Qu’est-ce que le phishing et comment ça marche ?

TL;DR

• Le phishing est une pratique malveillante dans laquelle les attaquants se déguisent en entités dignes de confiance pour inciter les individus à révéler des informations sensibles.

• Restez vigilant contre le phishing en reconnaissant les signes courants tels que les URL suspectes et les demandes urgentes d'informations personnelles.

• Comprenez diverses techniques de phishing, des escroqueries par courrier électronique courantes au spear phishing sophistiqué, pour renforcer les défenses de cybersécurité.

Introduction

Le phishing est une tactique nuisible dans laquelle des acteurs malveillants prétendent être des sources fiables pour inciter les gens à partager des données sensibles. Dans cet article, nous expliquerons ce qu’est le phishing, comment il fonctionne et ce que vous pouvez faire pour éviter de devenir la proie de telles escroqueries.

Comment fonctionne le phishing

Le phishing repose principalement sur l'ingénierie sociale, une méthode par laquelle les attaquants manipulent des individus pour qu'ils divulguent des informations confidentielles. Les attaquants collectent des informations personnelles auprès de sources publiques (comme les réseaux sociaux) pour créer des e-mails apparemment authentiques. Les victimes reçoivent souvent des messages malveillants semblant provenir de contacts familiers ou d'organisations réputées.

La forme de phishing la plus courante consiste à envoyer des e-mails contenant des liens ou des pièces jointes malveillants. Cliquer sur ces liens peut installer des logiciels malveillants sur l'appareil de l'utilisateur ou le conduire vers des sites Web contrefaits conçus pour voler des informations personnelles et financières.

S’il est plus facile de repérer les e-mails de phishing mal rédigés, les cybercriminels utilisent des outils avancés tels que des chatbots et des générateurs vocaux IA pour améliorer l’authenticité de leurs attaques. Il est donc difficile pour les utilisateurs de faire la distinction entre les communications authentiques et frauduleuses.

Reconnaître les tentatives de phishing

L'identification des e-mails de phishing peut être délicate, mais vous pouvez surveiller certains signes.

Signes courants

Soyez prudent si le message contient des URL suspectes, utilise des adresses e-mail publiques, suscite la peur ou l'urgence, demande des informations personnelles ou contient des erreurs d'orthographe et de grammaire. Dans la plupart des cas, vous devriez pouvoir passer votre souris sur les liens pour vérifier les URL sans réellement cliquer dessus.

Escroqueries basées sur les paiements numériques

Les phishers se font souvent passer pour des services de paiement en ligne fiables comme PayPal, Venmo ou Wise. Les utilisateurs reçoivent des e-mails frauduleux les invitant à vérifier leurs informations de connexion. Il est crucial de rester vigilant et de signaler toute activité suspecte.

Attaques de phishing basées sur la finance

Les fraudeurs se font passer pour des banques ou des institutions financières et invoquent des failles de sécurité pour obtenir des informations personnelles. Les tactiques courantes incluent les courriels trompeurs sur les transferts d’argent ou les escroqueries par dépôt direct ciblant les nouveaux employés. Ils peuvent également prétendre qu'il existe une mise à jour de sécurité urgente.

Escroqueries par phishing liées au travail

Ces escroqueries personnalisées impliquent des attaquants se faisant passer pour des dirigeants, des PDG ou des directeurs financiers, demandant des virements électroniques ou de faux achats. Le phishing vocal utilisant des générateurs vocaux IA par téléphone est une autre méthode utilisée par les fraudeurs.

Comment prévenir les attaques de phishing

Pour prévenir les attaques de phishing, il est important de recourir à plusieurs mesures de sécurité. Évitez de cliquer directement sur des liens. Rendez-vous plutôt sur le site officiel ou sur les canaux de communication de l’entreprise pour vérifier si les informations que vous avez reçues sont légitimes. Pensez à utiliser des outils de sécurité tels que des logiciels antivirus, des pare-feu et des filtres anti-spam.

De plus, les organisations doivent utiliser des normes d'authentification de courrier électronique pour vérifier les courriers électroniques entrants. Des exemples courants de méthodes d'authentification de courrier électronique incluent DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance).

