Qu'est-ce que le phishing ?

Le phishing consiste à envoyer des communications frauduleuses qui semblent provenir d'une source légitime et fiable, généralement par e-mail ou par SMS. L'objectif du hacker est de voler de l'argent, d'accéder à des données sensibles et à des identifiants de connexion, ou encore d'installer un malware sur l'appareil de la victime. Le phishing est une cyberattaque redoutable, de plus en plus fréquente et aux conséquences potentiellement désastreuses.

Avec l'essor mondial de l'intelligence artificielle (IA), le phishing et les stratégies de sécurité continueront d'évoluer

« L'année dernière, l'équipe Cisco Security a constaté que 80 % des attaques par ransomware enregistrées débutaient par un e-mail de phishing », explique Tom Gillis, vice-président et directeur général de la sécurité chez Cisco, Conférence RSA 2023

Comment les tentatives de phishing parviennent-elles à tromper les utilisateurs ?

Une attaque de phishing est une tentative d'ingénierie sociale où les hackers créent une fausse communication qui paraît légitime et semble provenir d'une source de confiance. Ils utilisent des e-mails ou des SMS d'apparence inoffensifs pour inciter les utilisateurs à effectuer une action, comme télécharger un malware, visiter un site infecté ou divulguer leurs identifiants de connexion, dans le but de dérober de l'argent ou des données.

Pourquoi les hackers envoient-ils des tentatives de phishing ?

Si les motifs d'attaque de phishing varient selon les hackers, la plupart d'entre eux cherchent à obtenir des données stratégiques auprès des utilisateurs, telles que des informations personnelles identifiables (PII) ou des identifiants de connexion qui peuvent être utilisés pour effectuer des opérations frauduleuses en accédant aux comptes bancaires de la victime. Une fois qu'ils ont récupéré les identifiants de connexion, les données personnelles, l'accès à des comptes en ligne ou les données de carte bancaire, ils peuvent obtenir des autorisations pour modifier ou compromettre d'autres systèmes connectés au cloud et, dans certains cas, prendre entièrement le contrôle du réseau informatique jusqu'à ce que la victime paie une rançon.

Certains cybercriminels ne se contentent pas de récupérer vos données personnelles et vos informations de carte bancaire. Leur objectif est de vider votre compte bancaire. Dans ces cas, ils peuvent remplacer les e-mails par du « popup phishing » combiné à du phishing vocal et à du phishing par SMS. Ils font pression sur les victimes jusqu'à ce qu'elles divulguent les identifiants d'accès à leur compte bancaire ou d'autres informations. Ciblant majoritairement les personnes âgées ou les employés des départements financiers de certaines entreprises, le phishing vocal et le phishing par SMS font partie des cyberattaques à connaître afin de pouvoir s'en protéger au mieux et assurer la sécurité des ressources financières. 

Comment fonctionne le phishing ? 

Le phishing consiste à attirer la victime à l'aide d'e-mails ou d'autres communications qui semblent fiables (mais frauduleux) provenant d'un expéditeur de confiance (ou semblant désespéré) afin de l'inciter à fournir des informations confidentielles, généralement via un site web d'apparence légitime. Parfois, des malwares ou des ransomwares sont également téléchargés sur l'ordinateur de la victime. 

  • Les hackers utilisent souvent des techniques telles que la peur, la curiosité, le sentiment d'urgence et la cupidité pour inciter les destinataires à ouvrir les pièces jointes ou à cliquer sur les liens.
  • Les attaques de phishing sont conçues de telle sorte qu'elles semblent provenir d'entreprises et de personnes fiables.
  • En innovation constante, les cybercriminels utilisent des techniques de plus en plus sophistiquées, notamment le spear phishing (une attaque ciblant un individu ou un groupe spécifique) et d'autres stratégies, pour inciter leurs victimes à cliquer ou à saisir des informations.
  • Une attaque de phishing réussie suffit pour compromettre votre réseau et dérober vos données. Il est donc primordial de toujours réfléchir avant de cliquer. (Vous pouvez cliquer sur ce lien. Il est sûr et contient des statistiques et des informations importantes sur le phishing).

