Le Phishing pour les débutants : les différentes attaques (White Ops)
Par Eric Clemenceau, Directeur du Développement Europe White Ops
Chez White Ops, nous avons des spécialistes du phishing (hameçonnage), qui s’assurent que tout ce que nous mettons en place est sécurisé et exempt de cybercriminalité.
Pour se faire, nos équipes déploient de temps en temps de fausses tentatives de phishing sur nos collaborateurs, non pas pour les piéger lorsqu’ils cliquent sur un lien, mais pour démontrer à quel point une tentative de phishing, même humaine, peut être réaliste. Bien que nous devions rester particulièrement vigilants compte tenu de notre travail, ce type d’attaque peut viser n’importe qui. Le phishing est une pratique malveillante sur la Toile qui consiste à récupérer des informations personnelles d’un internaute. Le terme est la contraction des mots anglais fishing pour pêche et phreaking pour le piratage de lignes téléphoniques.
Si vous ne savez pas comment repérer les tentatives de phishing, vous risquez de vous exposer à toutes sortes de logiciels malveillants et de comportements frauduleux. D’autant plus que cette pratique a fait du chemin depuis les tristement célèbres scams de présidents étrangers. Les cybercriminels ont fait évoluer leurs tactiques, ce qui rend de plus en plus difficile la détection d’un phishing.
Quels sont les différents types de phishing ?
Le phishing est une catégorie d’attaques, dans laquelle on distingue le spear phishing, le smishing, le vishing et le whaling (nous allons tout vous expliquer!):
Le Spear Phishing est un phishing ciblé ,qui vise généralement un utilisateur ou une organisation spécifique. Pour se faire, les fraudeurs utilisent des informations personnelles accessibles en ligne pour vous contacter. Ces informations peuvent être trouvées en “libre accès”, par exemple sur les médias sociaux. Elles prennent généralement la forme de courriels suffisamment vagues et urgents pour inciter la personne à cliquer sur un lien.
Le smishing est du hameçonnage par SMS, vous demandant généralement de faire quelque chose, par exemple de fournir une information personnelle ou de cliquer sur un lien. Ce phishing est particulièrement trompeur car les gens sont plus enclins à faire confiance à un SMS qu’à un e-mail. Habituellement une attaque par smishing vous poussera à télécharger une application malveillante ou aller sur un faux site web où vous devrez entrer des données IPI (informations personnelles identifiables).
Le Vishing est un hameçonnage qui se fait par un appel téléphonique, durant lequel les fraudeurs vous demandent de fournir une information personnelle. L’essor de la technologie VOIP a permis aux fraudeurs d’usurper plus facilement l’identité des appelants. Nous voyons souvent cette attaque se produire lorsque les fraudeurs prétendent être le fisc en disant que vous leur devez de l’argent ou que vous irez en prison. Ils le font pour obtenir des numéros de sécurité sociale ou des données d’identification personnelle.
Le Whaling est un type d’attaque par hameçonnage qui se concentre davantage sur les cibles importantes. Pour les autres types de phishing, la cible est un groupe de personnes – il ne s’agit pas de cible individuelle. Ici le whaling sélectionne et cible des personnes spécifiques.On l’appelle Whaling (“chasse à la baleine” ) parce qu’elle vise des cibles plus importantes, comme les cadres supérieurs. En général, les fraudeurs se font passer pour des cadres supérieurs afin d’amener les gens à divulguer des informations sensibles sur l’entreprise. Par exemple, ils cibleront un vice-président en prétendant être le PDG. Le fraudeur utilisera l’urgence dans le langage utilisé et son message se caractérisera en général par une grammaire approximative.