Phishing : Définition, Fonctionnement et Types d'Attaques PDF

**Définition du phishing** **Le phishing** est un type de menace de cybersécurité qui cible les utilisateurs directement par [**[e-mail, ]**](https://www.fortinet.com/resources/cyberglossary/email-security)SMS ou messages directs. Lors de l'une de ces escroqueries, l'assaillant se fera passer pour un contact de confiance pour voler des données telles que des identifiants, des numéros de compte et des informations de carte de crédit. Le phishing est un type d'attaque d'ingénierie sociale dans laquelle un cybercriminel utilise des e-mails ou d'autres messages textuels pour voler des informations sensibles. En utilisant une adresse e-mail crédible, un attaquant vise à inciter la cible à lui faire suffisamment confiance pour divulguer des données personnelles, telles que des [**[identifiants deconnexion]**](https://www.fortinet.com/fr/resources/cyberglossary/login-credentials), des numéros de carte de crédit ou des informations de compte financier. À titre d'exemple, le scénario se présente généralement comme suit : 1. Une personne reçoit un e-mail de sa banque (par exemple, BIAT). 2. L'e-mail semble être envoyé par BIAT, avec le logo BIAT intégré dans l'e-mail. 3. L'e-mail explique comment il y a un problème urgent avec le compte de la personne, lui demandant de cliquer sur un lien pour traiter la question maintenant. 4. Une fois que la personne clique sur le lien, elle est redirigée vers une page Web qui imite celle de BIAT. 5. Sans le savoir, la personne saisit son nom d'utilisateur et son mot de passe pour accéder au site Web. Dans ce schéma, l'escroc a recueilli les identifiants bancaires de la personne. De plus, en visitant le site bancaire frauduleux, la personne peut avoir téléchargé sans le savoir des logiciels malveillants sur son ordinateur, qui suivront et recueilleront d'autres données et les transmettront à l'escroc. Les motivations d'un tel comportement malveillant sont généralement financières. Selon le rapport 2020 *Verizon Data Breach Investigations Report*, 86 % des 3 950 violations étaient [**[motivées financièrement]**](https://enterprise.verizon.com/resources/executivebriefs/2020-dbir-executive-brief.pdf). Au niveau de l'entreprise, le phishing peut avoir des conséquences plus importantes. En permettant à un seul escroc d'accéder au réseau de l'entreprise, une violation de données peut se produire, laissant l'organisation vulnérable aux pertes et au vol. Bien que l'e-mail reste l'outil de communication le plus critique pour les entreprises, il en fait également le principal vecteur de menace, avec le volume et la sophistication des attaques en constante augmentation. Il existe une sévérité et un coût continus des campagnes de phishing en tant que problème, et il est impératif que les organisations comprennent ce phishing afin de lutter contre les [**[problèmes de sécurité]**](https://www.fortinet.com/fr/products/email-security) des e-mails. **Comment fonctionne le phishing ?** Dans une attaque typique, le criminel obtient les coordonnées d'une ou de plusieurs cibles, puis commence à envoyer des messages de phishing par e-mail ou SMS. Dans la plupart des campagnes de phishing, l'attaquant insuffle un sentiment d'urgence à ses messages, ce qui motive la victime à répondre avec des données sensibles ou à cliquer sur un lien. Si la victime clique sur le lien, elle est redirigée vers un faux site Web spécialement conçu pour le vol d'identité ou pour permettre à l'attaquant d'accéder à des données restreintes. Le cybercriminel peut utiliser une combinaison de plusieurs facteurs pour tromper ses cibles : - Une adresse e-mail réaliste utilisée par l'attaquant, telle qu'une adresse qui semble avoir le même domaine ou un domaine similaire qu'une entreprise de confiance - Un site Web qui ressemble à un site appartenant à une entreprise légitime - Un e-mail bien formulé et grammaticalement propre, avec des logos réalistes ou d'autres supports de marque Par exemple, l'une des campagnes de phishing les plus courantes implique qu'un attaquant crée un site Web qui ressemble presque exactement à celui