QU’EST-CE QUE LE PHISHING?

Le phishing ou l’hameçonnage est un acte de cybercriminalité qui consiste à utiliser un stratagème, comme un e-mail, site Web ou SMS frauduleux, dans le but de dérober des informations personnelles et des données d’entreprise confidentielles.

Par ce subterfuge, la victime est amenée à révéler des informations personnelles comme son adresse, sa date de naissance, son nom ou un code confidentiel. Les cybercriminels se servent ensuite de ces informations pour usurper l’identité de la victime et faire des demandes de carte de crédit ou de prêt, ouvrir des comptes en banque ou commettre d’autres actes frauduleux.

Les cybercriminels qui utilisent des tactiques de phishing parviennent à leurs fins car ils prennent soin de se dissimuler derrière des e-mails et des sites Web connus de la victime ciblée. Par exemple, un message pressant le destinataire de mettre à jour ses identifiants de compte pour se protéger d’une fraude pourrait être envoyé par l’adresse courriel [email protected], au lieu de [email protected]

Le phishing est une technique de social engineering (ingénierie sociale) utilisée par les cybercriminels pour voler des données, infecter des ordinateurs et infiltrer des réseaux d’entreprises.

Quels sont les différents types de phishing?

Email

Il s’agit de la tactique de phishing la plus courante. Un e-mail est envoyé à plusieurs destinataires, les exhortant à mettre à jour leurs informations personnelles, à vérifier les détails de leur compte ou à changer leur mot de passe.

L’e-mail est généralement composé de manière à susciter un sentiment d’urgence chez son destinataire et la nécessité de se protéger contre un acte malveillant. En apparence, il semble provenir d’une source légitime, comme le service à la clientèle d’Apple, une banque, Microsoft, Paypal ou une autre entreprise connue.

Injection de contenu

Un contenu malveillant est injecté dans un site Web connu, par exemple, la page d’accueil d’un compte de courrier électronique ou d’une institution bancaire en ligne. Ce contenu peut être un lien, un formulaire ou une fenêtre intruse qui dirige les internautes vers un site Web secondaire où il leur est demandé de confirmer leurs informations personnelles, de mettre à jour leurs coordonnées bancaires ou de changer leur mot de passe.

Manipulation de liens

Une personne reçoit un e-mail formulé avec soin contenant un lien malveillant vers un site Web connu comme Amazon. En cliquant sur le lien, cette personne est dirigée vers un faux site Web d’apparence identique au site connu, où elle est encouragée à mettre à jour ou à vérifier les informations sur son compte.

Arnaque au président

Cette forme courante d’usurpation de domaine consiste à envoyer un e-mail semblant provenir du président, des ressources humaines ou d’un collègue. Il peut y être demandé au destinataire de transférer des fonds, de confirmer un ordre de virement électronique ou de transmettre des données fiscales.

Faux sites Web

Les pirates créent de faux sites Web conçus pour ressembler exactement à des sites très fréquentés. Le faux site Web se distingue par un domaine légèrement différent, par exemple, outlook.you.live.com au lieu de outlook.live.com. Pensant consulter le bon site, les internautes s’exposent malencontreusement au vol d’identité.

Phishing mobile

Le phishing mobile consiste à l’envoi de messages, par SMS, boîte vocale, sur les réseaux sociaux ou dans n’importe quelle application mobile utilisant une messagerie intégrée, informant le destinataire que son compte est fermé, corrompu ou expiré. Le message comprend un lien, une vidéo ou un message visant à dérober des données personnelles ou à installer un malware sur l’appareil mobile.

Spear Phishing

Le spear phishing (harponnage) est une technique avancée de phishing par e-mail. Le cybercriminel vise une personne ou une organisation en particulier et utilise des messages personnalisés pour voler des données beaucoup plus poussées que des informations de cartes de crédit. Il peut s’agir, par exemple, d’infiltrer des banques, des hôpitaux ou des universités dans le but de dérober des données qui peuvent gravement compromettre l’organisation.

