Résumé

• Le phishing, ou hameçonnage en français, est une pratique malveillante dans laquelle les attaquants se font passer pour des entités dignes de confiance, afin d’inciter les individus à révéler des informations sensibles.

• Restez vigilants face au phishing en identifiant les signes courants tels que les URL suspectes et les demandes urgentes d’informations personnelles.

• Découvrez les différentes techniques de phishing, des escroqueries par e-mail les plus courantes au spear phishing (hameçonnage ciblé) sophistiquées, afin de renforcer les défenses de cybersécurité.

Introduction

Le phishing est une tactique néfaste par laquelle des acteurs malveillants se font passer pour des sources fiables pour inciter les gens à partager des données sensibles. Dans cet article, nous allons vous expliquer ce qu’est le phishing, son fonctionnement et les mesures à prendre pour éviter de devenir la proie de telles escroqueries.

Fonctionnement du phishing

Le phishing repose principalement sur l’ingénierie sociale, une méthode par laquelle les attaquants manipulent les individus pour qu’ils divulguent des informations confidentielles. Les attaquants recueillent des informations personnelles auprès de sources publiques (comme les réseaux sociaux) pour créer des e-mails semblant authentiques. Les victimes reçoivent souvent des messages malveillants semblant provenir de contacts familiers ou d’organisations réputées.

La forme la plus courante de phishing se produit par le biais d’e-mails contenant des liens ou des pièces jointes malveillants. En cliquant sur ces liens, vous risquez d’installer des logiciels malveillants sur votre appareil ou d’être redirigé vers des sites Web contrefaits conçus pour voler vos informations personnelles et financières.

Bien qu’il soit plus facile de repérer les e-mails de phishing mal écrits, les cybercriminels utilisent des outils avancés tels que les chatbots et les générateurs de voix par IA pour améliorer l’authenticité de leurs attaques. Il est donc difficile pour les utilisateurs de faire la distinction entre les communications authentiques et frauduleuses.

Reconnaître les tentatives de phishing

L’identification des e-mails de phishing peut être délicate, mais il existe certains signes que vous pouvez surveiller.

Signes les plus courants

Soyez prudent si le message contient des URL suspectes, utilise des adresses e-mail publiques, provoque la peur ou l’urgence, demande des informations personnelles ou comporte des fautes d’orthographe et de grammaire. Dans la plupart des cas, vous devriez pouvoir passer votre souris sur les liens pour vérifier les URL sans réellement cliquer dessus.

Escroqueries liées aux paiements numériques

Les arnaqueurs par phishing se font souvent passer pour des services de paiement en ligne fiables comme PayPal, Venmo ou Wise. Les utilisateurs reçoivent des e-mails frauduleux les exhortant à vérifier leurs informations de connexion. Il est essentiel de rester vigilant et de signaler toute activité suspecte.

Escroqueries de phishing liées à la finance

Les escrocs se font passer pour des banques ou des institutions financières, invoquant des failles de sécurité pour obtenir des informations personnelles. Les tactiques courantes comprennent les e-mails trompeurs sur les transferts d’argent ou les escroqueries par dépôt direct ciblant les nouveaux employés. Les escrocs peuvent également prétendre qu’une mise à jour de sécurité est urgente.

Escroqueries de phishing liées au travail

Ces escroqueries personnalisées impliquent des attaquants se faisant passer pour des cadres, des PDG ou des directeurs financiers, demandant des virements bancaires ou de faux achats. Le phishing vocal à l’aide de générateurs vocaux d’IA par téléphone est une autre méthode utilisée par les escrocs.

Comment prévenir les attaques par phishing

Pour prévenir les attaques de phishing, il est important d’utiliser plusieurs mesures de sécurité. Évitez de cliquer directement sur des liens. Au lieu de cela, rendez-vous sur le site officiel de l’entreprise ou sur les canaux de communication pour vérifier si les informations que vous avez reçues sont légitimes. Envisagez d’utiliser des outils de sécurité tels qu’un logiciel antivirus, des pare-feu et des filtres anti-spam. 

Les organisations doivent également utiliser des normes d’authentification des e-mails pour vérifier les e-mails entrants. Parmi les exemples courants de méthodes d’authentification des e-mails, citons DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance).