d'une institution financière. Une fois que la victime a cliqué sur un lien, elle n'a aucune idée qu'elle est victime d'une escroquerie par phishing, en particulier parce que le site semble si authentique. Avec ce type de techniques de phishing, la victime saisit ses identifiants de connexion, que l'attaquant collecte. Le hacker utilise ensuite les identifiants de connexion lui-même ou les vend à quelqu'un d'autre. C'est pourquoi il est essentiel de garder un œil sur les e-mails suspects et de signaler tout ce qui soulève un signal d'alerte au service informatique. **Types d'attaques de phishing** Les tentatives de phishing peuvent être diverses, car les cyberattaques sont devenues plus sophistiquées et créatives avec leurs techniques. L'objectif commun de ces attaques est [**[l'usurpation d'identité]**](https://www.fortinet.com/fr/resources/cyberglossary/identity-theft) ou le transfert de logiciels malveillants. Vous trouverez ci-dessous une revue des différents types d'attaques d'information. Différents types d'attaques de phishing **1. Spear Phishing** Lorsque les attaques générales par e-mail utilisent des tactiques de type spam pour exploser des milliers à la fois, les attaques par [**[spear phishing]**](https://www.fortinet.com/resources/cyberglossary/spear-phishing) ciblent des personnes spécifiques au sein d'une organisation. Dans ce type d'escroquerie, les hackers personnalisent leurs e-mails avec le nom, le titre, le numéro de téléphone professionnel et d'autres informations de la cible afin d'inciter le destinataire à croire que l'expéditeur le connaît personnellement ou professionnellement. Le spear phishing s'adresse aux organisations disposant des ressources nécessaires pour rechercher et mettre en œuvre cette forme d'attaque plus sophistiquée. **2. Whaling** [**[Le whaling est une variante du spear phishing]**](https://www.fortinet.com/fr/resources/cyberglossary/whaling-attack) qui cible les PDG et autres dirigeants (« baleines »). Ainsi, les individus ont généralement un accès illimité aux données sensibles de l'entreprise, le rapport risque/récompense est considérablement plus élevé. Le whaling est destiné aux organisations criminelles avancées qui disposent des ressources nécessaires pour exécuter cette forme d'attaque. **3. BEC (Business Email Compromise)** [**[Les attaquesde compromission des e-mails professionnels (BEC)]**](https://www.fortinet.com/fr/resources/cyberglossary/business-email-compromise) sont conçues pour usurper l'identité de cadres supérieurs et inciter les employés, les clients ou les fournisseurs à transférer les paiements de biens ou de services vers d'autres comptes bancaires. Selon le rapport 2019 du FBI sur la criminalité sur Internet, les escroqueries [**[BEC étaient le]**](https://www.zdnet.com/article/fbi-bec-scams-accounted-for-half-of-the-cyber-crime-losses-in-2019/) type de cybercriminalité le plus dommageable et le plus efficace en 2019. **4. Clone phishing** Dans ce type d'attaque, l'escroc crée une réplique presque identique d'un e-mail authentique, telle qu'une alerte que l'on pourrait recevoir de sa banque, afin d'inciter une victime à partager des informations précieuses. L'assaillant échange ce qui semble être un lien ou une pièce jointe authentique dans l'e-mail d'origine contre un lien ou une pièce jointe malveillante. L'e-mail est souvent envoyé à partir d'une adresse qui ressemble à celle de l'expéditeur d'origine, ce qui le rend plus difficile à repérer. **5. Vishing** Également connu sous le nom de phishing vocal, dans le vishing, l'escroc affiche frauduleusement le numéro de téléphone réel d'une organisation de confiance connue, telle qu'une banque ou l'IRS, sur l'identifiant de l'appelant de la victime afin d'inciter le destinataire à répondre à l'appel. L'escroc se fait ensuite passer pour un cadre ou un fonctionnaire et utilise des tactiques d'[**[ingénierie sociale]**](https://www.fortinet.com/fr/resources/cyberglossary/social-engineering) ou d'intimidation pour exiger le paiement d'argent prétendument dû à cette organisation. Le vishing peut également inclure l'envoi de messages vocaux qui demandent