Phishing vocal

Dans le cas du phishing vocal, un interlocuteur insistant laisse un message ou lit un script qui incite le destinataire à communiquer avec un autre numéro de téléphone. Ces appels sont souvent conçus pour susciter un sentiment d’urgence qui incite la victime à agir avant que son compte bancaire ne soit suspendu ou qu’il ne soit accusé d’un acte criminel.

Détournement de session

Ce type de phishing fait appel à des techniques sophistiquées qui permettent au criminel de s’introduire par effraction sur un serveur Web pour dérober les informations qui y sont stockées.

L’homme-au-milieu

Dans le cas d’attaques dites de l’homme-au-milieu (ou entre-deux), le cybercriminel incite deux personnes à échanger des informations. Il peut soit envoyer de fausses demandes à chacune des parties, soit modifier les informations envoyées ou reçues. Les personnes impliquées pensent communiquer entre elles et n’ont aucune idée qu’elles sont en fait manipulées par une tierce partie.

Malware

Les malwares ou logiciels malveillants sont déclenchés par une personne qui clique sur la pièce jointe à un e-mail et qui installe par inadvertance un logiciel qui fouille l’ordinateur et le réseau à la recherche d’informations. Un enregistreur de frappe est un type de logiciel qui enregistre la pression des touches sur le clavier et permet de révéler des mots de passe. Le cheval de Troie est un autre type de logiciel malveillant utilisé pour inciter les victimes à saisir leurs informations personnelles.

Publicité malveillante

Ce type de malware utilise la publicité en ligne ou les fenêtres intruses pour encourager les internautes à cliquer sur un lien qui entraîne l’installation d’un malware sur leur ordinateur.

Jumeau maléfique sans fil

Un faux point d’accès WiFi est créé dans un lieu public comme un aéroport, un café, un hôpital ou tout autre espace offrant un accès à Internet sans fil. Pensant utiliser un point d’accès légitime, les victimes se connectent, ce qui permet aux cybercriminels d’intercepter toutes les données communiquées via ce faux compte sans fil.

Ces différents types de phishing font partie d’un vaste stratagème de social engineering. Le social engineering est un subterfuge conçu pour inciter les gens à communiquer des codes d’accès, des détails et des informations qui devraient pourtant demeurer confidentiels.

Le saviez-vous ?

Le succès du social engineering et du phishing réside dans la tendance naturelle de l’être humain à faire confiance. Nous présumons que, comme elle provient d’une source connue, la demande de mise à jour du mot de passe ou de virement bancaire doit être légitime. Nous pensons agir dans l’intérêt de tous.

Le phishing se produit lorsqu’une victime peu méfiante répond à des demandes frauduleuses qui nécessitent une action. Il peut s’agir de télécharger une pièce jointe, de cliquer sur un lien, de remplir un formulaire, de mettre à jour un mot de passe, de composer un numéro de téléphone ou de se connecter à un nouveau point d’accès WiFi. Pour être efficace, les formations de sensibilisation à la sécurité doivent impérativement faire comprendre combien il est facile de se faire duper et de communiquer des informations confidentielles.

Six indices que vous êtes la cible d’un e-mail de phishing

Ce n’est pas parce que vous connaissez la personne dont le nom figure dans l’e-mail que celui-ci est sûr. Il est facile d’utiliser le nom de quelqu’un.

Vérifiez l’adresse électronique pour confirmer que le message provient effectivement de cette personne.

Prenez le temps de vérifier la formule de salutation.

S’il est indiqué «  Cher client » ou « Estimé client » au lieu de votre nom, prenez garde!

Les fraudeurs tentent d’induire un sentiment d’urgence afin de vous amener à agir plutôt qu’à réfléchir (p.ex. votre compte sera bloqué!).

Fautes de grammaire et d’orthographe? Aucune organisation légitime ne laisserait passer cela.

On vous demande des informations personnelles ou financières.

On vous demande de mettre à jour votre compte ou de changer votre mot de passe. Mais ne tombez pas dans le piège! Rapportez toute communication suspecte à votre centre de soutien informatique.

Les mails vous incitent normalement à cliquer sur un lien ou un bouton qui vous redirigera vers un faux site Web ou installera un maliciel (malware).

