Comment l’hameçonnage survient-il?

L’hameçonnage survient lorsqu’une victime sans méfiance pose un geste en réponse à une demande provenant d’un courriel frauduleux. Il peut s’agir d’actions simples comme de cliquer sur une pièce jointe, autoriser des macros dans un document Word, mettre à jour un mot de passe, répondre à une demande sur LinkedIn ou un autre média social ou se connecter à une nouvelle zone d’accès sans fil.

Chaque année, les cybercriminels imaginent des attaques d’hameçonnage plus astucieuses et utilisent des méthodes éprouvées pour continuer à tromper et voler des victimes innocentes. L’hameçonnage pouvant prendre plusieurs formes différentes, il peut être difficile de distinguer une attaque d’hameçonnage d’un courriel, message vocal, message texte ou demande de renseignements légitime.

C’est pourquoi les simulations d’hameçonnage constituent la façon idéale de mesurer la sensibilisation au hameçonnage. La plupart des gens ne réalisent pas à quel point les courriels d’hameçonnage peuvent prendre différentes formes jusqu’à ce qu’ils fassent l’essai d’une simulation qui évalue leur sensibilisation au hameçonnage et à la cybersécurité.

Qu’est-ce que l’hameçonnage?

L’hameçonnage est un cybercrime basé sur la tromperie pour voler des informations privées et confidentielles aux individus et aux compagnies.

L’hameçonnage consiste à piéger les victimes pour les amener à révéler des informations pourtant confidentielles. Comme les cybercriminels se font passer pour une personne de confiance, les victimes ne remettent pas la demande en doute. Elles croient agir dans le meilleur intérêt de tous.

En général, les cybercriminels demandent des informations telles la date de naissance, le numéro d’assurance sociale, le numéro de téléphone, les détails de la carte de crédit et l’adresse à la maison. Ils peuvent également demander de réinitialiser le mot de passe.

Les cybercriminels utilisent ensuite cette information pour personnifier la victime et commettre différentes actions frauduleuses en son nom comme se procurer une carte de crédit, demander un prêt ou ouvrir un compte de banque. Certains cybercriminels utilisent les informations recueillies par hameçonnage pour lancer une cyberattaque plus ciblée qui nécessite de connaître des détails sur la victime (p.ex. harponnage ou BEC).

À titre d’exemple, plusieurs des attaques de BEC révélées par Operation reWired ont commencé avec un simple courriel d’hameçonnage. Les cybercriminels ont ainsi pu accéder aux victimes et utiliser leurs informations pour voler des fonds et lancer de vastes offensives de cyberattaques.

Différents types de courriels d’hameçonnage

Les différents types d’attaques d’hameçonnage évoluent au même rythme que les avancées technologiques d’Internet.

Courriel

Il s’agit de la forme la plus commune d’attaque d’hameçonnage. Les cybercriminels savent que la plupart des gens ne portent que peu d’attention à des éléments pourtant essentiels comme l’adresse courriel de l’expéditeur, l’URL ou les pièces jointes. Les courriels d’hameçonnage sont conçus pour ressembler à une communication légitime provenant, par exemple, du service à la clientèle d’Amazon, de Paypal, d’une banque ou d’une autre entreprise reconnue.

Harponnage

 Cette attaque d’hameçonnage ciblée utilise des données recueillies antérieurement sur la victime ou son employeur. En général, les courriels de harponnage utilisent un langage urgent et familier pour encourager la victime à agir.

Manipulation de liens

 Cette attaque s’appuie sur des courriels formulés avec soin comprenant un lien malveillant vers un site Web connu comme LinkedIn. En cliquant sur le lien, les victimes sont dirigées vers un faux site Web identique au site original où elles sont encouragées à confirmer ou à mettre à jour les informations de leur compte.

Faux sites Web

 Les cybercriminels envoient des courriels d’hameçonnage qui comprennent des liens vers des faux sites Web en apparence identiques aux sites originaux. À titre d’exemple, un courriel d’hameçonnage pourrait inciter la victime à télécharger une nouvelle interface pour son compte courriel en cliquant sur un lien vers un faux compte de connexion. Ce faux site Web possède un URL similaire au vrai, par exemple mail.update.yahoo.com au lieu de mail.yahoo.com.