à la victime de rappeler un numéro ; lorsque la victime le fait, la victime est amenée à saisir ses informations personnelles ou les détails de son compte. **6. raquettes** Dans un schéma de raquettes, les assaillants tentent de contourner les filtres de courrier indésirable traditionnels. Pour ce faire, ils envoient des messages via plusieurs domaines et adresses IP, envoyant un volume si faible de messages que les technologies de filtrage des spams basées sur la réputation ou le volume ne peuvent pas reconnaître et bloquer immédiatement les messages malveillants. Certains des messages arrivent dans les boîtes de réception des e-mails avant que les filtres apprennent à les bloquer. **Perspectives statistiques sur les attaques de phishing** Bien qu'il puisse sembler assez simple d'éviter une attaque, les statistiques suivantes révèlent à quel point le phishing est important : - [**[23,6 %]**](https://www.statista.com/statistics/266161/websites-most-affected-by-phishing/) des attaques de phishing ont un impact sur le secteur financier - [**[14,6 %]**](https://www.statista.com/statistics/266161/websites-most-affected-by-phishing/) des attaques visent le secteur du commerce électronique - Il existe actuellement [**[ 611 877 sites de phishing]**](https://www.statista.com/topics/8385/phishing/#dossierKeyfigures) connus sur Internet conçus pour inciter les utilisateurs à divulguer des informations sensibles. - [**[Le Brésil]**](https://www.statista.com/topics/8385/phishing/#dossierKeyfigures) est le pays le plus ciblé en matière d'attaques de phishing. - Parmi toutes les méthodes d'attaque utilisées pour infiltrer les organisations de soins de santé, le phishing est la technique [**[la plus]**](https://www.statista.com/topics/8795/healthcare-and-cyber-security-in-the-us/#topicHeader__wrapper) utilisée par les hackers. - Le phishing est l'un des cinq cybercriminels mentionnés sur lapage [**[Sécurité enligne]**](https://www.usa.gov/online-safety) du gouvernement des États-Unis. Les autres cybercriminalités comprennent les violations de données, les logiciels malveillants, les enchères sur Internet et la fraude par carte de crédit. **Comment identifier une attaque de phishing ?** Vous trouverez ci-dessous 7 conseils utiles pour repérer les e-mails suspects afin que les attaques puissent être arrêtées avant que des dommages ne puissent se produire. **1. Supposez que chaque e-mail est une tentative potentielle de phishing** Bien que cela puisse sembler extrême, il est important que les utilisateurs examinent attentivement un e-mail pour déterminer son authenticité. Les utilisateurs ne doivent pas se contenter de faire confiance aux filtres anti-courrier indésirable de leur organisation, car ces outils traditionnels de sécurité des e-mails ne fournissent pas la défense la plus solide contre certains types d'attaques. Certaines organisations ont commencé à mettre en œuvre un [**[accèsréseauZero Trust]**](https://www.fortinet.com/blog/business-and-technology/know-who-and-what-with-zero-trust-network-access) (ZTNA) afin de sécuriser la connectivité aux applications privées pour réduire l'exposition aux applications sur Internet. **2. Vérifier l'adresse** L'une des meilleures façons de prévenir le phishing consiste simplement à vérifier l'adresse « De » de l'e-mail. Cela doit être fait chaque fois qu'un e-mail d'une banque, d'un service de paiement, d'un détaillant ou même du gouvernement arrive de manière inattendue, en particulier dans un e-mail professionnel alors qu'il ne l'a normalement pas fait par le passé. **3. Lire l'e-mail** Ouvrez l'e-mail et lisez-le. Les utilisateurs doivent être en mesure de déterminer si certains facteurs semblent inoffensifs. Posez des questions telles que : - Cet e-mail semble-t-il urgent ? - L'e-mail vous offre-t-il quelque chose qui est simplement « trop bon pour être vrai » ? - Disposez-vous d'un compte auprès de l'entreprise qui vous contacte ? Si quelque chose vous semble étrange, ne faites rien d'autre. **4. Vérifier la grammaire et l'orthographe** Souvent, la grammaire, l'orthographe et même le formatage peuvent être des signaux d'alarme. Les