Phishing : les bonnes pratiques pour éviter l’arnaque

En 2020, c’est près de 79% d’entreprises touchées par les attaques au phishing, avec une augmentation exponentielle lié au confinement et à la crise sanitaire. Cet abus de confiance, parfois de vulnérabilité, cause la perte de données inestimables pour bons nombre de d’entreprises. Comment donc lutter contre un ennemi qui prend l’apparence d’un tiers de confiance ?

Définition du phishing

L’hameçonnage – ou phishing, en anglais – est une technique d'ingénierie sociale très répandue sur internet, car simple, qui consiste à usurper l’identité d’une administration, d’un service ou d’une personne de confiance dans le but de tromper un utilisateur et de l’inciter à communiquer des données personnelles ou sensibles le concernant.

Le phishing est considéré comme une forme de spam : une campagne d’e-mails non sollicités par les internautes, intempestifs, parfois vecteurs de fichiers infectés ou de liens dangereux.

Le phishing se fait principalement par voie électronique, via e-mail, web, appel (Vishing) ou SMS (SMiShing) et consiste en un message teinté d’urgence, l’appât, et d’un lien cliquable pour exécuter immédiatement l’action demandée.

Il existe plusieurs types de phishing :

  • L’hameçonnage ciblé – ou spear-phishing : contrairement aux attaques traditionnelles qui ratissent le web pour toucher un maximum de personnes, le spear-phishing consiste à cibler des entités précises et à donc adopter un mode opérationnel personnalité. LinkedIn est particulièrement sujet au spear-phishing dans la mesure où les cybercriminels obtiennent toutes les informations dont ils ont besoin pour attaquer l’entreprise qui les intéresse.
  • Le harponnage – ou whaling : consiste à un phishing ciblé plus ambitieux, c’est-à-dire de grande valeur (entreprise et gouvernement). En 2016, le coût moyen de ces attaques s’élevait à 1.8 millions de dollars.
  • Le clonage – ou clone phishing : les cybercriminels reproduisent à l’identique des e-mails légitimes déjà envoyés. Les pièces jointe ou lien contenus dans ces mails sont alors remplacés par des équivalents malveillants et nuisibles
  • L’attaque homographe : l’attaque consiste en un lien piégé dont le nom induit en erreur : on est en fait redirigé vers un autre site que celui auquel on s’attendait. Certaines lettres de l’URL sont par exemple remplacées ( l minuscule ou i majuscule / w ou vv).
  • L’arnaque au président : le pirate se fait passer pour un membre de la direction d’une entreprise et demande à un utilisateur de payer une commande pour un client que vous connaissez mais dont l’adresse sera légèrement modifiée.
  • Le pharming : vous êtes conduit sur la version frauduleuse d’un site web légitime en infectant votre serveur DNS et en détournant le trafic.

Comment reconnaître une attaque phishing

Les attaques de phishing créent un sentiment d’urgence chez l’utilisateur et utilisent la peur pour corrompre leur jugement et leur vigilance. Plusieurs signes devraient vous alerter de la supercherie.

  • L’offre est trop belle pour être vraie (une prime soudaine, une grosse réduction, etc)
  • L’expéditeur ne vous est pas inconnu, mais vous ne communiquez pas habituellement ensemble. Le contenu de l’e-mail ne concerne d’ailleurs pas vos responsabilités professionnelles normales.
  • Le message est anxiogène et alarmant : il vous précipite à commettre une action pour répondre à tel événement survenu (Une transaction non autorisée sur votre compte est survenue, cliquez ici pour voir de quoi il s’agit)
  • Des pièces inattendues sont jointes au message.
  • Le message peut contenir des fautes de frappe, d’orthographe, de syntaxe, de forme ou une altération du logo (elle peut être minime comme grossière). A savoir que maintenant, les messages frauduleux contiennent rarement des fautes. Les tournures sont impersonnelles : un de vos identifiants peut être utilisés pour vous faire croire qu’on s’adresse à vous. Vérifiez qu’on mentionne bien votre nom et votre prénom.
  • Le message contient un lien hypertexte. Survolez le lien et surveillez l’adresse URL qui s’affiche, cherchez les fautes ou quelconques anomalies. A défaut d’en trouver, cherchez le site de l’organisme par vous-même dans votre moteur de navigation.

Comment se protéger ?

La vigilance est le maître mot pour ne pas se faire avoir par les tentatives de phishing et d'attaques d'ingénierie sociale en général comme l'attaque au point d'eau. Certains éléments notoires peuvent vous aider à identifier les mails frauduleux.

Les e-mails restent d’une manière générale très anonymes et utiliseront rarement votre identité entière, ils se contenteront de formules de politesses vagues « Cher client », « Madame », « Monsieur », etc.
Ne cliquez pas avant d’avoir lu l’intégralité du contenu.

Les institutions officielles ou administrations (services publics, banques, mutuelles, etc) ne s’adresseront jamais à vous par mails pour saisir vos données confidentielles.

Tapez vous-mêmes l’adresse d’un organisme dans un navigateur et ne cliquez pas sur les liens contenus dans les courriers électroniques qui peuvent en réalité rediriger vers des sites malveillants.

N’ouvrez pas les e-mails des expéditeurs que vous ne connaissez pas. Si une adresse ou le contenu d’un mail vous paraît illégitime, cherchez des informations sur un moteur de recherche pour savoir si les attaques de ce type sont connues.

Utilisez un logiciel de sécurité anti-malwares dans tous les cas : il sera en mesure de signaler si une pièce jointe ou un lien n’est pas conforme à ce qu’il devrait être.