Fraude du président

 Ce type de courriel d’hameçonnage utilise une adresse courriel familière à la victime. L’envoi semble provenir du président, des ressources humaines ou du soutien informatique. Le message demande à la victime de passer à l’action – transférer des fonds, mettre à jour les renseignements d’un employé ou installer une nouvelle application sur son ordinateur.

Injection de contenu

Les cybercriminels piratent un site Web connu et y incluent une page de connexion ou une fenêtre surgissante qui dirige les visiteurs vers un faux site web.

Détournement de session

Cette attaque d’hameçonnage sophistiquée permet aux criminels d’accéder au serveur Web d’une entreprise et de dérober les informations confidentielles qui y sont stockées.

Maliciel

 Il suffit de cliquer sur la pièce jointe d’un courriel pour installer un logiciel malicieux sur un ordinateur ou sur le réseau d’une entreprise. Ces pièces jointes semblent légitimes ou peuvent même prendre la forme d’une vidéo ou d’un GIF amusant de chat.

Jumeau maléfique sans fil

Les victimes se connectent involontairement à une copie piratée d’un point d’accès sans fil gratuit. En général, les points d’accès à risque sont situés dans les cafés, aéroports, hôpitaux, centres commerciaux, parcs publics – partout où il est susceptible d’y avoir un accès sans fil.

Hameçonnage sur appareils mobiles

Un message qui indique au destinataire de mettre à jour les détails de son compte, de changer son mot de passe ou que son compte a été corrompu est transmis par message texte, boîte vocale, sur les médias sociaux ou sur n’importe quelle application d’un appareil mobile utilisant une messagerie intégrée. Le message comprend un lien utilisé pour voler les informations personnelles de la victime ou installer un maliciel sur l’appareil mobile.

Hameçonnage vocal

Un interlocuteur insistant laisse un message qui incite le destinataire à communiquer immédiatement avec un autre numéro de téléphone. Ces messages sont conçus pour faire naître un sentiment d’urgence et pour convaincre la victime que, par exemple, son compte de banque sera suspendu si elle ne répond pas.

L’homme-du-milieu

Cette attaque d’hameçonnage sophistiquée amène deux personnes à croire qu’elles échangent des courriels. En réalité, l’hameçonneur leur transmet des faux courriels leur demandant de partager de l’information ou de mettre à jour des données corporatives confidentielles.

Publicité malveillante

Ce type de maliciel utilise la publicité en ligne ou les fenêtres surgissantes pour encourager les gens à cliquer sur un lien qui permet l’installation d’un maliciel sur leur ordinateur.

Des exemples de courriels d’hameçonnage

Ces différents types d’attaques d’hameçonnage par courriel sont liés par un dénominateur commun : l’ingénierie sociale. L’ingénierie sociale, tout comme l’hameçonnage, mise sur la tendance humaine à faire confiance aux gens et aux entreprises.

Les gens sont occupés. Ils ne prennent pas le temps de valider les détails des courriels d’hameçonnage et assument que la demande est légitime. Les victimes de courriels d’hameçonnage croient travailler dans l’intérêt de la compagnie lorsqu’ils transfèrent des fonds, mettent à jour des informations de connexion ou fournissent l’accès à des produits exclusifs.

(exemple d’un courriel d’hameçonnage)

Assurez-vous que vos collègues connaissent ces exemples communs de courriels d’hameçonnage :

Désactivation de compte

Un courriel semblant provenir de Paypal informe la victime que son compte a été compromis et qu’il sera désactivé si elle ne fournit pas ses informations de carte de crédit. Le courriel comprend un lien vers un faux site Web de Paypal et les informations volées sont utilisées pour commettre des crimes futurs.

Compromission de la carte de crédit

Sachant que la victime a récemment fait un achat chez Apple, par exemple, le cybercriminel envoie un courriel semblant provenir du service à la clientèle de cette compagnie. Le courriel informe la victime que ses informations de carte de crédit pourraient avoir été compromises et qu’elle doit confirmer ses informations pour protéger son compte.

