Hameçonnage

L’hameçonnage est une technique d’ingénierie sociale dont les pirates se servent pour recueillir des informations ou diffuser des logiciels malveillants en se faisant passer pour une institution ou un ami légitime. L’hameçonnage vise à inciter les personnes à cliquer sur un lien, à ouvrir une pièce jointe ou à divulguer des informations sensibles, telles que des données personnelles, des données bancaires et de carte de crédit, ou des mots de passe. Les pirates utilisent les courriels, la messagerie instantanée, les réseaux sociaux et même les appels téléphoniques pour cibler des personnes. L’hameçonnage peut survenir aussi bien dans le cadre professionnel que dans la vie personnelle.

Selon des rapports récents, jusqu’à 94 % des organisations sont victimes d’attaques d’hameçonnage¹ et 22 % à 36 % de toutes les violations de données impliquent des attaques de ce type². Dans le rapport du FBI sur la cybercriminalité datant de 2021, on dénombrait 323 972 victimes d’attaques d’hameçonnage en 2021³.

Identifier et se défendre contre les tentatives d’hameçonnage

Comment pouvez-vous reconnaître des attaques d’hameçonnage et vous en protéger ? Voici cinq indicateurs courants d’une tentative d’hameçonnage :

1. C’est trop beau pour être vrai.
   
   • Tout comme un vendeur de voitures dans un garage qui essaie de vous vendre une voiture défectueuse, si une offre paraît trop belle pour être vraie, c’est probablement le cas.
2. Il y a un fort sentiment d’urgence.
   
   • S’il y a un sentiment d’urgence extrême, il y a de fortes chances qu’il s’agisse d’une tentative d’hameçonnage. Les pirates créent un sentiment d’urgence pour vous inciter à réagir et à croire à leur message au lieu d’y réfléchir de manière rationnelle. Les entreprises ou les organismes crédibles donnent toujours à leurs clients suffisamment de temps pour s’occuper de leurs comptes et ne vous demanderont jamais de divulguer des renseignements personnels par courriel. En cas de doute, examinez directement la source au lieu de cliquer sur le lien fourni dans le courriel.
3. Liens hypertextes falsifiés.
   
   • Les pirates utilisent de faux liens hypertextes ou des liens dont les URL diffèrent de celles annoncées dans le texte du lien pour inciter les personnes à cliquer sur le lien et à visiter des sites dangereux. (Par exemple : zionzbank.com plutôt que zionsbanks.com.) En cas de doute, passez la souris sur le lien pour révéler la véritable URL.
4. Pièces jointes inconnues ou inattendues.
   
   • Si vous voyez une pièce jointe inattendue ou qui n’a pas de sens, ne l’ouvrez pas ! Les pirates chargent souvent des logiciels rançon (ransomware) ou d’autres logiciels malveillants dans des pièces jointes qui attaquent immédiatement votre système.
5. Expéditeur inhabituel.
   
   • Si quelque chose vous semble inhabituel ou suspect, que ce soit de la part de quelqu’un que vous connaissez ou non, ne l’ouvrez pas. Les pirates créent souvent des comptes de messagerie au nom d’une personne que vous connaissez afin que son nom apparaisse dans la ligne « De ».

Autres formes d’hameçonnage

Bien qu’il se présente le plus souvent sous la forme d’un courriel, l’hameçonnage peut se produire de bien d’autres façons. Vous trouverez ci-dessous des scénarios illustrant différentes tentatives d’hameçonnage. Bien que fictives, ces histoires mettent en évidence de réelles stratégies et techniques utilisées par les pirates.

• John répond à un appel d’un numéro de téléphone inconnu. L’appelant prétend être un représentant de sa banque. Il a une attitude professionnelle et affirme devoir vérifier immédiatement une activité suspecte sur le compte de John. John donne hâtivement ses informations et on lui assure que le problème est résolu. Il continue sa journée, mais s’aperçoit bientôt qu’il a été victime d’une attaque de vishing.

  • Vishing : Le vishing est une forme d’hameçonnage où l’attaquant vous incite à divulguer des informations personnelles par le biais d’un appel téléphonique.

• Stéphanie entend son téléphone sonner et voit un SMS qui semble provenir de son opérateur de téléphonie mobile. Le message l’avertit d’une facture impayée et menace d’interrompre son service si elle n’effectue pas un paiement immédiat. Le message contient un lien vers une page de paiement. Elle saisit les détails de sa carte, soulagée d’avoir résolu le problème. Plus tard, elle se rend compte que sa carte a été utilisée de manière frauduleuse. Elle a été victime d’une attaque de smishing.

  • Smishing : Le smishing (hameçonnage par SMS) implique des SMS qui vous incitent à divulguer des informations sensibles.

• Jonathan navigue sur un site Internet lorsqu’il voit une publicité offrant un produit gratuit. Il lui suffit de payer les frais d’expédition et de traitement. Désireux de profiter de cette offre limitée dans le temps, il clique sur le lien menant à un site où il saisit ses informations. L’article n’arrive pas dans les délais prévus et, lorsque Jonathan tente de faire le suivi, il ne trouve aucune information sur l’entreprise ni sur le produit acheté. Il a été victime de baiting.

  • Baiting : Le baiting (ou attaque par appât) est une forme d’ingénierie sociale où le pirate promet quelque chose en échange d’un paiement modique. L’offre est souvent trop belle pour être vraie et vise à collecter vos informations financières et personnelles.

• Julie remarque une affiche en marchant dans la rue. L’affiche propose des billets à prix réduit pour un concert local à venir auquel elle souhaite assister. Elle scanne rapidement le code QR sur l’affiche, qui la dirige vers un site pour acheter les billets. Comme les billets sont presque tous vendus, Julie décide d’en acheter un. Plus tard dans la journée, ne pouvant pas accéder à son billet, elle comprend qu’elle a été victime d’une attaque de quishing.

  • Quishing : Cette forme d’hameçonnage utilise des codes QR pour inciter les gens à divulguer des informations sensibles, à télécharger des logiciels malveillants sur leurs appareils, ou pour voler leurs données financières. Une fois scanné, le code QR dirige les utilisateurs vers un site malveillant destiné à voler leurs identifiants ou à compromettre la sécurité de leurs comptes et appareils.

Conseils supplémentaires pour se protéger contre l’hameçonnage

Vérification en deux étapes

Pour réduire le risque d’être victime d’attaques par hameçonnage ou d’autres formes de vol d’identifiants, assurez-vous que l’authentification multifacteur (telle que la vérification en deux étapes) est activée sur vos comptes. Activez également les alertes de sécurité qui vous avertiront si votre compte est utilisé sur un ordinateur ou un appareil que vous n’avez jamais utilisé.

Méfiez-vous des réseaux sociaux

Les tentatives d’hameçonnage surviennent le plus souvent par courriel, mais elles peuvent toucher n’importe quel compte disposant d’une fonction de messagerie, y compris les réseaux sociaux. Où que vous soyez connecté, soyez à l’affût des signes courants d’une tentative d’hameçonnage !

Que faire si vous avez été piégé

Si vous pensez avoir été victime d’une tentative d’hameçonnage, il est crucial d’agir rapidement, afin de limiter les conséquences. Commencez par modifier tous les mots de passe susceptibles d’avoir été compromis. Veillez à ce que le mot de passe soit fort et unique, découvrez comment créer des mots de passe sécurisés ici. Si vous ne l’avez pas déjà fait, activez l’authentification multifacteur ou à deux facteurs (MFA/2FA) sur vos appareils et comptes concernés. Il peut être utile de vérifier votre ordinateur ou appareil pour détecter d’éventuels virus ou logiciels malveillants. Si vous avez communiqué des informations financières, contactez votre banque ou l’émetteur de votre carte afin de signaler un risque de fraude. Enfin, surveillez vos comptes pour repérer toute activité non autorisée ou suspecte.

Vous êtes le bouclier

La meilleure défense contre les attaques d’hameçonnage réside dans l’éducation et la vigilance. La vigilance et la connaissance des tactiques courantes utilisées par les pirates vous aideront à éviter de vous laisser piéger par ces escroqueries. Souvenez-vous : vérifiez systématiquement l’authenticité des demandes d’informations personnelles, soyez prudent face aux demandes inhabituelles ou aux offres trop belles pour être vraies, et ne cédez pas à un sentiment d’urgence apparent. Vous êtes le meilleur bouclier de défense de vos informations.

Exemples réels d’hameçonnage

Hameçonnage : https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-phishing/the-top-5-phishing-scams-of-all-times/

Vishing : https://www.terranovasecurity.com/blog/examples-vishing

Smishing : https://caniphish.com/what-is-smishing#Examples

Baiting : https://www.palisade.email/resources-post/understanding-what-a-baiting-attack-is-examples-and-protection

Quishing : https://www.hbs.net/blog/quishing/