Qu'est-ce que le phishing ?
Une technique utilisée pour obtenir des données précieuses sur les utilisateurs qui peuvent être vendues ou utilisées par les attaquants à des fins malveillantes, telles que extorsion, vol d'argent, or vol d'identité.
Avez-vous déjà reçu un courriel, un texte ou une autre forme de communication électronique semblant provenir d'une banque ou d'un autre service en ligne populaire, qui vous demandait de "confirmer" les informations d'identification de votre compte, un numéro de carte de crédit ou d'autres informations sensibles ? Si c'est le cas, vous savez déjà à quoi ressemble une attaque de phishing courante.
Origine du terme
Le concept a été décrit pour la première fois en 1987 dans un document de conférence rédigé par Jerry Felix et Chris Hauck et intitulé "System Security : A Hacker's Perspective" (1987 Interex Proceedings 1:6). Il y était question de la technique consistant pour un attaquant à imiter une entité ou un service de bonne réputation. Le mot lui-même est un homophone de "pêcher" des cibles – car il utilise la même logique de "pêche à l'appât". Le "ph-" au début est une référence à “phreaks”, un groupe de pirates informatiques qui ont expérimenté et exploré illégalement les frontières des systèmes de télécommunication dans les années 1990.
Comment fonctionne le phishing ?
Le phishing existe depuis des années et, depuis, les attaquants ont mis au point un large éventail de méthodes pour cibler les victimes.
La technique d'hameçonnage la plus courante consiste à se faire passer pour une banque ou une institution financière par l'intermédiaire de courriel, pour inciter la victime à remplir un faux formulaire contenu dans le message électronique ou joint à celui-ci, ou à visiter une page web demandant la saisie de données de compte ou d'identifiants de connexion.
En savoir plus
Les informations volées aux victimes sont généralement utilisées pour vider leurs comptes bancaires ou sont vendues en ligne.
Des attaques similaires peuvent également être effectuées via appels téléphoniques (vishing) ainsi que SMS messages (smishing).
Spearphishing
Il s'agit d'une méthode d'hameçonnage plus avancée par laquelle des messages d'hameçonnage apparemment authentiques atterrissent dans les boîtes de réception de groupes, d'organisations ou même d'individus spécifiques. Les auteurs de courriels de spearphishing effectuent des recherches détaillées sur leur(s) cible(s) à l'avance, ce qui rend difficile l'identification du contenu comme frauduleux.
Les attaques dirigées contre des entreprises spécifiques, généralement très médiatisées, telles que des cadres supérieurs ou des propriétaires, sont qualifiées de "chasse à la baleine", en raison de l'importance des gains potentiels (les méchants s'attaquent aux "gros poissons").
Comment reconnaître le phishing
Dans le passé, des noms de domaine mal orthographiés ou trompeurs étaient souvent utilisés à cette fin. Aujourd'hui, les attaquants utilisent des méthodes plus sophistiquées, faisant en sorte que les liens et les fausses pages ressemblent étroitement à leurs homologues légitimes.
Un courriel ou un message électronique peut contenir des logos officiels ou d'autres signes d'une organisation réputée et provenir malgré tout d'hameçonneurs. Voici quelques exemples hints qui peut vous aider à repérer un message d'hameçonnage.
Signes suspects
- Salutations génériques ou informelles – Si un message manque de personnalisation (par exemple "Cher client") et de formalité, il y a probablement quelque chose qui ne va pas. Il en va de même pour la pseudo-personnalisation à l'aide de faux numéros de référence aléatoires
- Une demande d'informations personnelles – Fréquemment utilisé par les hameçonneurs, il est généralement évité par les banques, les institutions financières et la plupart des services en ligne
- Mauvaise grammaire – Les fautes d'orthographe, les fautes de frappe et les formulations inhabituelles indiquent souvent qu'il s'agit d'un faux (mais l'absence de ces éléments n'est pas une preuve de légitimité)
- Correspondance inattendue – Un contact non sollicité de la part d'une banque ou d'un fournisseur de services en ligne est très inhabituel et donc suspect
- Un sentiment d'urgence – Les messages de phishing tentent souvent d'inciter à une action rapide et peu réfléchie
- Une offre que vous ne pouvez pas refuser ? – Si le message semble trop beau pour être vrai, c'est très certainement le cas
- Domaine suspect – Une banque américaine ou allemande enverrait-elle vraiment un courrier électronique provenant d'un domaine chinois ?
Comment se protéger du phishing
Pour éviter de tomber sur un appât de phishing, soyez attentif aux indicateurs susmentionnés par lesquels les messages de phishing
se trahissent couramment. Suivez ces étapes simples :
Soyez au courant des nouvelles techniques d'hameçonnage
Suivez les médias pour obtenir des informations sur les attaques de phishing, car les attaquants peuvent mettre au point de nouvelles techniques pour attirer les utilisateurs dans un piège.
Ne communiquez pas vos informations personnelles
Soyez toujours vigilant si un message électronique provenant d'une entité apparemment digne de confiance vous demande vos informations d'identification ou d'autres données sensibles.
Réfléchissez à deux fois avant de cliquer
Si un message suspect contient un lien ou une pièce jointe, ne cliquez pas et ne téléchargez pas. Vous risqueriez de vous retrouver sur un site web malveillant ou d'infecter votre appareil avec des logiciels malveillants.
Vérifiez régulièrement vos comptes en ligne
Même si vous ne pensez pas que quelqu'un essaie de voler vos informations d'identification, vérifiez vos comptes bancaires et autres comptes en ligne pour détecter toute activité suspecte. Au cas où.
Utiliser une solution anti-phishing fiable.
Appliquez ces techniques et profitez d'une technologie plus sûre'.
Exemples notables
L'hameçonnage systématique a commencé dans les Réseau America Online (AOL) en 1995. Pour voler les identifiants de comptes légitimes, les attaquants ont contacté les victimes via AOL Instant Messenger (AIM), se faisant souvent passer pour des employés d'AOL chargés de vérifier les mots de passe des utilisateurs. Le terme "phishing" est apparu dans un groupe de discussion Usenet consacré à un outil appelé AOHell qui a automatisé cette méthode, et le nom est resté. Après qu'AOL a introduit des contre-mesures en 1997, les attaquants ont réalisé qu'ils pouvaient utiliser la même technique dans d'autres parties du monde en ligne - et se sont tournés vers les sites web de l'UE usurpation de l'identité d'une institution financière.
Autres exemples passés
L'une des premières tentatives d'envergure, bien qu'elle ait échoué, a eu lieu dans les pays suivants 2001, en profitant du chaos provoqué par les attentats du 11 septembre. Les hameçonneurs ont envoyé des courriels demandant à certaines des victimes de vérifier leur identité, en essayant d'utiliser les données obtenues pour voler des informations financières sur le service de monnaie numérique e-gold.
Il n'a fallu que trois ans de plus pour que le phishing s'implante solidement dans le monde en ligne et que, d'ici la fin de l'année, le phishing se soit répandu dans le monde entier 2005 it already avait coûté aux utilisateurs américains plus de 900 millions de dollars.
Selon la APWG Global Phishing Survey, plus de 250 000 attaques uniques de phishing ont été observées dans les 2016, en utilisant un nombre record de noms de domaine enregistrés de manière malveillante, dépassant la barre des 95 000. Ces dernières années, les hameçonneurs ont eu tendance à se concentrer sur les services bancaires, financiers et monétaires, sur les clients du commerce électronique et sur les identifiants de réseaux sociaux et de courrier électronique.
ESET vous protège contre le phishing
ESET Sécurité plus pour les particuliers
Protection puissante et multicouche pour crypter les données sensibles, gérer facilement les mots de passe, sécuriser les transactions en ligne, etc. Une solution conviviale pour une meilleure confidentialité en ligne. Sécurise les appareils Windows, macOS, Android et iOS.