Transfert de fonds

Un courriel urgent est envoyé par le président pendant un de ses déplacements. Le courriel demande à la victime d’aider le président en transférant des fonds à un partenaire à l’étranger. Il précise que le transfert de fonds est urgent et indispensable pour conclure un nouveau partenariat. La victime n’hésite pas à transférer les sommes puisqu’elle croit agir dans le meilleur intérêt de l’entreprise.

Demande sur les médias sociaux

La victime reçoit une demande d’amitié sur Facebook d’une personne avec qui elle a un ami en commun. Bien qu’elle ne connaisse pas la personne, elle assume que la demande est légitime à cause de l’ami commun. Par la suite, ce nouvel ami lui envoie un message Facebook contenant un lien vers une vidéo. En cliquant sur le lien, un maliciel est installé sur l’ordinateur et potentiellement sur le réseau de la compagnie.

Faux accès à Google Docs

Un cybercriminel envoie un courriel pour inciter les gens à se connecter à une fausse page d’accès à Google Docs. Le courriel pourrait ressembler à ceci : « Nous avons mis à jour notre politique sur les données d’accès, veuillez confirmer votre compte en vous connectant à Google Docs ». L’expéditeur possède une fausse adresse courriel Google, par exemple accountupdate@google.org.com.

(exemple d’un courriel d’hameçonnage)

Demande de soutien technique

Les employés reçoivent un courriel du service informatique leur demandant d’installer un nouveau logiciel de messagerie instantanée. Le courriel semble réel, mais l’adresse courriel a été falsifiée (p.ex. support@acme.com au lieu de internalsupport@acme.com). Lorsque les employés installent le logiciel, un rançongiciel est installé sur le réseau de l’entreprise.

Chacun de ces exemples d’attaques d’hameçonnage souligne à quel point il est facile de se faire piéger par un courriel. Plus les utilisateurs sont familiers avec le fonctionnement du hameçonnage, plus il est facile d’entretenir une culture de cybersécurité.

Profitez de l’essai gratuit de simulation d’hameçonnage de Terranova Security pour augmenter la sensibilisation sur les attaques d’hameçonnage par courriel.

Comment se protéger contre les courriels d’hameçonnage

Pour vous protéger contre les courriels d’hameçonnage, vous devez augmenter la sensibilisation des utilisateurs face au fonctionnement du hameçonnage. En leur démontrant à quel point il est facile de tomber dans le piège du hameçonnage, ils seront plus susceptibles de prendre le temps d’analyser les détails des courriels avant de répondre automatiquement, de cliquer sur un lien ou de télécharger une pièce jointe.

Pour vous protéger contre les courriels d’hameçonnage, rappelez-vous de ces cinq éléments clés pour construire une culture de cybersécurité :

  1. Informer : utilisez la formation en sensibilisation à la sécurité et les microapprentissages sur l’hameçonnage pour éduquer, former et changer les comportements.
  2.  Évaluer : utilisez des outils de simulation d’hameçonnage pour évaluer les connaissances de vos employés et identifier ceux qui sont à risque d’être victime d’une cyberattaque. 
  1. Communiquer : effectuez des communications et des campagnes en continu sur les courriels d’hameçonnage, l’ingénierie sociale et la cybersécurité. 
  1. Intégrer : planifiez des campagnes de sensibilisation à la cybersécurité, des formations, du soutien, de l’éducation et de la gestion de projet au sein de votre culture d’entreprise. 

Vous souhaitez être protégé des attaques d’hameçonnage. Vous souhaitez que vos collègues soient protégés des attaques d’hameçonnage. Et vous souhaitez que votre entreprise soit protégée des attaques d’hameçonnage.

La meilleure façon d’y parvenir est de créer une culture de sensibilisation à la cybersécurité. La première étape est d’identifier les personnes à risque. Profitez de notre outil gratuit de simulation d’hameçonnage pour commencer à développer une culture de sensibilisation à la cybersécurité.

 


 

Webinaire – Les 5 étapes émotionnelles de l’hameçonnage (phishing)

Lorsqu’ils sont victimes d’hameçonnage, vos utilisateurs risquent de passer par plusieurs émotions. Inscrivez-vous à cette webdiffusion gratuite pour apprendre comment la formation en sensibilisation à la sécurité peut avoir un impact positif sur vos utilisateurs.