On parle d’hameçonnage lorsque les attaquants envoient des courriels malveillants destinés à inciter les gens à se laisser prendre à une escroquerie.
Le phishing est une attaque dans laquelle l’acteur de la menace se fait passer pour une personne ou une organisation de confiance afin d’inciter les victimes potentielles à partager des informations sensibles ou à leur envoyer de l’argent. Comme pour la pêche, il y a plus d’une façon suspecte de piéger une victime : l’hameçonnage par courriel, le smishing et le vishing sont trois types courants. Certains attaquants adoptent une approche ciblée, comme dans le cas du spear phishing ou du whale phishing.
Les attaques informatiques de phishing commencent par l’envoi d’une communication par l’acteur de la menace (pirates informatiques), qui se fait passer pour une personne de confiance ou familière. L’expéditeur demande au destinataire d’effectuer une action, en laissant souvent entendre qu’il est urgent de le faire. Les victimes qui se laissent prendre à l’escroquerie peuvent donner des informations sensibles qui pourraient leur coûter cher.
L’expéditeur du mail frauduleux
Dans une attaque de phishing, l’expéditeur imite (ou usurpe
) l’identité d’une personne digne de confiance que le destinataire connaîtrait probablement. Selon le type d’attaque par hameçonnage, il peut s’agir d’une personne, comme un membre de la famille du destinataire, le PDG de l’entreprise pour laquelle il travaille, ou même une personne célèbre qui est censée offrir quelque chose.
Le mail de phishing
Les messages de phishing imitent souvent les courriels de grandes entreprises comme PayPal, Amazon ou Microsoft, mais aussi de banques ou d’administrations publiques. Sous l’apparence d’une personne de confiance, le pirate informatique demande au destinataire de cliquer sur un lien, de télécharger une pièce jointe ou d’envoyer de l’argent. Lorsque la victime ouvre le message, elle découvre un message effrayant destiné à l’empêcher de faire preuve de discernement en l’emplissant de peur (vulnérabilité). Le message peut exiger de la victime qu’elle se rende sur un site Web et qu’elle prenne des mesures immédiates sous peine de subir des conséquences (rançon).
Le destinataire des mails de phishing
Si les utilisateurs mordent à l’hameçon et cliquent sur le lien, ils sont envoyés depuis leur navigateur sur une imitation d’un site Web légitime. De là, il leur est demandé de se connecter avec leur nom d’utilisateur et leur mot de passe. S’ils sont assez crédules pour obtempérer, les informations de connexion sont transmises à l’attaquant, qui les utilise pour voler des identités, dérober des comptes bancaires et vendre des informations personnelles sur le marché noir.
N’importe qui peut être visé par une attaque de phishing informatique. Mais certains types de phishing s’adressent à des personnes très spécifiques. Certains acteurs de la menace enverront un courriel général à de nombreuses personnes. En espérant que quelques-unes mordront à l’hameçon. Par exemple, un message frauduleux pour vous signaler que quelque chose ne va pas avec votre compte Facebook ou Amazon et que vous devez cliquer sur ce lien immédiatement pour vous connecter et régler le problème. Le lien mènerait probablement à une page Web falsifiée où vous pourriez donner vos identifiants de connexion. Les acteurs de la menace utilisent des attaques de phishing plus ciblées s’ils recherchent quelque chose de précis, comme l’accès au réseau ou aux données d’une certaine entreprise.
Les hackers ont recours à de telles attaques pour infecter votre appareil avec des programmes malveillants. Ces programmes se font passer pour du contenu intéressant, comme des documents importants ou des vidéos virales de chats. Tout est permis pour attirer votre attention. Ces types de virus sont appelés des chevaux de Troie, en référence à la mythologie grecque.
Le phishing informatique peut être également utilisé pour vous rediriger vers une page de connexion d’apparence légitime, mais qui est en fait un site frauduleux. Sur ce site, on vous incite à saisir vos informations d’identification pour les divulguer à votre insu.
Pour vous protéger contre le phishing, il faut commencer par savoir de quoi il s’agit et comment ce type d’attaque fonctionne. Voici 5 conseils qui peuvent vous aider à éviter de tomber dans le piège frauduleux du phishing.
1. Attention à votre vulnérabilité
Personne ne devient victime d’une escroquerie par phishing sans agir de sa propre initiative. Pour réussir, une telle escroquerie exige généralement que vous ouvriez un e‑mail et cliquiez sur un lien ou une pièce jointe. Un message peut vous demander d’effectuer certaines étapes supplémentaires, comme cliquer sur Activer le contenu
pour permettre à un cheval de Troie ou à un ransomware d’infecter votre appareil ou bien encore saisir vos informations personnelles dans un formulaire frauduleux.
2. Sachez que tout le monde peut en être victime
Les escroqueries par phishing sont aujourd’hui le fait de cybercriminels professionnels et peuvent être extrêmement difficiles à détecter. Elles se nourrissent souvent de notre désir d’avoir de bonnes nouvelles et de notre peur des mauvaises choses. Par exemple, les hackers savent que nous sommes susceptibles d’attendre une livraison. Et si tel n’est pas le cas, nous pouvons espérer recevoir un cadeau. Les escroqueries par phishing liées à des livraisons sont courantes, surtout pendant les périodes de Noël et du Black Friday.
3. Méfiez-vous des sources qui semblent crédibles
Les types d’attaques par phishing les plus courants prennent la forme de pièces jointes et de liens. Les SMS ou les messages instantanés sont également utilisés. Tout ce qui peut renforcer la crédibilité d’une attaque par phishing contribue à l’efficacité de l’escroquerie. Ainsi, les escroqueries se dissimulent souvent sous l’apparat de grandes marques auxquelles vous faites confiance et desquelles vous attendez une livraison, comme Amazon, votre banque, FedEx ou toute autre société de transport.
4. Attention à l’urgence
Le phishing crée souvent un sentiment d’urgence pour vous attirer. Un e‑mail qui vous demande d’agir rapidement doit vous mettre la puce à l’oreille. Si le problème était vraiment urgent, l’entreprise ou l’organisme concerné ne vous enverrait pas un simple message. En fait, des sources comme les établissements bancaires ne vous demanderont jamais de vérifier votre carte ou vos informations par e‑mail.
Si le message vous dit que c’est urgent, faites le bon choix et ne cliquez pas. Prenez le téléphone et appelez l’expéditeur pour vérifier l’authenticité du message. Au moment où vous commencerez à composer le numéro, vous aurez compris par vous-même que cette demande n’est pas légitime.
5. Faites confiance à votre instinct
Ce conseil peut sembler vague, mais si l’on tient compte de tous les autres, c’est le plus important. Après tout, il ne faut pas voir le mal partout. Le plus difficile est de faire la différence, et cette responsabilité vous revient. Ainsi, chaque fois que vous rencontrez un message suspect, demandez-vous si vous vous attendiez à le recevoir. Faites-vous confiance à la source ? Pouvez-vous vérifier la légitimité de la demande d’une manière ou d’une autre, par exemple en effectuant une recherche sur Internet ou en appelant l’expéditeur ? Si la réponse est non, alors il vaut mieux prévenir que guérir.
Tout le monde peut commettre une erreur en ligne et être victime d’une escroquerie par phishing. Pour passer à la vitesse supérieure en matière de protection contre le phishing et de cybersécurité, choisissez F‑Secure Total. Total comprend une protection récompensée contre les virus, les ransomware, les sites de phishing connus et de nombreuses autres menaces en ligne. Il inclut également un VPN illimité et un gestionnaire de mots de passe.
Essayez-le gratuitement pendant 30 jours, sans carte de paiement.