Qui sont les cibles des attaques de phishing ?

Tout le monde est une cible potentielle. La plupart des attaques de phishing ciblent un grand nombre d'adresses électroniques dans l'espoir de tromper un certain pourcentage d'utilisateurs. Des formations sur la sécurité permettent de sensibiliser les utilisateurs aux dangers des attaques de phishing et de les aider à identifier les communications frauduleuses. 

Pourquoi les attaques de phishing sont-elles si efficaces ? 

Le phishing est efficace parce qu'il exploite les failles de la nature humaine, notamment la tendance à faire confiance, à agir par curiosité ou à se laisser influencer par l'urgence d'un message. Et les attaques de phishing sont de plus en plus faciles à mener. En effet, de nombreux kits de phishing sont aujourd'hui disponibles sur le dark web. C'est une activité relativement peu risquée pour les hackers, car il est facile d'obtenir des adresses e-mail en masse et envoyer des e-mails ne coûte presque rien.

Le phishing évolue avec l'IA

Les premières formes primitives d'attaques de phishing sont apparues il y a des décennies dans les salons de discussion. Depuis, le phishing a gagné en complexité pour devenir l'un des cybercrimes les plus répandus et préjudiciables sur Internet, menant à des compromissions d'e-mails professionnels (BEC), au piratage de comptes de messagerie (ATO) et à des attaques par ransomware. Depuis peu, l'IA permet aux hackers de mener plus facilement des attaques sophistiquées et ciblées en corrigeant les fautes d'orthographe et en personnalisant les messages. Par exemple, les cybercriminels collectent des informations d'identification sur des groupes ou des individus qu'ils souhaitent cibler, puis utilisent ces informations pour lancer des campagnes de phishing hautement personnalisées, appelées « spear phishing », ou phishing ciblé. Beaucoup plus personnalisées, les communications de phishing ciblé peuvent paraître particulièrement légitimes, ce qui les rend d'autant plus dangereuses. 

D'un autre côté, les solutions de sécurité basées sur l'IA offrent des techniques avancées de détection et de prévention. Les produits Cisco Secure exploitent désormais l'IA prédictive et générative, ce qui permet d'élargir notre champ d'action et d'améliorer nos interactions avec les différents éléments du système de sécurité. Cisco Secure Email Threat Defense s'appuie sur des modèles uniques d'intelligence artificielle et d'apprentissage automatique, notamment dans le domaine du traitement du langage naturel, pour détecter les techniques malveillantes, fournir un contexte détaillé concernant les risques spécifiques de l'entreprise, mettre à disposition une télémétrie consultable sur les menaces et les classer dans le but d'identifier les principales zones de vulnérabilité. 

Cisco s'apprête également à acquérir la société Armorblox, basée à Sunnyvale en Californie, qui développe des solutions pour protéger les entreprises contre la perte de données et les attaques par e-mail ciblées. L'intégration de ses solutions offrira une meilleure prédiction des attaques afin de détecter rapidement les menaces et d'appliquer efficacement les politiques adaptées pour neutraliser plus efficacement les attaques de phishing.

Les dangers du phishing - Que risquez-vous réellement ?

Identifiez les failles qui favorisent les attaques de phishing. Lisez notre ebook « Le phishing pour les nuls ».

Les risques au niveau personnel :

  • Vol d'argent sur votre compte bancaire
  • Dépenses frauduleuses avec vos cartes de crédit
  • Perte de l'accès à vos photos, vidéos et fichiers
  • Publications fictives sur vos réseaux sociaux
  • Cybercriminels usurpant votre identité, mettant vos proches en danger

Les risques au niveau professionnel :

  • Perte de fonds de l'entreprise
  • Divulgation des informations personnelles de partenaires, collègues et clients
  • Fichiers verrouillés et inaccessibles
  • Atteinte à la réputation de l'entreprise

Comment renforcer la sensibilisation au phishing en entreprise ?

Les entreprises doivent adopter une approche à plusieurs niveaux qui combine des filtres de messagerie et une formation de sensibilisation destinée aux collaborateurs. Si une attaque parvient à franchir les défenses de sécurité, les employés sont généralement le dernier rempart de l'entreprise.