Ne cliquez jamais à moins d’être en mesure de confirmer l’identité de l’expéditeur.

En ouvrant la pièce jointe d’un fraudeur, vous ouvrez la porte au maliciel.

Un maliciel peut causer des ravages sur votre ordinateur ou même sur l’ensemble du réseau de votre organisation.

Une organisation légitime vous permettra d’entrer en contact avec elle, au besoin.

Ses coordonnées seront indiquées dans le courriel afin que vous puissiez communiquer avec elle et valider son authenticité.

Essayez de trouver les indices dans ces exemples d’e-mails de phishing :

La simulation de phishing vous permet d’identifier les employés à risque et de faire prendre conscience à votre équipe à quel point il est facile de se faire duper par un e-mail de phishing.

Comment prévenir le phishing

1. Informez vos employés sur le phishing. Tirez parti des outils de simulation de phishing pour leur apprendre à identifier les risques de phishing.

2. Utilisez des formations en cybersécuritéet des plateformes de simulation de phishing éprouvées afin que les risques liés à le phishing et à le social engineering restent parmi les préoccupations principales de vos employés. Formez en interne des champions de la cybersécurité dédiés à la protection de votre organisation.

3. Rappelez à vos responsables de la sécurité et champions de la cybersécurité de contrôler régulièrement le degré de sensibilisation de vos employés aux risques de phishing à l’aide d’outils de simulation. Utilisez les modules de microapprentissage sur le phishing pour informer et former, et changer les comportements.

4. Assurez une communication et une sensibilisation continues concernant la cybersécurité et le phishing. Cela passe par la mise en place de politiques de mots de passe forts et par le rappel constant à vos employés des risques liés aux pièces jointes, aux e-mails et aux adresses URL.

5. Établissez des règles d’accès au réseau qui limitent l’utilisation d’appareils personnels et le partage d’informations à l’extérieur de votre réseau d’entreprise.

6. Assurez-vous que tous les systèmes d’exploitation, outils réseau, applications et logiciels internes sont à jour et sécurisés. Installez des logiciels de protection contre les malwares et les pourriels.

7. Intégrez les campagnes de sensibilisation à la cybersécurité, la formation, le soutien et l’éducation à votre culture d’entreprise.

Qu’est-ce qu’une simulation de phishing ?

Une simulation de phishing est la meilleure façon de sensibiliser les utilisateurs sur les risques et d’identifier les employés les plus vulnérables aux attaques par phishing.

C’est un moyen d’intégrer la sensibilisation à la cybersécurité sous une forme interactive et informative.

Les simulations de phishing en temps réel sont un moyen rapide et efficace de former les collaborateurs et de renforcer leur vigilance face aux attaques. Les participants constatent par eux-mêmes comment l’arnaque du président, les courriers électroniques, les faux sites Web, les malware et le phishing ciblés sont utilisés pour voler des informations personnelles et d’entreprise.

Quels sont les dix principaux avantages des simulations de phishing?

La simulation de phishing offre à votre organisation les principaux avantages suivants :

1. Mesurer le degré de vulnérabilité de l’entreprise et des employés
2. Éliminer le niveau de risque de cybermenace
3. Renforcer la vigilance des utilisateurs face aux risques de phishing
4. Instaurer une culture de cybersécurité et former des champions de la cybersécurité
5. Changer les comportements afin d’éliminer les réflexes de confiance automatique

6. Déployer des solutions ciblées contre le phishing
7. Protéger vos précieuses données d’entreprise et personnelles
8. Répondre aux obligations de conformité du secteur
9. Évaluer les impacts des formations de sensibilisation à la cybersécurité
10. Segmenter les simulations de phishing

Pour en savoir plus sur les simulations de phishing et apprendre comment assurer la cybersécurité de votre entreprise, consultez les ressources suivantes, accessibles gratuitement :

Contactez nous au 1-866-889-5806 ou à [email protected] pour en savoir plus sur les simulations de phishing

Terranova Security s’engage à fournir des formations centrées sur la personne pour vous aider à améliorer la sensibilisation à la cybersécurité dans votre entreprise.