InMy.Live

L’hameçonnage est l’exploitation de toute faiblesse, qu’elle soit technologique ou humaine, pour recueillir des informations personnelles et/ou sensibles auprès d’un individu ou d’une organisation à des fins frauduleuses. Les attaques sont effectuées en usurpant l’identité d’une entité de confiance, généralement par e-mail, téléphone (vishing) ou messages privés (smishing).

L’hameçonnage cherchera à voler les types d’informations sensibles suivants :

• Mots de passe
• Noms d’utilisateur
• Numéros de sécurité sociale
• Codes d’accès
• Informations Bancaires
• Dossiers médicaux

Une fois que les attaquants ont obtenu ces informations, elles sont ensuite utilisées pour menacer les parties concernées d’obtenir une indemnisation, voler des informations vitales ou accéder à des comptes importants. Cela peut entraîner des pertes financières, une réputation affectée et des données sensibles compromises pour l’organisation ciblée.

L’origine de cette pratique malveillante remonte au milieu des années 90, vers 1995. La première vague d’hameçonneurs a atteint un taux de réussite important car ces types d’escroqueries étaient inconnus à l’époque.

America Online (AOL) était l’un des principaux fournisseurs d’accès Internet et avait un succès modéré avec d’autres services Internet. Un groupe de pirates appelé la « communauté warez » a commencé à voler les informations d’identification d’autres utilisateurs et les a utilisées pour générer de fausses cartes de crédit afin d’ouvrir de faux comptes AOL pour spammer encore plus d’utilisateurs. AOL a finalement mis fin à ces incidents avec de fortes mises à jour de sécurité, mais les attaques ont évolué comme d’habitude. La nouvelle méthode consistait à se faire passer pour des employés d’AOL et à demander aux utilisateurs de “vérifier” leurs comptes, y compris, bien sûr, les mises à jour des informations de facturation. Les pratiques de phishing n’étant connues que des passionnés et des professionnels, la plupart des utilisateurs ont été victimes d’arnaques.

Malheureusement, et même si les tactiques et les tendances se sont affinées, l’essence du phishing reste la même, simplement parce qu’il cible nos faiblesses en tant qu’êtres humains (curiosité, inconscience, ignorance, etc.).

Il existe une grande variété de façons d’exécuter le phishing ; cependant, nous pouvons séparer les éléments les plus courants et les plus fondamentaux de chaque interaction. Nous nous concentrons sur le phishing par e-mail, mais cela peut également s’appliquer au phishing par SMS (smishing) ou au phishing vocal (vishing).

Les offres provenant d’entreprises dont nous n’avons jamais entendu parler, avec lesquelles nous n’avons jamais eu d’affiliation ou dont nous ne savons pas comment elles ont obtenu nos coordonnées pourraient être du phishing. Ces offres sont généralement extrêmement perceptibles et impressionnantes (la plupart du temps, trop belles pour être vraies), ce qui est une pratique courante parmi les hameçonneurs en masse.

Ces e-mails sont intégrés avec un sentiment d’action immédiate et d’urgenceavec le risque de faire face à des conséquences telles que la désactivation permanente de comptes, l’annulation d’adhésions ou la perte d’une opportunité unique, entre autres.

À moins que l’entité de confiance n’ait été compromise, le nom de l’expéditeur ne correspondra jamais au nom d’origine dans l’e-mail. Les attaquants cherchent toujours à tromper les victimes en utilisant des domaines de nature similaire. Par exemple, un attaquant peut utiliser paypa1.com au lieu de paypal.com, ou Aṁazon.com au lieu d’Amazon.com. Il s’agit d’un drapeau rouge immédiat indiquant que l’e-mail n’est pas légitime. La plupart du temps, cependant, ils utilisent n’importe quel nom de domaine disponible et modifient plutôt le “De” pour simuler un expéditeur légitime.

Le récepteur peut également être vital pour l’examen. Si l’e-mail a été envoyé à plusieurs utilisateurs non liés (hameçonnage en masse), ou si votre e-mail n’est pas explicitement dans la liste des destinataires (il a été envoyé à une liste de diffusion à la place), cela peut être une raison de se méfier de l’e-mail et de l’expéditeur.

Le véritable mobile de ces attaques est d’obliger l’utilisateur à télécharger un fichier malveillant (malware), en accédant à un site Web compromis ou en révélant des informations. Ils incluront souvent la “solution” à votre problème urgent dans l’e-mail sous la forme d’un fichier, d’un lien de vérification ou d’un formulaire à remplir.

À partir de l’image ci-dessus, nous pouvons conclure qu’il s’agit d’une escroquerie par hameçonnage.

