Qu'est-ce que le phishing ?
Avez-vous déjà reçu un email, un message ou toute autre forme de communication électronique soit disant de la part d'une banque ou d'un prestataire de services en ligne, qui vous demandait de "confirmer" vos identifiants, les numéros de votre carte de crédit ou d'autres informations sensibles ? Si c'est le cas, vous savez déjà à quoi ressemble une tentative de phishin. Cette techniques est également utilisée pour obtenir des informations de valeur qui peuvent ensuite être vendues ou utilisées à des fins illégales telles que l'extortion de fonds, ou l'usurpation d'identité.
Origine du terme
Le concept a été décrit pour la première fois en 1987 dans un communiqué rédigé par Jerry Felix et Chris Hauck intitulé “System Security: A Hacker’s Perspective” qui mettait en lumière la méthode utilisée par un criminel pour imiter une entité ou un prestataire reconnu. Le mot est un homophone de “fishing” (pêche en français), puisqu'un "appât" est utilisée pour attraper la cible. Le “ph-” au début renvoit aux “phreaks”, un groupe de pirates qui utilisait les systèmes de télécommunication de manière illégale durant les années 90.
Comment fonctionne le phishing ?
Le phishing existe depuis longtemps, et au cours des années, les cybercriminels ont développé un large panel de méthodes pour atteindre leurs victimes.
La technique de phishing la plus répandue reste l'envoi d'email en prétendant être un organisme financier ou bancaire dans le but de tromper la victime et de la forcer à remplir un formulaire ou à visiter une page web demandant des informations personnelles ou des logins et mots de passe.
Par le passé, des noms de domaines mal orthographiés étaient souvent utilisés. Aujourd'hui, les cybercriminels se servent de méthodes plus sophistiquées et avancées afin de rendre les liens et pages factices plus semblables à leurs équivalents légitimes.
En savoir plus
Les informations volées aux victimes sont souvent vendues sur Internet ou utilisées pour voler des fonds.
Des attaques similaires peuvent également être menées via des appels téléphoniques (vishing) ainsi que par SMS(smishing).
Spear phishing (harponnage)
Il s'agit d'une méthode avancée de phishing qui vise les boîtes mail d'entreprises, de personnes ou de groupes spécifiques. Les auteurs de harponnage effectuent des recherches détaillées sur leurs cibles au préalable afin de rendre le contenu frauduleux plus difficile à identifier comme tel.
Les attaques se concentrent sur des profiles spécifiques, tels que des responsables haut placés ou des businessmen. On parle alors de "pêche à la baleine" (whaling) , en raison de l'importance des revenus potentiels (les cybercriminels vont "à la pêche au gros").
Comment reconnaître le phishing ?
Un email peut contenir un logo officiel ou d'autres signes d'un organisme réputé mais tout de même être l'oeuvre de cybercriminels. Nous avons recensé pour vous des indicesqui peuventvous aider à repérer du phishing.
En savoir plus
- Salutations génériques ou informelles – Si un message manque de personnalisation (par exemple :"Cher Client") et de formalité, alors il y a certainement de quoi se méfier. Les mêmes règles s'appliquent aux messages soit disant personnalisés qui utilisent des numéros de références aléatoires et faux.
- Une demande d'informations personnelles – Ce type d'information est demandé et recherché par les cybercriminels alors que les banques, les instituts financiers et la plupart des services en ligne ne les demandent pas.
- Une grammaire pauvre – Les erreurs d'orthographe, les typos et la syntaxe inhabituelle indiquent souvent qu'il s'agit d'un mail frauduleux (mais l'absence de ces erreurs n'est en aucun cas une preuve de légitimité).
- Des contacts inattendus – Des messages inhabituels ou inattendus de la part de fournisseurs de services en ligne sont également suspicieux.
- L'urgence – Les messages de phishing cherchent à induire un sentiment d'urgence afin de provoquer des actions peu rationnelles.
- Une offre que vous ne pouvez pas refuser ? – Si le message est trop beau pour être vrai, il s'agit presque obligatoirement d'un
- domaine frauduleux – Une banque allemande ou américaine utiliserait-elle un domaine chinois pour envoyer un email ?
Comment vous protéger contre le phishing ?
Pour éviter le phishing, gardez à l'esprit les indications ci-dessus qui mettent en lumières les failles du phishing.
Suivez ces étapes
- Méfiez-vous des nouvelles techniques de phishing : Suivez l'actualité pour rester informé des dernières attaques, puisque les cybercriminels développent sans cesse des nouvelles techniques pour piéger leurs victimes.
- Ne diffusez pas vos informations personnelles : Méfiez-vous touorus dès qu'un expéditeur soit disant fiable vous demande des informations personnelles ou sensibles. Au besoin, vérifiez le contenu du message avec l'expéditeur ou l'organisation qu'il représente (en utilisant les coordonnées que vous connaissez ou qui proviennent d'un autre email).
- Réfléchissez avant de cliquer : Si un message suspect fournit un lien ou une pièce-jointe, ne cliquez pas et ne téélchargez rien. En le faisant vous risquez de visiter un site malveillants ou 'infecter votre appareil avec un virus.
- Vérifiez régulièrements vos comptes en ligne : Même si vous ne suspectez pas qu'on puisse vous voler vos données, vérifiez votre compte bancaire et vos autres comptes en ligne, juste au cas où…
- Utilisez une solution anti-phishing fiable. Appliquez ces règles et "profitez d'Internet en toute sérénité"
Exemples notables
Le phishing a démarré sur le réseau America Online (AOL) en 1995. Pour voler les informations et données des comptes, les cyberciminels contactaient les victimes via le service de messagerie instantanné AOL (AIM), et prétendaient être des employés de chez AOL souhaitant vérifier les mots de passe des utilisateurs. Le terme "phishing" est apparu sur un groupe Usenet qui se focalisait sur un outil appelé AOHell qui automatisait le subterfuge. Le nom est ensuite resté. Après qu'AOL ait mis en place des contremesures en 1997, les cybercriminels se sont rendus compte qu'ils pouvaient utiliser la même technique sur d'autres plateformes en ligne. Ils iont commencé alors à se faire passer pour des institutions financières.
En savoir plus
Une des premières tentatives de phishing importante a eu lieu en 2001 a tiré profit du chaos généré par les attentats du 11 septembre. Des emails demandant une vérification d'identité ont été envoyés dans le but d'utiliser les données pour voler les informations financières des utilisateurs du service financier e-gold.
En trois ans, la pratique du phishing s'est démocratisée sur Internet et en 2005 elle avait déjà coûté plus de 900 millions de dollars aux serveurs américains.
Selon le sondage mondial APWG, plus de 250.000 attaques de phishing ont été recensées en 2016. Ces attaques utilisaient un nombre record de noms de domaines malveillants (plus de 9500). Récemment, les auteurs de phishing ont plutôt tendance à se focaliser sur les services des secteurs bancaires et financiers, sur le e-commerce, les réseaux sociaux numériques et les emails.
ESET vous protège contre le phishing
Merci pour votre téléchargement
Votre téléchargement eset_smart_security_premium_live_installer.exe a démarré automatiquement. Si votre téléchargement ne démarre pas automatiquement, merci de cliquer ici.
Profitez d'Internet en toute sécurité grâce à ESET