Pour les particuliers, il est crucial d’informer leur famille et leurs amis des risques de phishing. Pour les entreprises, il est essentiel de sensibiliser les employés aux techniques de phishing et de proposer des formations de sensibilisation périodiques pour réduire les risques.

Si vous avez besoin d'aide et d'informations supplémentaires, recherchez des initiatives gouvernementales comme OnGuardOnline.gov et des organisations comme Anti-Phishing Working Group Inc. Elles fournissent des ressources et des conseils plus détaillés pour repérer, éviter et signaler les attaques de phishing.

Types de phishing

Les techniques de phishing évoluent et les cybercriminels utilisent diverses méthodes. Les différents types de phishing sont généralement classés en fonction de la cible et du vecteur d'attaque. Regardons de plus près.

Phishing par clone

Un attaquant utilisera un e-mail légitime précédemment envoyé et copiera son contenu dans un e-mail similaire contenant un lien vers un site malveillant. L'attaquant pourrait également prétendre qu'il s'agit d'un lien mis à jour ou nouveau, en indiquant que le précédent était incorrect ou expiré.

Hameçonnage

Ce type d’attaque se concentre sur une personne ou une institution. Une attaque au harpon est plus sophistiquée que les autres types de phishing car elle est profilée. Cela signifie que l'attaquant collecte d'abord des informations sur la victime (par exemple, les noms d'amis ou de membres de la famille) et utilise ces données pour attirer la victime vers un fichier de site Web malveillant.

Pharmacie

Un attaquant empoisonnera un enregistrement DNS, ce qui, en pratique, redirigera les visiteurs d'un site Web légitime vers un site frauduleux préalablement créé par l'attaquant. Il s'agit de la plus dangereuse des attaques car les enregistrements DNS ne sont pas sous le contrôle de l'utilisateur, ce qui le rend impuissant à se défendre.

Pêche à la baleine

Une forme de spear phishing qui cible des personnes riches et importantes, telles que des PDG et des représentants du gouvernement.

Usurpation d'e-mail

Les e-mails de phishing usurpent généralement les communications d'entreprises ou de personnes légitimes. Les e-mails de phishing peuvent présenter à des victimes inconscientes des liens vers des sites malveillants, sur lesquels les attaquants collectent des informations de connexion et des informations personnelles à l'aide de pages de connexion intelligemment déguisées. Les pages peuvent contenir des chevaux de Troie, des enregistreurs de frappe et d'autres scripts malveillants qui volent des informations personnelles.

Redirections de sites Web

Les redirections de sites Web renvoient les utilisateurs vers des URL différentes de celle que l'utilisateur avait l'intention de visiter. Les acteurs exploitant les vulnérabilités peuvent insérer des redirections et installer des logiciels malveillants sur les ordinateurs des utilisateurs.

Typosquattage

Le typosquatting dirige le trafic vers des sites Web contrefaits qui utilisent des orthographes en langues étrangères, des fautes d'orthographe courantes ou des variations subtiles dans le domaine de premier niveau. Les phishers utilisent des domaines pour imiter les interfaces de sites Web légitimes, profitant ainsi des utilisateurs qui tapent mal ou lisent mal l'URL.

Fausses publicités payantes

Les publicités payantes sont une autre tactique utilisée pour le phishing. Ces (fausses) publicités utilisent des domaines que les attaquants ont typosquattés et payés pour les faire apparaître dans les résultats de recherche. Le site peut même apparaître parmi les meilleurs résultats de recherche sur Google.

Attaque d'un point d'eau

Lors d’une attaque de point d’eau, les phishers analysent les utilisateurs et déterminent les sites Web qu’ils visitent fréquemment. Ils analysent ces sites à la recherche de vulnérabilités et tentent d'injecter des scripts malveillants conçus pour cibler les utilisateurs lors de leur prochaine visite sur ce site Web.