Renforcez la résilience de votre sécurité en apprenant à reconnaître les attaques de phishing, à les prévenir et à les neutraliser dans le cas où votre entreprise en serait victime. Pour tester vos connaissances, commencez par répondre à notre Quiz de connaissances sur le phishing.

Prévention du phishing - Quelle est la meilleure défense contre le phishing ?

Il n'existe pas de solution de cybersécurité unique pour se protéger de toutes les attaques de phishing. Votre entreprise doit déployer des technologies de cybersécurité et adopter une approche de sécurité à plusieurs niveaux afin de réduire le nombre d'attaques de phishing et de limiter leur impact lorsqu'elles se produisent. 

Pour découvrir les dernières techniques d'attaque de phishing, y compris le phishing ciblé, le typosquattage, la stéganographie, ainsi que les moyens de les contrer grâce à des méthodes de cybersécurité avancées, téléchargez notre nouvel ebook, « Le phishing pour les nuls » et consultez le Chapitre 1  sur les fondamentaux du phishing.

Déployer des solutions de sécurité par couches

Votre entreprise peut déployer Cisco Umbrella pour la protection contre le phishing et Cisco Secure Email Threat Defense pour sécuriser les boîtes de réception. La solution de sécurité SSE Cisco Secure Access dans le cloud, qui repose sur le principe du Zero Trust, offre un accès sécurisé partout et sur tous les terminaux et inclut la protection contre le phishing. Envisagez également d'adopter une solution d'authentification multifacteur comme Cisco Duo pour bloquer l'accès aux hackers qui ont réussi à dérober des identifiants de connexion via le phishing.

 

Organiser régulièrement des sessions de formation

Grâce à des formations sur le phishing et à des stratégies antiphishing, vous encouragez vos collaborateurs à participer à la défense de votre entreprise. Les sessions de sensibilisation Cisco Secure Awareness sont parfaites pour cela. Couplées à des simulations d'attaques de phishing, ces formations permettent aux utilisateurs d'identifier et de signaler les éventuelles tentatives de phishing.

 

Ne pas publier de coordonnées en ligne

Certains hackers obtiennent des informations à partir de données qu'ils trouvent sur les réseaux sociaux et les sites web. Ils récupèrent les numéros de téléphone d'interlocuteurs clés à partir de leur signature d'e-mail et utilisent ces informations dans leurs campagnes de phishing ciblé et de phishing par SMS.

 

Établir des conventions d'adresse e-mail uniques

Internet regorge de conventions de dénomination d'adresses e-mail courantes, et la plupart des modèles sont faciles à deviner. Envisagez d'adopter une convention d'adresse e-mail qui ne suit pas le modèle classique prénom.nom ou initiale du prénom suivie du nom de famille. En attribuant les adresses e-mail de manière aléatoire au sein de l'entreprise, celles-ci seront impossibles à deviner à grande échelle.

 

Déployer des plateformes de messagerie sécurisées

L'e-mail restant le principal vecteur des attaques de phishing, de nombreuses entreprises optent pour la sécurité des plateformes de messagerie, notamment Cisco Webex Messaging, pour leurs communications internes. Les plateformes de messagerie encouragent à communiquer autrement que par e-mail, ce qui réduit le nombre de messages électroniques.

Combinées à une formation sur la lutte contre le phishing, ces plateformes offrent davantage de marge de manœuvre pour détecter les e-mails frauduleux.

 

 

Sorry, no results matched your search criteria(s). Please try again.

Comment détecter les attaques de phishing ?

Vous pouvez apprendre à identifier les e-mails de phishing sur mobile et sur ordinateur. Voici quelques étapes de base pour y parvenir.

Sur tout type de client de messagerie

Vous pouvez analyser les liens hypertextes qui sont l'un des principaux éléments pouvant révéler une attaque de phishing. Recherchez d'éventuelles fautes d'orthographe et de grammaire dans le corps de l'e-mail. Vérifiez l'orthographe du domaine d'envoi. Dans les e-mails de phishing, il est fréquent de trouver un chiffre à la place d'une lettre. 

 

Dans les liens hypertextes des e-mails

Dans un navigateur, l'URL de destination s'affiche dans une fenêtre contextuelle au survol du lien hypertexte. Assurez-vous que le lien de l'URL de destination est identique à celui présent dans l'e-mail. Méfiez-vous également des liens contenant des caractères étranges ou abrégés.

 

Sur les terminaux mobiles

Vous pouvez voir l'URL de destination en maintenant brièvement votre doigt sur le lien hypertexte. L'aperçu de l'URL apparaîtra dans une petite fenêtre contextuelle.

 

Sur les pages web

Passez la souris sur le texte d'ancrage pour afficher l'URL de destination dans le coin inférieur gauche de la fenêtre du navigateur. Testez vos compétences en détection d'attaques de phishing.

 

Sorry, no results matched your search criteria(s). Please try again.

Quelques mesures supplémentaires pour se protéger du phishing :

  • Ne cliquez pas sur les liens d'e-mails provenant de sources inconnues.
  • Maintenez votre navigateur à jour.
 
  • Surveillez régulièrement vos comptes en ligne.
  • Méfiez-vous des fenêtres contextuelles.
 
  • Ne communiquez jamais d'informations personnelles par e-mail.
  • Méfiez-vous des SMS et des appels téléphoniques provenant de personnes inconnues.
 
  • Méfiez-vous des tentatives de phishing qui exploitent vos émotions ou vos relations sociales.
  • Déployez des fonctionnalités de détection d'URL malveillantes et de filtrage de contenu.
 
  • Répondez à notre quiz sur le phishing.
  • Détectez les dernières attaques de phishing grâce à une protection avancée contre le phishing.
 

Sorry, no results matched your search criteria(s). Please try again.

Les principaux types d'attaques de phishing

Compromission des e-mails professionnels (BEC)

Les attaques BEC sont des attaques soigneusement planifiées et travaillées qui usurpent l'identité d'un dirigeant, d'un fournisseur ou d'un prestataire de l'entreprise. 

Regardez le webinar Phish and Learn pour découvrir pourquoi les attaques BEC sont si difficiles à détecter.

Affichez l'infographie sur la compromission des e-mails professionnels

Les principales menaces de phishing liées à la compromission des e-mails professionnels (BEC)

Compromission de compte de messagerie : dans ce type d'escroquerie courant, le compte de messagerie d'un collaborateur est piraté et utilisé pour solliciter des paiements auprès des fournisseurs. L'argent est ensuite transféré vers des comptes bancaires contrôlés par le hacker.

Usurpation d'identité d'un collaborateur : un e-mail frauduleux est envoyé par un individu malveillant qui se fait passer pour un collaborateur ou un fournisseur de confiance afin d'obtenir de l'argent ou des données sensibles par e-mail.

Fraude au PDG : un acteur malveillant envoie un e-mail à une victime en utilisant l'adresse compromise d'une entreprise, d'un individu ou d'un haut dirigeant de confiance, et demande un paiement ou un virement de fonds.

Escroquerie à la facture : le hacker se fait passer pour un fournisseur de confiance afin de demander à la victime le paiement de factures par e-mail. Ce type d'attaques est connu sous le nom de compromission des e-mails de fournisseur (VEC).

Fraude au paiement en interne : grâce à des identifiants volés, un hacker peut accéder aux systèmes de paiement internes, tels que les plateformes de paiement, et y configurer des fournisseurs frauduleux, modifier les destinataires des paiements ou rediriger les paiements vers ses propres comptes.

Fraude par détournement de la paie : à l'aide d'identifiants de messagerie volés, un hacker envoie un e-mail au service de paie ou financier d'une entreprise afin de modifier les coordonnées bancaires pour les virements directs.

Ingénierie sociale : la persuasion psychologique est utilisée pour gagner la confiance de la cible, ce qui l'amène à baisser sa garde et à prendre des mesures risquées, comme divulguer des informations personnelles.

Extorsion : des menaces ou des intimidations sont utilisées pour obtenir un gain financier ou autre, notamment dans les tentatives de phishing vocal.

