Phishing : savoir reconnaître la menace

Partout où les gens travaillent, le phishing constitue un problème. Selon une étude de Proofpoint ⇱, trois quarts des entreprises ont été touchées par des attaques de phishing en 2020. Ce faisant, les messages frauduleux deviennent de plus en plus ciblés et la présentation des pages infectées de plus en plus professionnelle. Dans notre article, vous apprendrez à reconnaître les attaques de phishing et à protéger vos données.
Le phishing est l'envoi de faux e-mails et messages dans le but de gagner la confiance des victimes. L'objectif est souvent d'acquérir des données sensibles telles que les codes PIN et les mots de passe des banques en ligne à des fins criminelles. Les liens qui dirigent les victimes vers des sites web contaminés sont utilisés à cette fin. Parfois, les pirates combinent aussi des attaques de phishing et de ransomware ou distribuent un programme qui détruit les ordinateurs.
Les attaquants se font souvent passer pour des employés d'organismes ou d'entreprises auxquels ils n'appartiennent pas. Par exemple, ils envoient des e-mails au nom de banques ou de réseaux sociaux. Le plus souvent, ces messages jouent sur les peurs des victimes : par exemple, PayPal menacerait de bloquer le compte si l'utilisateur ne se connecte pas dans les 24 heures.
Le phishing fait donc partie des méthodes d'ingénierie sociale. Les cybercriminels n'utilisent pas les points faibles du code mais s'appuient sur la psyché humaine : en faisant en sorte que les personnes leur fassent confiance, celles-ci livrent volontairement leurs données sensibles.
Il n'est pas rare que les URL des liens de phishing ressemblent aux URL de sites web familiers. Comme la configuration ne diffère pas à première vue, les victimes ne se doutent de rien. Outre cette usurpation de site web, il existe également l'usurpation de domaine, qui consiste à faire apparaître dans l'en-tête des adresses électroniques apparemment familières. Les deux types d'usurpation vont souvent de pair.
Le terme phishing est dérivé du mot anglais fishing, car les attaquants lancent des appâts comme le font les pêcheurs à la ligne pour attirer leurs proies. Le mot a été utilisé pour la première fois par un groupe de pirates informatiques en 1996, lorsqu'ils ont volé les noms d'utilisateurs et les mots de passe d'AOL avec le logiciel malveillant AOHell. Ils ont remplacé la lettre initiale "f" par "ph" en référence au phreaking, une forme ancienne d'attaque par laquelle des criminels détournaient des lignes téléphoniques analogiques.
Dans toutes les attaques de phishing, les criminels tentent de gagner la confiance des victimes. Il existe différents types d'attaques de phishing en fonction du groupe cible :
94 % de toutes les attaques de phishing sont menées par le biais d'e-mails, mais il existe également d'autres types de phishing :
Les courriels de phishing ne peuvent pas toujours être distingués de courriels normaux au premier coup d'œil. De nombreux pirates créent des logos, des mises en page et des signatures trompeurs. Cependant, vous ne devez jamais saisir de données sensibles ou cliquer sur des hyperliens si vous remarquez ces signes :
E-mails d'entreprises ayant des domaines ordinaires
Les entreprises et les autorités publiques n'utilisent jamais de domaines de messagerie ordinaires tels que @free.fr ou @gmail.com, mais leurs propres domaines tels que @CompanyXY.com. Par conséquent, faites attention non seulement à l'expéditeur, mais aussi au domaine. Supprimez tous les e-mails dont la source n'est pas clairement identifiable.
Adresses génériques
Pour les demandes légitimes, les entreprises s'adressent à leurs clients par leur nom ou leur nom d'utilisateur. Les formulations génériques telles que "Cher utilisateur", "Cher client" ou "Bonjour à tous" sont le signe d'une escroquerie. Si vous n'êtes pas certain que le courriel que vous recevez provient d'une source fiable, prenez contact avec un interlocuteur responsable au sein de l'entreprise avant d'engager toute action.