Usurpation d’identité et faux cadeaux

Usurpation d’identité de personnalités influentes sur les réseaux sociaux. Les phishers peuvent se faire passer pour des dirigeants clés d'entreprises et annoncer des cadeaux ou se livrer à d'autres pratiques trompeuses. Les victimes de cette supercherie peuvent même être ciblées individuellement grâce à des processus d’ingénierie sociale visant à trouver des utilisateurs crédules. Les acteurs peuvent pirater des comptes vérifiés et modifier les noms d’utilisateur pour usurper l’identité d’un personnage réel tout en conservant leur statut vérifié.

Récemment, les phishers ont massivement ciblé des plateformes comme Discord, X et Telegram dans le même but : usurper l'identité de discussions, usurper l'identité d'individus et imiter des services légitimes.

Applications malveillantes

Les phishers peuvent également utiliser des applications malveillantes qui surveillent votre comportement ou volent des informations sensibles. Les applications peuvent se faire passer pour des outils de suivi des prix, des portefeuilles et d’autres outils liés à la cryptographie (qui disposent d’une base d’utilisateurs prédisposés au trading et à la possession de cryptomonnaie).

Phishing par SMS et voix

Forme de phishing basée sur des messages texte, généralement effectuée via des SMS ou des messages vocaux, qui encourage les utilisateurs à partager des informations personnelles.

Phishing contre Pharmacie

Bien que certains considèrent le pharming comme un type d’attaque de phishing, il repose sur un mécanisme différent. La principale différence entre le phishing et le pharming est que le phishing oblige la victime à commettre une erreur. En revanche, le pharming nécessite simplement que la victime tente d'accéder à un site Web légitime dont l'enregistrement DNS a été compromis par l'attaquant.

Phishing dans la blockchain et l'espace crypto

Bien que la technologie blockchain offre une forte sécurité des données en raison de sa nature décentralisée, les utilisateurs de l’espace blockchain doivent rester vigilants contre l’ingénierie sociale et les tentatives de phishing. Les cybercriminels tentent souvent d'exploiter les vulnérabilités humaines pour accéder aux clés privées ou aux identifiants de connexion. Dans la plupart des cas, les escroqueries reposent sur une erreur humaine.

Les fraudeurs peuvent également tenter d’inciter les utilisateurs à révéler leurs phrases de départ ou à transférer des fonds vers de fausses adresses. Il est important de faire preuve de prudence et de suivre les meilleures pratiques de sécurité.

Pensées finales

En conclusion, comprendre le phishing et rester informé de l’évolution des techniques est crucial pour protéger les informations personnelles et financières. En combinant des mesures de sécurité robustes, l’éducation et la sensibilisation, les individus et les organisations peuvent se prémunir contre la menace omniprésente du phishing dans notre monde numérique interconnecté. Restez SAFU!

Lectures complémentaires

• 5 conseils pour sécuriser vos avoirs en crypto-monnaie

• 5 façons d'améliorer la sécurité de votre compte Binance

• Comment rester en sécurité dans le trading peer-to-peer (P2P)

Avis de non-responsabilité : ce contenu vous est présenté « tel quel » à des fins d'information générale et éducatives uniquement, sans représentation ni garantie d'aucune sorte. Il ne doit pas être interprété comme un conseil financier, juridique ou autre conseil professionnel, et il n’est pas non plus destiné à recommander l’achat d’un produit ou d’un service spécifique. Vous devriez demander votre propre avis auprès de conseillers professionnels appropriés. Lorsque l'article est rédigé par un contributeur tiers, veuillez noter que les opinions exprimées appartiennent au contributeur tiers et ne reflètent pas nécessairement celles de Binance Academy. Veuillez lire notre clause de non-responsabilité complète ici pour plus de détails. Les prix des actifs numériques peuvent être volatils. La valeur de votre investissement peut augmenter ou diminuer et vous ne récupérerez peut-être pas le montant investi. Vous êtes seul responsable de vos décisions d'investissement et Binance Academy n'est pas responsable des pertes que vous pourriez subir. Ce matériel ne doit pas être interprété comme un conseil financier, juridique ou autre conseil professionnel. Pour plus d’informations, consultez nos conditions d’utilisation et nos avertissements de risque.