utilisent des techniques astucieuses pour vous inciter à leur communiquer vos informations personnelles. Méfiez-vous de ces vecteurs d’attaque de phishing courants :
1. E-mails
La tactique de phishing la plus courante consiste à envoyer des e-mails frauduleux prétendant provenir d’une entreprise légitime. Ces e-mails prétendent souvent qu’il y a un problème avec votre compte ou vos informations de paiement pour vous inviter à cliquer sur un lien ou à télécharger une pièce jointe. Ne cliquez jamais sur des liens et ne téléchargez jamais de pièces jointes à partir d’e-mails non sollicités.
2. Messages texte
Les textes de phishing, ou « smishing », prétendent qu’il y a un problème avec une livraison ou avec votre compte bancaire pour vous inciter à cliquer sur un lien ou à appeler un numéro. Comme pour les e-mails, ne cliquez jamais sur des liens ou n’appelez jamais des numéros à partir de SMS non sollicités.
3. Appels téléphoniques
Le « Vishing » utilise les appels téléphoniques de fraudeurs se faisant passer pour des représentants de votre banque, de l’émetteur de votre carte de crédit ou de vos fournisseurs de technologie. Ils peuvent prétendre qu’il y a une activité frauduleuse sur votre compte ou que votre compte a été compromis pour vous inciter à leur donner vos coordonnées ou l’accès à votre compte. Ne fournissez jamais de données sensibles ou d’accès à votre compte par téléphone à des appelants non sollicités.
4. Sites Web malveillants
Les sites de phishing sont des sites Web frauduleux conçus pour imiter des sites légitimes afin de voler vos informations de connexion ou de compte. Vérifiez à nouveau l’URL pour vous assurer qu’il s’agit du bon site Web et qu’elle utilise une connexion HTTPS sécurisée avant de saisir des données sensibles.
5. Réseaux Wi-Fi publics
Les réseaux publics sont un endroit privilégié pour les attaques de type « homme du milieu » où les phishers espionnent le trafic réseau pour voler vos données. N’effectuez jamais d’opérations bancaires, d’achats ou d’autres activités nécessitant des informations personnelles sur un réseau Wi-Fi public.
Exemples d’escroqueries par phishing dans le monde réel
Les escroqueries par phishing sont de toutes formes et de toutes tailles, mais voici quelques exemples concrets courants à surveiller :
1. Email d’un « prince nigérian »
Il s’agit d’une arnaque classique dans laquelle vous recevez un e-mail affirmant qu’un prince nigérian ou un autre fonctionnaire a besoin d’aide pour accéder à sa fortune et qu’il la partagera avec vous si vous fournissez de l’argent ou un accès à votre compte. Supprimez ces e-mails immédiatement.
2. « Vous avez gagné un prix ! »
Vous recevez un message passionnant indiquant que vous avez gagné un concours ou une loterie auquel vous n’avez jamais participé. Pour réclamer votre prix, il vous suffit de payer des taxes ou des frais à l’avance. Ne vous laissez pas tromper : les tirages au sort légitimes ne vous demandent pas de payer pour recevoir des gains.
3. Fausse facture ou facture
Vous recevez un e-mail avec une facture ou une facture pour un produit ou un service que vous n’avez jamais acheté. Les escrocs espèrent que vous paierez sans vérifier. Vérifiez auprès de l’entreprise qui est censée avoir envoyé la facture avant d’envoyer de l’argent.
4. « Votre compte a été compromis »
Vous recevez un message urgent affirmant qu’il y a eu une connexion à votre réseau social, à votre adresse e-mail ou à un autre compte à partir d’un appareil non reconnu. Le message vous demande de cliquer sur un lien pour vérifier votre identité et sécuriser à nouveau votre compte. Ne cliquez pas : il s’agit d’une arnaque visant à voler vos identifiants de connexion.
5. Offre d’emploi à l’improviste
Vous recevez un message vous proposant un emploi, souvent avec un gros salaire et des horaires flexibles. Pour commencer, tout ce que vous avez à faire est de fournir des informations personnelles telles que votre numéro de sécurité sociale ou de payer des frais initiaux pour le matériel ou la formation. Il s’agit d’une fraude : les entreprises légitimes n’embauchent pas de personnel de cette façon et ne demandent pas de données sensibles dès le départ.
Rester vigilant et apprendre à repérer les signes de fraude peut vous aider à éviter de devenir une victime. N’oubliez pas que si quelque chose semble trop beau pour être vrai, c’est probablement le cas. En cas de doute, faites confiance à votre instinct.
Qu’est-ce que le phishing des baleines ?
Phishing aux baleines cible des victimes de premier plan telles que des célébrités, des hommes politiques et des dirigeants d’entreprise. Étant donné que ces « baleines » ont souvent accès à des données sensibles et à d’importantes ressources financières, elles constituent des cibles lucratives pour les escroqueries par phishing.
Les attaquants rassembleront des informations personnelles sur la baleine auprès de sources publiques pour créer un e-mail de phishing personnalisé. Par exemple, ils peuvent mentionner le nom du membre de la famille de la cible ou faire référence à un passe-temps ou à un intérêt pour paraître plus légitime. Ces e-mails de phishing hautement personnalisés sont plus susceptibles de tromper le destinataire en lui faisant croire que le message est authentique.
Voici quelques exemples de techniques de phishing aux baleines :
- E-mails semblant provenir de la banque, du conseiller ou du comptable de la cible demandant l’accès à un compte privé ou des virements électroniques.
- E-mails de spear phishing contenant des pièces jointes malveillantes ou des liens adaptés aux intérêts du destinataire.