communications formelles par e-mail d'une banque, d'une société de carte de crédit, d'un service de paiement ou de l'IRS ne contiennent pas d'erreurs d'orthographe et utilisent toujours un anglais professionnel approprié. Si vous êtes habitué au choix du mot et au ton de la voix de ces e-mails et que celui-ci semble différent, il s'agit probablement d'une tentative de phishing. **5. Cherchez votre nom** En plus de la grammaire et de l'orthographe, recherchez d'autres éléments liés à votre nom et à la manière dont vous êtes traité. Les entreprises légitimes, en particulier celles avec lesquelles vous avez des comptes ou avez fait des affaires, ne vous traiteront pas de manière générique. Un message d'accueil générique (par exemple, « Madame ») peut être un indicateur d'escroquerie. **6. Vérifier les demandes** Lorsque vous examinez l'e-mail, vérifiez toute demande particulière et étrange. La plupart des e-mails frauduleux demandent au destinataire de répondre à l'e-mail ou de cliquer sur un lien dans l'e-mail. Tout élément particulier ou inutilement urgent est probablement un schéma de phishing. **7. Recherchez des liens et des pièces jointes** L'objectif d'un escroc est d'amener les victimes à cliquer sur des liens ou à télécharger des pièces jointes. Cela entraîne le téléchargement automatique de logiciels malveillants qui infectent le PC de la victime. Pour déterminer la validité d'un lien, les utilisateurs doivent passer la souris dessus. Si le lien, qui apparaît généralement dans le coin inférieur gauche de l'écran, révèle une longue URL avec un domaine inconnu, le lien ne doit pas être cliqué. De même, une pièce jointe, même avec un nom apparemment inoffensif comme « Rapport mensuel » avec une extension de fichier familière comme PDF, peut être un malware et ne doit pas être double-cliquée ou téléchargée. **Comment vous protéger du phishing** Voici quelques moyens pour votre organisation de protéger ses employés et son réseau contre les attaques de phishing. Bien que les employés bien formés soient la meilleure défense d'une organisation, il existe encore certaines mesures préventives qu'une organisation peut prendre. ![Comment vous protéger et protéger votre entreprise contre les attaques de phishing](media/image2.jpeg) **1. Utiliser un filtre anti-courrier indésirable** Il s'agit peut-être de la défense la plus basique qu'une organisation puisse prendre. La plupart des programmes de messagerie (par exemple, Outlook, G Suite) comprennent des filtres anti-spam qui peuvent détecter automatiquement les spammers connus. **2. Mettre régulièrement à jour le logiciel de sécurité** Les organisations doivent s'assurer que tous leurs correctifs de sécurité ont été mis à jour. Cela peut détecter et supprimer les logiciels malveillants ou les virus qui peuvent avoir accidentellement pénétré dans le PC d'un employé via un schéma de phishing. De plus, les politiques de sécurité doivent être mises à jour pour inclure l'expiration et la complexité des mots de passe. **3. Utiliser la MFA** L'authentification multifactorielle nécessite plusieurs informations pour que quelqu'un puisse se connecter et accéder. Cela est important dans le cas où un escroc a déjà volé les identifiants de certains employés. Avec la MFA en place, en particulier si elle inclut l'authentification biométrique, les escrocs sont bloqués. **4. Sauvegarder vos données** Toutes les données doivent être chiffrées et sauvegardées, ce qui est essentiel en cas de violation ou de compromission. **5. Ne cliquez pas sur les liens ou les pièces jointes** Comme décrit dans la section précédente, éduquez les employés sur la manière de repérer les liens et pièces jointes douteux, et demandez-leur d'éviter de cliquer sur ou de télécharger quelque chose à partir d'une source en laquelle ils ne font pas confiance. **6. Bloquer les sites Web peu fiables** Un filtre Web peut être utilisé pour bloquer l'accès à des sites Web malveillants au cas où un employé clique par inadvertance sur un lien malveillant

Phishing : Définition, Fonctionnement et Types d'Attaques PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue