Contactez-nous

|

Blogue

|

Partenaires

logo

QU’EST-CE QUE LE PHISHING?

Le phishing ou l’hameçonnage est un cybercrime qui consiste à utiliser de faux mails, sites Web et messages textes incitant la victime à révéler des informations personnelles et corporatives confidentielles : données de carte de crédit, numéro de téléphone, adresse postale, informations sur une entreprise, etc. Ces informations sont ensuite utilisées par les criminels pour effectuer un vol d’identité et commettre une fraude.

Si les cybercriminels parviennent à piéger leur victime en utilisant des tactiques de phishing, c’est qu’ils prennent soin de se dissimuler derrière des mails et des sites Web qui leur sont familiers. Par exemple, un message pressant le destinataire de mettre à jour les informations de son compte pour se protéger d’une fraude pourrait être envoyé via l’adresse mail ad[email protected], au lieu de [email protected].

Le phishing fait également appel à l’ingénierie sociale pour voler des données, infecter des ordinateurs et infiltrer les réseaux des entreprises.

Quels sont les différents types de phishing?

E-mail

Il s’agit de la tactique de phishing la plus commune. Un mail est envoyé à plusieurs destinataires les exhortant à mettre à jour leurs informations personnelles, vérifier les détails de leur compte ou changer leurs mots de passe.

De façon générale, le mail est formulé pour provoquer chez le destinataire un sentiment d’urgence soulignant parfois la nécessité de se protéger ou de protéger son organisation. En apparence, il semble provenir d’une source légitime, par exemple le service à la clientèle d’Apple, de Microsoft, de Paypal, d’une banque ou d’une autre entreprise connue.

Injection de contenu

Du contenu malveillant est injecté dans un site Web en apparence familier, par exemple, une page de connexion à un compte de messagerie électronique ou d’une institution bancaire en ligne. Ce contenu prend la forme d’un lien ou d’une fenêtre pop-up dirigeant les utilisateurs vers un site Web secondaire leur demandant de confirmer leurs informations personnelles, mettre à jour les détails de leur carte de crédit ou encore changer leurs mots de passe.

Manipulation de liens

Un mail formulé avec soin comprend un lien malveillant vers un site Web connu comme Amazon. En cliquant sur le lien, les utilisateurs sont dirigés vers un faux site Web identique au site original où ils sont encouragés à vérifier et à mettre à jour les informations de leur compte.

Fraude du président

Cette forme d’usurpation d’identité consiste à envoyer un mail semblant venir du président de l’entreprise, des ressources humaines ou d’un collègue. Dans le mail, il est généralement demandé au destinataire d’effectuer un transfert de fonds, de confirmer un virement bancaire, ou d’envoyer des informations fiscales.

Faux sites Web

Les pirates créent de faux sites Web qui ont exactement la même apparence que les vrais. Le faux site Web se distingue par un domaine légèrement différent, par exemple outlook.you.live.com au lieu de outlook.live.com. Les utilisateurs persuadés d’être sur le bon site Web s’exposent malencontreusement au vol d’identité.

Phishing sur appareils mobiles

Dans ce type de phishing, un message texte, vocal ou envoyé via une messagerie intégrée aux réseaux sociaux informent le destinataire que son compte est fermé, corrompu ou a expiré. Le message comprend un lien, une vidéo ou un message visant à voler des informations personnelles ou à installer un logiciel malveillant sur l’appareil mobile.

Spear phishing ou Harponnage

L’harponnage est une technique avancée de phishing ciblé par mail. Le criminel vise un individu ou une organisation spécifique et utilise des messages personnalisés pour voler des données beaucoup plus poussées que des informations de cartes de crédit. L’objectif est d’infiltrer des banques, des hôpitaux ou des universités, entre autres, pour dérober des données qui peuvent compromettre sérieusement l’organisation.

Phishing vocal

Dans le cas du phishing vocal, un interlocuteur insistant laisse un message ou lit un script incitant le destinataire à communiquer avec un autre numéro de téléphone. Ces appels sont souvent conçus pour faire naître un sentiment d’urgence et encourager le destinataire à agir avant que son compte de banque soit suspendu ou qu’il soit accusé d’un acte criminel.

Détournement de session

Ce type de phishing fait appel à des techniques sophistiquées qui permettent au criminel de violer un serveur Web et de voler l’information enregistrée sur le serveur.

Publicité malveillante

Dans ce type de malware, la publicité en ligne ou les fenêtres pop-up encouragent les utilisateurs à cliquer sur un lien qui permet l’installation d’un malware sur l’ordinateur.

Malware

Les malwares sont déclenchés lorsqu’un utilisateur clique sur la pièce jointe d’un mail et installe par inadvertance sur son ordinateur et sur son réseau un logiciel à la recherche d’informations sensibles. L’enregistreur de frappe est un exemple de malware enregistrant la pression des touches sur le clavier et permettant de révéler des mots de passe. Le cheval de Troie, un autre type de malware, invite les utilisateurs à saisir leurs informations personnelles.

L’homme du milieu

Dans cet exemple, le criminel amène deux personnes à partager des informations entre elles. L’attaquant peut alors envoyer de fausses demandes à chacune des parties, mais aussi modifier l’information qu’ils se transmettent. Les personnes impliquées ont l’impression qu’elles communiquent entre elles et n’ont aucune idée qu’elles sont manipulées par une tierce partie.

Réseaux de Wi-Fi frauduleux

Ici une fausse zone d’accès sans fil est créée dans un endroit public comme un aéroport, un café, un hôpital ou tout autre endroit où l’on peut avoir accès à Internet sans fil. En se connectant à cette zone d’accès, les utilisateurs permettent aux criminels d’intercepter toutes les données communiquées via ce faux compte sans fil.

Ces différents types de phishing font tous partie d’une supercherie plus vaste d’ingénierie sociale. L’ingénierie sociale est une forme de tromperie qui emmène les individus à partager des codes d’accès, des détails et des informations qui devraient pourtant demeurer confidentiels.

Saviez-vous que ?

Le succès de l’ingénierie sociale et du phishing résident dans la tendance naturelle de l’être humain à faire confiance. La plupart d’entre nous assument que les demandes de mise à jour du mot de passe ou de virement bancaire sont légitimes puisqu’elles proviennent d’une source connue. Nous croyons ainsi agir dans le meilleur intérêt de tous.

C’est simple, les tentatives d’attaques sont extrêmement fréquentes. Trois milliards de mails frauduleux sont envoyés chaque jour pour tenter d’accéder à des informations sensibles ou les compromettre. Selon le rapport d’investigation concernant les brèches de données de 2021 de Verizon, plus d’un tiers des violations de données ont exploité une des composantes du phishing. En outre, près de 75 % des escroqueries par hameçonnage ont utilisé des sites HTTPS pour perpétrer leurs attaques, rendant ces menaces plus difficiles à repérer et à éviter.

Alors qu’une transformation numérique sans précédent continue d’avoir un impact sur de nombreuses industries dans le monde, toutes les organisations doivent renforcer le côté humain de leurs pratiques de cybersécurité par le biais de formations à la sensibilisation et de simulations de phishing.

Et pour obtenir des informations de références sur le phishing ainsi que des conseils d’experts sur la façon d’en minimiser les risques, consultez les résultats du rapport complet de notre simulation mondiale de phishing Gone Phishing Tournament.

Qu'est-ce que le trap phishing ?

Le trap phishing s'attaque généralement aux vulnérabilités de sécurité dans les comportements en ligne courants. Ces habitudes peuvent inclure la réalisation de transactions en ligne, le partage d'informations sur les réseaux sociaux, etc. Les schémas de trap phishing attirent les utilisateurs sans méfiance vers une page Web malveillante en se faisant passer pour une organisation légitime ou une entreprise familière.

En interpolant souvent une image de marque ou un vocabulaire reconnu, les victimes sont incitées à cliquer sur un lien de courrier électronique de phishing et/ou à fournir des informations sensibles via la page Web malveillante. Considérées comme moins ciblées que d'autres escroqueries par du phishing, ces attaques génériques peuvent néanmoins être assez efficaces.

Comment le phishing survient-il ?

Le phishing survient lorsqu’une victime sans méfiance répond à des demandes frauduleuses qui nécessitent une action. Il peut s’agir de télécharger une pièce jointe, cliquer sur un lien, remplir un formulaire, mettre à jour un mot de passe, faire un appel ou se connecter à une nouvelle zone d’accès sans fil.

Un aspect essentiel d’une formation en sensibilisation à la sécurité réussie est sa capacité à faire comprendre à quel point il est facile de tomber dans le piège et de partager de l’information confidentielle.

Six indices que vous êtes la cible d’un e-mail de phishing

Le simple fait de connaître la personne dont le nom figure sur le mail ne rend pas celui-ci sécuritaire pour autant. Il est facile d’utiliser le nom de quelqu’un.

Vérifiez l’adresse mail pour confirmer que le message provient réellement de cette personne.

Prenez le temps de vérifier la formule de salutation.

S’il est indiqué «  Cher client » ou « Estimé client » au lieu de votre nom, prenez garde !

Les fraudeurs tentent d’induire un sentiment d’urgence afin de vous amener à agir plutôt qu’à réfléchir (ex. votre compte sera bloqué !).

Fautes de grammaire et d’orthographe ? Aucune organisation légitime ne laisserait passer cela.

On vous demande des informations personnelles ou financières ou de mettre à jour votre compte ou de changer votre mot de passe. Ne tombez pas dans le piège ! Rapportez toutes communications suspectes à votre centre de soutien informatique.

Les mails vous incitent normalement à cliquer sur un lien ou un bouton qui vous redirigera vers un faux site Web ou installera un malware.

Ne cliquez jamais à moins d’être en mesure de confirmer l’identité de l’expéditeur.

En ouvrant la pièce jointe d’un fraudeur, vous ouvrez la porte au malware.

Un malware peut causer des ravages sur votre ordinateur ou même sur l’ensemble du réseau de votre organisation.

Une organisation légitime vous permettra d’entrer en contact avec elle, au besoin.

Ses coordonnées seront indiquées dans le mail afin que vous puissiez communiquer avec elle et valider son authenticité.

Essayez d’identifier les indices dans ces exemples de mails de phishing :

scenario-4-fr

La simulation de phishing vous permet d’identifier les employés à risque et de faire prendre conscience à votre équipe à quel point il est facile de se faire hameçonner.

Comment prévenir le phishing

Pour aider à prévenir le phishing, Terranova Security recommande de prendre les précautions suivantes :

1. Informez vos employés sur ce type de cybermenaces. Profitez des outils de simulation de phishing pour les éduquer et identifier les risques de phishing.

2. Utilisez des formations en sensibilisation à la cybersécurité et des plateformes de simulation de phishing afin que les risques liés au phishing et à l’ingénierie sociale demeurent au sommet des préoccupations de vos employés. Formez à l’interne des héros de la cybersécurité dédiés à préserver la sécurité au sein de votre organisation.

3. Rappelez à vos chefs de la sécurité et à vos cyberhéros de régulièrement contrôler la sensibilisation de vos employés au phishing à l’aide d’outils de simulation. Utilisez les modules de microapprentissage sur le phishing pour éduquer, former et changer les comportements.

4. Effectuez des communications et des campagnes en continu sur la cybersécurité et le phishing. Profitez-en pour mettre sur pied des politiques de mots de passe forts et rappelez à vos employés les risques liés aux pièces jointes, aux mails et aux URL.

5. Établissez des règles d’accès au réseau qui limitent l’utilisation d’appareils personnels et le partage d’information à l’extérieur de votre réseau d’entreprise.

6. Assurez-vous que tous les systèmes d’exploitation, outils réseau, applications et logiciels internes sont à jour et sécurisés. Installez des logiciels de protection contre les malwares et les pourriels.

7. Intégrez les campagnes de sensibilisation à la cybersécurité, la formation, le soutien et l’éducation à votre culture d’entreprise.

Regardez cette vidéo qui montre à quel point le phishing peut facilement se produire dans n'importe quelle organisation.

Qu’est-ce qu’une simulation de phishing ?

Une simulation de phishing est la meilleure façon de sensibiliser les utilisateurs sur les risques et d’identifier les employés les plus susceptibles de se faire prendre au piège par des attaques de phishing. Elle permet également d’intégrer la sensibilisation à la cybersécurité de façon interactive et informative.

Les simulations de phishing en temps réel constituent une façon rapide et efficace d’éduquer vos utilisateurs et d’accroître leur vigilance face aux attaques. Les participants constatent d’eux-mêmes comment la fraude du président, les mails, les faux sites Web, les malwares et le harponnage sont utilisés pour voler des informations personnelles et corporatives.

Quels sont les 10 principaux avantages des simulations de phishing ?

La simulation de phishing génère les principaux avantages suivants pour votre organisation : 

1. Mesurer le degré de vulnérabilité de l’entreprise et des employés
2. Éliminer les risques que représentent les cybermenaces
3. Accroître la vigilance des utilisateurs face aux risques de phishing
4. Installer une culture de cybersécurité et former des héros de la cybersécurité
5. Changer les comportements pour éliminer les réflexes de confiance automatique

6. Déployer des solutions anti-hameçonnage ciblées
7. Protéger vos précieuses données corporatives et personnelles
8. Répondre aux exigences de l’industrie en matière de conformité
9. Évaluer les impacts de la formation en sensibilisation à la cybersécurité
10. Segmenter la simulation de phishing

Pour en apprendre davantage sur les simulations de phishing et comment rendre votre entreprise en cybersécuritaire, consultez les ressources gratuites suivantes :

phishing-trial
SIMULATION GRATUITE DE RANSOMWARE
hameconnage-webinaire
VISIONNER LE WEBCAST
phishing-white-paper
TÉLÉCHARGER LE LIVRE BLANC

Contactez nous au 1-866-889-5806 ou à [email protected] pour en savoir plus sur les simulations de phishing

Terranova Security s’engage à fournir des formations centrées sur la personne pour vous aider à améliorer la sensibilisation à la cybersécurité dans votre entreprise.