Pour les individus, il est essentiel d’informer leur famille et leurs amis des risques de phishing. Pour les entreprises, il est essentiel d’éduquer leurs employés sur les techniques de phishing et de fournir une formation de sensibilisation périodique pour réduire les risques.

Si vous avez besoin d’aide et d’informations supplémentaires, recherchez des initiatives gouvernementales comme OnGuardOnline.gov et des organisations comme l’Anti-Phishing Working Group Inc. Ces initiatives fournissent des ressources et des conseils plus détaillés pour repérer, éviter et signaler les attaques de phishing.

Types de phishing

Les techniques de phishing évoluent et les cybercriminels utilisent différentes méthodes. Les différents types de phishing sont généralement classés en fonction de la cible et du vecteur d’attaque. Examinons cela de plus près.

Phishing par clonage

Un attaquant utilisera un e-mail légitime précédemment envoyé et copiera son contenu dans un e-mail similaire contenant un lien vers un site malveillant. L’attaquant peut également prétendre qu’il s’agit d’un lien mis à jour ou d’un nouveau lien, en indiquant que le précédent était incorrect ou a expiré.

Spear phishing (harponnage)

Ce type d’attaque est axé sur une personne ou une institution. Une attaque par harponnage est plus sophistiquée que les autres types de phishing car elle est ciblée. Cela signifie que l’attaquant recueille d’abord des informations sur la victime (ex : les noms d’amis ou de membres de la famille) et utilise ces données pour attirer la victime vers un fichier de site Web malveillant.

Pharming (détournement de domaine)

Un attaquant empoisonnera un enregistrement DNS qui, en pratique, redirigera les visiteurs d’un site Web légitime vers un site frauduleux que l’attaquant a créé auparavant. C’est la plus dangereuse des attaques car les enregistrements DNS ne sont pas sous le contrôle de l’utilisateur, ce qui rend l’utilisateur impuissant à se défendre.

Whaling (harponnage de cadre supérieur)

Une forme d’attaque par harponnage qui cible les personnes riches et importantes, telles que les PDG et les représentants du gouvernement.

L’usurpation d’e-mail

Les e-mails de phishing usurpent généralement des communications provenant d’entreprises ou de personnes légitimes. Les e-mails de phishing peuvent présenter aux victimes inconscientes des liens vers des sites malveillants, où les attaquants collectent des identifiants de connexion et des informations personnelles à l’aide de pages de connexion habilement déguisées. Les pages peuvent contenir des chevaux de Troie, des enregistreurs de frappe et d’autres scripts malveillants qui volent des informations personnelles.

Redirections de sites Web

Les redirections de sites Web dirigent les utilisateurs vers des URL différentes de celles que l’utilisateur avait l’intention de visiter. Les acteurs qui exploitent les vulnérabilités peuvent insérer des redirections et installer des logiciels malveillants sur les ordinateurs des utilisateurs.

Typosquattage

Le typosquattage dirige le trafic vers des sites Web contrefaits qui utilisent des orthographes en langue étrangère, des fautes d’orthographe courantes ou des variations subtiles du domaine de premier niveau. Les arnaqueurs par phishing utilisent des domaines pour imiter les interfaces légitimes des sites Web, en profitant des utilisateurs qui tapent ou lisent mal l’URL.

Fausses annonces payantes

Les publicités payantes sont une autre tactique utilisée pour le phishing. Ces (fausses) publicités utilisent des domaines que les attaquants ont typosquattés et pour lesquels ils ont payé pour les faire apparaître dans les résultats de recherche. Le site peut même apparaître parmi les premiers résultats de recherche sur Google.

Attaque par point d’eau

Lors d’une attaque par point d’eau, les arnaqueurs analysent les utilisateurs et déterminent les sites Web qu’ils consultent fréquemment. Ils analysent ces sites à la recherche de vulnérabilités et tentent d’injecter des scripts malveillants conçus pour cibler les utilisateurs la prochaine fois qu’ils consulteront ce site Web.