E-mails de reconnaissance malveillants : le hacker envoie un e-mail d'apparence légitime dans le but de provoquer une réponse avant d'extraire des données sensibles appartenant à l'entreprise ou à l'utilisateur ciblé.

Phishing des informations d'identification : un acteur malveillant dérobe des identifiants de connexion en se faisant passer pour une entité légitime à l'aide d'e-mails et de fausses pages de connexion. Il utilise ensuite les identifiants volés à la victime pour lancer une seconde attaque ou extraire des données.


Piratage de comptes

Les méthodes utilisées par les hackers pour accéder aux messageries cloud, tels qu'un compte Microsoft 365, sont relativement simples et de plus en plus courantes. Ces campagnes de phishing prennent généralement la forme d'un faux e-mail de Microsoft. L'e-mail demande à l'utilisateur de se connecter, prétextant qu'il doit réinitialiser son mot de passe, qu'il ne s'est pas connecté récemment ou qu'un problème avec son compte nécessite son attention. L'URL incluse dans le message incite l'utilisateur à cliquer pour résoudre le problème. 

Regardez le webinar Phish and Learn pour comprendre les mécanismes du piratage de compte.

Blog : Identifier les faux e-mails Office 365


Phishing ciblé

Le spear phishing, ou phishing ciblé, cible des personnes spécifiques. Ainsi, les agresseurs peuvent personnaliser leurs communications pour les faire paraître plus authentiques. Le spear phishing est souvent la première étape utilisée pour pénétrer les défenses d'une entreprise et mener à bien une attaque ciblée. Selon le SANS Institute, 95 % des attaques lancées sur les réseaux d'entreprises sont le résultat d'un spear phishing réussi.

Conseils pour stopper le phishing (PDF)

Blog : Comment repérer une attaque de phishing ciblé


Whaling

Lorsque les hackers s'attaquent à un « gros poisson », comme un PDG, on appelle ça le whaling (littéralement « pêche à la baleine »). Ces hackers passent souvent beaucoup de temps à établir le profil de leur cible pour trouver le moment opportun et les moyens de voler ses identifiants de connexion. Le whaling est particulièrement préoccupant, car les cadres de haut niveau ont accès à de nombreuses données sensibles de l'entreprise.


Phishing vocal (ou vishing)

Le phishing vocal est une forme d'ingénierie sociale. Il s'agit d'un appel téléphonique ou d'un message vocal frauduleux visant à obtenir des informations sensibles, comme des identifiants de connexion, comme un hacker qui se fait passer pour un agent de l'assistance ou un représentant de votre entreprise ou d'un service d'abonnement. Les nouveaux employés sont souvent de bonnes cibles pour ce type d'attaques, mais cela peut arriver à tout le monde. D'ailleurs, ces attaques se multiplient. Adopter un logiciel de blocage des appels indésirables est un bon moyen d'éviter ce type d'appels.


Phishing par SMS

Le phishing par SMS peut se manifester par des messages envoyés aléatoirement à grande échelle ou par un message semblant provenir d'un collègue de votre entreprise. Il arrive que ces messages frauduleux contiennent un lien ou vous incitent à agir rapidement. Dans tous les cas, si vous ne reconnaissez pas le numéro de téléphone, supprimez le message. En cas de doute, contactez la personne en utilisant un numéro de téléphone valide pour vérifier la légitimité de la demande.


Phishing via les réseaux sociaux

Le phishing via les réseaux sociaux est similaire au phishing vocal, mais au lieu de passer un appel téléphonique, les hackers contactent leurs victimes via la messagerie directe de leurs réseaux sociaux en se faisant passer pour des agents du service client. Ces attaques ont déjà trompé des professionnels aguerris de la lutte contre le phishing. Ne les sous-estimez pas.

Le phishing a évolué et pris différentes formes au fil du temps, notamment le phishing ciblé ou le phishing par SMS. De plus, ses vecteurs d'attaque se sont multipliés (sites web compromis, réseaux sociaux, fausses publicités, codes QR, pièces jointes ou encore SMS).

Quiz de connaissances sur le phishing