Fautes de grammaire et d'orthographe
Les entreprises professionnelles font attention à employer une formulation correcte. Bien que des erreurs puissent toujours se glisser malgré la vérification orthographique, si le texte est truffé de phrases incorrectes dans un mauvais anglais ou français, il est très probable qu'il provienne de pirates informatiques. Il est conseillé de supprimer également ces e-mails.
Demandes de paiement par e-mail
Dans les attaques généralisées de phishing, les cybercriminels se font souvent passer pour des agences de recouvrement de créances ou des cabinets d'avocats. Ils menacent la plupart du temps les destinataires de frais de suivi élevés s'ils ne paient pas une dette prétendument due : mais les cabinets d'avocats réputés ne prennent contact que par courrier postal. Ici aussi, il est préférable de supprimer le courriel.
E-mails avec pièces jointes
Les banques et les compagnies d'assurance n'envoient généralement pas de fichiers en pièces jointes. Au contraire, les clients téléchargent les documents requis sur le site web de l'entreprise après s'être connectés. En particulier, les fichiers portant l'extension .ZIP, .EXE ou .RAR ne doivent jamais être téléchargés, exécutés ou décompressés.
Les URLs qui ne correspondent pas
Si vous passez le pointeur de la souris sur un lien, l'URL qui s'affiche doit correspondre à l'URL du site web vers lequel le lien mène. S'il s'agit de deux adresses différentes, vous avez probablement affaire à un site web infecté. Fermez immédiatement les sites web non fiables.
Demandes de PIN et de mots de passe via un lien
Parmi les attaques de phishing les plus dévastatrices figurent les escroqueries liées aux services bancaires en ligne. Le plus souvent, l'e-mail contient un lien vers un site Web qui ressemble beaucoup à la page principale de la banque. Si la victime se connecte, les pirates ont accès au compte concerné.
Votre banque ne vous demandera jamais par e-mail de vous connecter à la banque en ligne via un lien. Par conséquent, ignorez tout message requérant une action de ce type.
Les attaques de phishing sont aussi vieilles qu'Internet. Ces dernières années cependant, les pirates se sont de plus en plus concentrés sur des victimes rentables préalablement déterminées. Ces attaques de phishing sont entrées dans l'histoire :
Si vous avez été victime d'un courriel de phishing, vous devez essayer de minimiser les dégâts :
En principe, la banque est tenue en vertu de l'article 675u du code civil allemand (BGB) de rembourser le montant volé en cas de compte piraté. Cependant, selon le §675V, la banque a une créance de dommages et intérêts contre le titulaire du compte si celui-ci a agi avec une négligence grave, de sorte que les créances sont compensées. C'est au tribunal de décider dans quelle mesure une attaque de phishing constitue une négligence grave. Les personnes concernées devraient donc consulter un avocat le plus tôt possible.
Dans cet email, le logo PayPal semble authentique. Cependant, l'adresse au destinataire et l'adresse électronique non concordante révèlent qu'il s'agit d'un courriel de phishing.
Les attaques de phishing comptent parmi les cyberattaques les plus courantes. Les pirates exploitent la crédulité de leurs victimes pour obtenir des identifiants de connexion. Vous devez vous méfier tout particulièrement des demandes de mots de passe par courrier électronique. Si vous ne cliquez que sur les liens familiers, mettez régulièrement à jour vos programmes antivirus et n'ouvrez les pièces jointes des e-mails qu'après avoir vérifié l'expéditeur, vous minimisez vos risques. Si vous avez été victime d'une attaque de phishing, des spécialistes en informatique et des experts juridiques peuvent vous aider à limiter les dégâts.
Les e-mails de phishing ne sont pas nécessairement immédiatement reconnaissables. Toutefois, en y regardant de plus près, on découvre des signes suspects, tels que des adresses générales (« Cher utilisateur »), des textes de mauvaise qualité et des liens qui ne correspondent pas au site web cible. Il convient également d'être prudent avec les pièces jointes et avec les domaines de messagerie qui ne comportent pas le nom de l'entreprise.