Usurpation d’identité et faux concours

Il s’agit de l’usurpation d’identité de personnalités influentes sur les réseaux sociaux. Les arnaqueurs par phishing peuvent se faire passer pour des dirigeants clés d’entreprises et annoncer des concours ou se livrer à d’autres pratiques trompeuses. Les victimes de cette supercherie peuvent même être ciblées individuellement par le biais de processus d’ingénierie sociale visant à trouver des utilisateurs crédules. Les acteurs peuvent pirater des comptes vérifiés et modifier des noms d’utilisateur pour usurper l’identité d’un personnage réel tout en conservant un statut vérifié.

Récemment, les arnaqueurs ont fortement ciblé des plateformes telles que Discord, X et Telegram dans le même but : usurper des chats, usurper l’identité d’individus et imiter des services légitimes.

Applications malveillantes

Les arnaqueurs par phishing peuvent également utiliser des applications malveillantes qui surveillent votre comportement ou volent des informations sensibles. Les applications peuvent se présenter comme des outils de suivi de prix, des portefeuilles et d’autres outils liés à la cryptomonnaie (qui ont une base d’utilisateurs prédisposés à trader et à posséder de la cryptomonnaie).

SMS et phishing vocal

Une forme de phishing par message, généralement par SMS ou messagerie vocale, qui encourage les utilisateurs à partager des informations personnelles.

Phishing vs. Pharming

Bien que certains considèrent le pharming (détournement de domaine) comme un type d’attaque de phishing, le premier repose sur un mécanisme différent. La principale différence entre le phishing et le pharming est que le phishing exige que la victime commette une erreur. En revanche, le détournement de domaine exige uniquement que la victime tente d’accéder à un site Web légitime dont l’enregistrement DNS a été compromis par l’attaquant.

Phishing dans l’espace blockchain et crypto

Bien que la technologie blockchain offre une sécurité des données renforcée en raison de sa nature décentralisée, ses utilisateurs doivent rester vigilants face aux tentatives d’ingénierie sociale et de phishing. Les cybercriminels tentent souvent d’exploiter les vulnérabilités humaines pour accéder à des clés privées ou à des identifiants de connexion. Dans la plupart des cas, les escroqueries reposent sur une erreur humaine.

Les escrocs peuvent également tenter d’inciter les utilisateurs à révéler leurs phrases de récupération ou à transférer des fonds vers de fausses adresses. Il est important de faire preuve de prudence et de suivre les bonnes pratiques de sécurité.

Conclusion

En conclusion, il est essentiel de comprendre le phishing et de se tenir au courant de l’évolution des techniques pour protéger les renseignements personnels et financiers. En combinant des mesures de sécurité robustes, l’éducation et la sensibilisation, les individus et les organisations peuvent se renforcer contre la menace toujours présente du phishing dans notre monde numérique interconnecté. Restez SAFU !

Pour plus d’informations

• Cinq conseils pour sécuriser vos avoirs en cryptomonnaie

• Cinq façons d’améliorer la sécurité de votre compte Binance

• Comment rester en sécurité dans le trading de pair-à-pair (P2P) ?

Avis de non-responsabilité et avertissement concernant les risques : ce contenu vous est présenté « tel quel » à des fins d’information générale et pédagogiques uniquement, sans représentation ni garantie d’aucune sorte. Il ne doit pas être interprété comme un conseil financier, juridique ou venant d’un professionnel, ni comme un moyen de recommander l’achat d’un produit ou d’un service spécifique. Vous devriez vous renseigner auprès des professionnels appropriés avant toute décision. Lorsque l’article à été rédigé par un contributeur tiers, veuillez remarquer que les opinions de l’article ne reflètent pas nécessairement celles de Binance Academy. Veuillez lire l’intégralité de notre avis de non-responsabilité ici pour en savoir plus. Les cours des actifs numériques peuvent être volatils. La valeur de votre investissement peut varier à la baisse ou à la hausse, et vous ne récupérerez peut-être pas le montant que vous avez investi. Vous êtes seul(e) responsable de vos décisions d’investissement et Binance Academy n’est pas responsable des pertes que vous pourriez subir. Ce contenu ne doit pas être interprété comme un conseil financier, juridique, ou venant d’un professionnel. Pour en savoir plus, veuillez vous reporter à nos Conditions d’utilisation et à l’avertissement concernant les risques.