Tout d’abord, regardez attentivement l’adresse “De” : elle a été camouflée avec des caractères étrangers pour paraître légitime, mais la véritable adresse d’envoi de l’e-mail est .

Nous pouvons également remarquer que l’adresse “To” n’est pas notre adresse spécifique, mais customer@live.com. La rédaction de ces e-mails s’accompagne généralement de quelques erreurs grammaticales, mais les points principaux ici sont le sens de “l’urgence” et la solution immédiate. Ils affirment que des mesures seront prises si un problème n’est pas résolu immédiatement et présentent un lien pour “résoudre” la situation, qui vous redirige vers un clone du site officiel, modifié pour prendre vos informations d’identification et les envoyer à l’attaquant.

Dans ce scénario, la meilleure action absolue consiste à ne pas répondre à l’e-mail, à ne cliquer sur aucun lien dans l’e-mail et à ne télécharger aucune pièce jointe. Au lieu de cela, rendez-vous sur le site réel (dans ce cas, le site d’Amazon) et vérifiez l’état de votre compte.

Il existe plusieurs approches et tendances dans le monde du phishing. Même si la plupart d’entre eux incluent les éléments communs décrits dans la section précédente (liens malveillants et pièces jointes), cela n’arrête pas la créativité de ces criminels.

Les cinq méthodes de phishing les plus courantes sont les suivantes :

L’hameçonnage de menace est une méthode d’opération courante. Les agresseurs prétendent détenir des informations vitales sur un individu ou une organisation, et ils exigent une transaction intraçable (utilisant généralement une crypto-monnaie) pour supprimer les informations ou déverrouiller le système. La différence entre ceci et un attaque de rançongiciel c’est que le criminel ne fait que bluffer. La plupart du temps, l’e-mail lui-même contient des pièces jointes ou des liens avec de vrais ransomwares qui peuvent compromettre l’organisation. Dernièrement, même des organisations que nous considérions comme interdites, comme les hôpitaux, sont ciblées.

Dans cette arnaque, on vous demande de mettre à jour ou de vérifier les informations de votre compte, révélant les noms d’utilisateur et les mots de passe ; e-mails, numéros de compte et numéros de téléphone ; et d’autres informations pertinentes à l’attaquant. Il s’agit de la plus ancienne méthode de phishing.

Dans cette méthode d’attaque, vous devez mettre à jour vos coordonnées bancaires (et même des numéros de sécurité sociale) parce que votre récent “paiement” a échoué et que votre commande ne peut pas être livrée. Cette tactique est également utilisée pour désigner les échecs de livraison. Il s’agit d’un mécanisme fréquemment utilisé pour le vol d’identité.

Ce schéma consiste en une lettre urgente d’un organisme de l’administration fiscale indiquant que vous avez un solde en attente. Pour éviter une action en justice, vous devrez émettre un paiement sur un compte spécifique (qui n’est pas un compte gouvernemental). Cela ne se limite pas aux organisations fiscales. L’e-mail, le SMS ou l’appel peut également impliquer que vous avez sollicité un service illégal et que vous devez payer une amende pour éviter des pénalités ou que vous avez une facture en attente d’un service impayé acquis il y a des années.

L’hameçonnage sur les réseaux sociaux est en train de devenir l’un des points d’entrée les plus populaires pour les hameçonneurs. Compte tenu de la base d’utilisateurs massive de ces plates-formes, il est facile d’étendre l’arnaque pour atteindre un grand nombre de personnes. Ces escroqueries peuvent inclure des enchevêtrements romantiques pour induire une extorsion ultérieure, cliquer sur un lien annonçant des essais gratuits ou des offres incroyables, des suggestions pour passer un appel téléphonique pour un service premium (qui s’avère être un numéro de téléphone avec un tarif premium qui monte en flèche votre facture) , ou des escrocs se faisant passer pour des personnes de confiance pour demander de l’argent.

Il existe trois principaux types d’escroqueries par hameçonnage :

L’hameçonnage en masse est la forme la plus générale d’hameçonnage et repose sur l’envoi par l’attaquant du même message d’escroquerie au plus grand nombre possible de cibles., quelles que soient leurs particularités. Le faible taux de réussite individuel est souvent compensé par l’énorme quantité d’e-mails/messages envoyés.

Il s’agit de l’un des modes de phishing les plus dangereux, car il peut se traduire par une perte financière et de données substantielle pour les organisations. Elle implique le travail de préparation d’exploration et d’investigation de la cible avant de perpétuer la cyberattaque. Le spear phishing est généralement le résultat d’un effort combiné, par exemple, le phishing et le harcèlement sur les réseaux sociaux., parmi d’autres sources d’information. La cible qui tombe dans l’escroquerie n’est que la première étape, qui consiste à obtenir des informations d’identification privilégiées ou à installer automatiquement des logiciels malveillants sur l’ordinateur de la cible. Le logiciel malveillant peut ensuite se propager sur l’ensemble du réseau, ou garder un profil bas pour recueillir des informations pendant une période indéterminée, ou les deux. Cela peut créer des conséquences inimaginables pour toute entreprise, de l’extorsion à l’atteinte permanente à la réputation, d’où l’importance de prendre la sécurité au sérieux.

La chasse à la baleine est une attaque de phishing sophistiquée ciblant les cadres supérieurs d’une entreprise ciblée. La principale raison pour laquelle cette forme de phishing est choisie est que ces cadres n’ont généralement pas de restrictions de réseau strictes, il est donc souvent plus facile pour les escrocs d’infiltrer des logiciels malveillants. Ce type de shakedown peut également entraîner toutes les conséquences des e-mails de spear phishing.

Auparavant, les utilisateurs déterminaient si un site était digne de confiance en recherchant le symbole de verrouillage du navigateur, indiquant que le site était protégé par un certificat SSL (HTTPS). Afin de recevoir un SSL, vous deviez vérifier votre identité, et la plupart des escrocs ne pouvaient pas le faire.

Le protocole a changé.

Avec l’automatisation du processus de vérification, la cybersécurité a augmenté car la plupart des sites chiffrent désormais nos informations ; cependant, cela a également créé une fenêtre permettant aux mauvais acteurs de les obtenir facilement. Plus que la moitié des sites de phishing utilisez maintenant le protocole HTTPS. Bien sûr, ces sites sont rapidement ciblés et la plupart des navigateurs envoient des alertes aux utilisateurs, mais quelques-uns ont probablement déjà été la proie de l’imposture à ce moment-là.

Le phishing est toujours un problème car il utilise l’ingénierie sociale pour cibler spécifiquement nos défauts en tant qu’humains, ce qui explique pourquoi le modèle n’a pas beaucoup changé en plus de deux décennies.

L’ingénierie sociale ne se limite pas au monde numérique et est un art depuis le début de l’humanité. L’ingénierie sociale est la capacité d’utiliser tous les moyens nécessaires pour exploiter une cible afin de fournir des informations précieuses, impliquant généralement de connaître les schémas, les tendances et le cadre émotionnel de la cible. Nous avons un penchant naturel pour la confiance, qui est largement utilisé par les criminels, y compris les hameçonneurs.

Pour cette raison, la meilleure façon de protéger votre entreprise contre l’hameçonnage consiste à offrir une formation adéquate à vos employés. La formation à la sensibilisation à la sécurité doit être une pratique régulière, ainsi que des guides de sécurité des e-mails. Cela seul peut réduire considérablement les vecteurs d’entrée pour les incidents de phishing, car il va à la cause première du problème. Bien sûr, nous pouvons mettre en place des solutions technologiques pour améliorer encore la détection du phishing.

Un logiciel anti-hameçonnage/anti-spam est aujourd’hui un ajout essentiel à tout réseau d’entreprise. Il identifiera et éliminera les moyens les plus courants de phishing/spam. Bien sûr, même avec l’inclusion de l’intelligence artificielle et des réseaux de neurones dans ces solutions, les tentatives les plus sophistiquées pourraient être en mesure de contourner le filtre, c’est-à-dire lorsque la sensibilisation et la formation des employés entrent en jeu.

Une autre excellente solution consiste à incorporer des outils pour expurger automatiquement tous les liens dans la communication par e-mail au sein du réseau, diminuant ainsi le danger des quelques e-mails qui contournent le logiciel anti-hameçonnage.

Les avantages de la mise en œuvre de ces mesures sont clairs : rendre votre réseau moins vulnérable aux attaques qui peuvent entraîner, le plus souvent, des dommages économiques, d’éventuelles poursuites judiciaires pour diffusion d’informations privilégiées, une atteinte à la réputation et des dommages irréparables à l’infrastructure.

Si vous avez besoin de conseils supplémentaires et plus spécifiques sur la cybersécurité, consultez notre série de vidéos ou consultez nos services de sécurité et de conformité. Besoin d’aide? Vous pouvez ouvrir un chat en direct avec nous ou nous appeler au 1-800-580-4985. Notre équipe d’assistance technique est disponible 24h/24, 7j/7 et 365j/an pour vous aider si vous avez besoin d’informations supplémentaires concernant le phishing. Une assistance est également disponible via nos systèmes de billetterie en nous envoyant un e-mail à support@liquidweb.com.