- Usurpation d’identité de membres de la famille ou d’amis ayant besoin de fonds d’urgence ou d’accès à un compte.
- Ciblage de comptes personnels ou professionnels dans le but de piratage de compte ou d’installation de logiciels espions.
Comment identifier et éviter les attaques de phishing ?
Les attaques de phishing sont de plus en plus sophistiquées, mais quelques signes révélateurs peuvent vous aider à les identifier.
1. Expéditeur suspect
Si un e-mail prétend provenir d’une entreprise avec laquelle vous faites affaire mais que l’adresse de l’expéditeur semble erronée, c’est un signal d’alarme. Les entreprises légitimes ne changent pas fréquemment leurs noms de domaine de messagerie. Méfiez-vous des messages provenant de services de messagerie gratuits comme Gmail ou Yahoo, envoyés par une entreprise réputée. Appelez directement l’entreprise pour vérifier.
2. Pression pour agir rapidement
Les phishers veulent que vous agissez avant d’avoir le temps de vérifier les affirmations du message. Les messages insistant sur le fait que vous devez cliquer sur un lien ou télécharger immédiatement une pièce jointe sont probablement des tentatives de phishing. Les entreprises légitimes ne vous poussent pas à contourner les mesures de sécurité.
3. Liens et pièces jointes
Ne cliquez jamais sur des liens et ne téléchargez jamais de pièces jointes à partir de messages non sollicités. Même si le message semble authentique, les liens de phishing peuvent installer des logiciels malveillants ou voler vos informations personnelles. Au lieu de cela, saisissez manuellement l’URL du site Web de l’entreprise dans votre navigateur ou effectuez une recherche sur le Web pour trouver son site Web officiel.
4. Demandes de renseignements personnels
Les entreprises légitimes ne demandent pas de données sensibles telles que des mots de passe, des numéros de sécurité sociale ou des numéros de compte bancaire par e-mail. Si un message demande ce type d’informations, il s’agit probablement d’une escroquerie par phishing.
5. Erreurs d’orthographe et de grammaire
Bien que ce ne soit pas toujours le cas, les e-mails de phishing contiennent souvent des erreurs d’orthographe, de grammaire et de ponctuation. Les entreprises réputées disposent généralement de rédacteurs et de rédacteurs professionnels pour rédiger des communications sans erreurs. Une mauvaise qualité d’écriture peut indiquer une tentative de phishing amateur.
Protégez-vous et votre organisation contre le phishing par les baleines
Malheureusement, les attaques de phishing deviennent de plus en plus sophistiquées. Même si les individus et les organisations ne peuvent pas éliminer le risque, vous pouvez prendre plusieurs mesures pour réduire votre vulnérabilité.
1. Méfiez-vous des demandes non sollicitées
Ne fournissez jamais d’informations sensibles en réponse à un appel téléphonique, un e-mail ou un SMS non sollicité. Les entreprises légitimes ne demanderont pas de mots de passe, de numéros de sécurité sociale, de numéros de carte de crédit, etc. En cas de doute, contactez directement l’entreprise au lieu de cliquer sur les liens ou d’appeler les numéros fournis dans le message.
2. Ralentissez et méfiez-vous de l’urgence
Les fraudeurs tentent souvent de créer un sentiment d’urgence pour inciter les gens à agir rapidement avant de réfléchir. Prenez du recul et considérez objectivement la logique de la demande avant de répondre ou de cliquer sur quoi que ce soit. Demandez-vous s’il est logique que l’entreprise ou la personne demande ces informations ou exige une action immédiate.
3. Vérifiez les liens et l’orthographe
Vérifiez soigneusement l’adresse e-mail et les URL de l’expéditeur dans les messages pour détecter de légères fautes d’orthographe ou d’autres signes d’usurpation d’identité avant de cliquer. Les liens malveillants peuvent ressembler beaucoup aux liens réels. Il est préférable de saisir manuellement les adresses Web dans votre navigateur plutôt que de cliquer sur les liens contenus dans les e-mails non sollicités.
4. Utilisez des mots de passe forts et une authentification à deux facteurs
Assurez-vous que tous vos comptes, en particulier les comptes de messagerie, bancaires et sociaux, disposent de mots de passe forts et uniques. Activez l’authentification à deux facteurs chaque fois que cela est disponible pour ajouter une couche de sécurité supplémentaire. L’authentification à deux facteurs permet d’empêcher les attaquants d’accéder à vos comptes même s’ils obtiennent votre mot de passe.
5. Restez vigilant et suivez une formation
Les cybercriminels développent constamment de nouvelles techniques. Les individus et les organisations doivent donc se tenir au courant des dernières tendances et des meilleures pratiques en matière de phishing. Organisez régulièrement des formations de sensibilisation à la cybersécurité pour tout le personnel, en particulier ceux ayant accès à des données ou à des comptes sensibles. Avec de l’éducation et de la vigilance, nous pouvons tous faire notre part pour déjouer les hameçonneurs.
Conclusion
Et voilà, vous savez désormais ce que sont les attaques de phishing et comment les repérer. Ne laissez pas les fraudeurs vous inciter à divulguer des informations sensibles ou à télécharger des logiciels malveillants. Restez vigilant, réfléchissez avant de cliquer et faites confiance à votre instinct.
Si quelque chose ne va pas dans un e-mail ou un SMS, c’est probablement le cas. Supprimez tout ce qui est suspect et n’entrez jamais de mots de passe, de numéros de compte et n’envoyez jamais d’argent. Vous êtes trop intelligent pour tomber dans le piège du phishing et en partageant ces informations avec vos amis et votre famille, vous pouvez aider à vacciner les autres.