Qu'est-ce que l'hameçonnage ?

Lukas Grigas
Rédacteur en cybersécurité
what is phishing

Avez-vous la certitude que l'e-mail que vous venez de recevoir vient bien de votre banque ? Comment pouvez-vous savoir si le lien sur lequel vous vous apprêtez à cliquer est sécurisé ? Ou êtes-vous sur le point de devenir la dernière victime d'une escroquerie par hameçonnage ?

L'hameçonnage est un type d'attaque créatif qui trompe les gens depuis des années. Une attaque par hameçonnage réussie peut permettre à des criminels de mettre la main sur vos données et votre argent, tout en laissant vos appareils criblés de logiciels malveillants et de virus.

Voici tout ce que vous devez savoir pour repérer les escroqueries par hameçonnage et vous en protéger.

Qu'est-ce que l'hameçonnage ?

Vous pouvez probablement deviner d'où vient le nom. Le mot « hameçonnage » fait référence au déroulement de l'escroquerie : appâter, faire mordre et attraper une victime. Le criminel tient la canne à pêche et, comme vous l'avez deviné, vous êtes effectivement le poisson.

Il existe plusieurs types de techniques d'hameçonnage. Les méthodes les plus courantes impliquent les e-mails ; cependant, ces techniques peuvent n'être que la première étape des attaques d'hameçonnage plus élaborées.

En ce qui concerne les e-mails d'hameçonnage, une bonne façade est essentielle. Le criminel se fera passer pour un contact de confiance, un ami ou une entreprise légitime. Il concevra son message en conséquence et inclura une ligne d'objet accrocheuse et tous les éléments qu'on retrouve dans un e-mail authentique.

Les types d'hameçonnage

Voici trois des types d'hameçonnage les plus courants.

Extorsion directe

Le cas d'extorsion directe le plus célèbre est peut-être la soi-disant escroquerie du « Prince nigérian ». Dans ce scénario, le criminel entame une conversation avec la victime et finit par la convaincre de lui transférer de l'argent. Cette escroquerie implique souvent que l'attaquant, qui prétend être un riche étranger, promette un gain conséquent en échange d'un « petit » investissement de fonds.

Au cours des dernières années, certains criminels ont commencé à cibler les internautes à travers des applications de rencontres. Les hameçonneurs gagnent la confiance de la victime et la convainquent de lui porter un intérêt sincère, avant de créer un faux scénario dans lequel ils ont un besoin urgent d'argent.

Certes, les personnes ont été sensibilisées à ces escroqueries ces dernières années, il y a donc moins de victimes.

Faux sites

Dans certains cas d'escroquerie par hameçonnage, le premier e-mail n'est que le point de départ d'un crime plus élaboré.

La configuration est identique à celle d'un e-mail contenant un lien dangereux. Toutefois, dans le cas présent, le lien redirige les victimes potentielles vers une page Web spécifiquement conçue par le criminel. Cette page utilisera le même thème et faux semblant que l'e-mail. Si quelqu'un se fait passer pour votre banque et vous demande de réinitialiser vos identifiants de connexion, la page imitera les couleurs et la mise en page de cette banque.

Ensuite, si vous finissez par saisir les données demandées, que ce soient vos mots de passe ou les identifiants de votre carte, ces informations seront déchiffrées et visibles par le criminel.

Types d'attaques par hameçonnage

Les attaques par hameçonnage se présentent sous diverses formes. La principale différence entre la plupart des types d'attaques par hameçonnage réside dans le support sur lequel elles sont menées. Voici certains des types les plus courants.

Hameçonnage par e-mail

Hameçonnage par e-mail est sans doute le type d'hameçonnage le plus courant. Comme son nom l'indique, l'attaque s'effectue par e-mail. Habituellement, les e-mails conçus par des personnes mal intentionnées imitent des sources légitimes pour tromper les utilisateurs sans méfiance afin qu'ils communiquent des informations sensibles.

Spear phishing

La différence essentielle entre spear phishing et d'autres types d'attaques d'hameçonnage est que, dans une attaque de pion, les mauvais acteurs se concentrent avec une grande précision sur une seule cible. Dans la plupart des cas, les cibles sont des personnes ou des organisations spécifiques.

Whaling

Le Whaling, parfois qualifiée de fraude par le PDG, est un type d'attaque qui, comme dans les cas d'hameçonnage de lance-lance, se concentre sur une seule cible. Cependant, le whaling vise généralement à exploiter des hauts fonctionnaires ou d'autres supérieurs hiérarchiques d'une organisation afin d'obtenir un accès non autorisé à des données financières sensibles ou à des systèmes informatiques.

Vishing et Smishing

La chose principale qui sépare les deux Vishing et Smishing à partir d’autres types d’attaques par hameçonnage est que les deux sont limitées au téléphone d’une victime potentielle. Le vishing fait référence au hameçonnage vocal. Il s'agit d'appels d'escrocs usurpant l'identité d'une banque ou offrant des opportunités d'investissement lucratives. L'hameçonnage par Sms ou smishing, quant à lui, est limité aux textos. Cependant, l'objectif de l'attaque et la façon dont elle est conçue sont très similaires à l'hameçonnage par e-mail.

Statistiques sur l'hameçonnage

De nos jours, les attaques par hameçonnage comptent parmi les types de cybercriminalité les plus courants et les plus dangereux auxquels les entreprises comme les particuliers sont confrontés quotidiennement.

Une récente étude menée par ESET a constaté une augmentation de 7,3 % des attaques d'hameçonnage par courriel entre mai et août 2021. Une autre étude menée par IBM a découvert une augmentation de 2 % des attaques d'hameçonnage entre 2019 et 2020. L’application Data Breach Investigations Report 2022 de Verizon a noté que les attaques d'hameçonnage sont impliquées d'une manière ou d'une autre dans environ 36 % de toutes les infractions.

Au fil des ans, les attaques par hameçonnage ont augmenté non seulement dans la fréquence mais aussi dans la sophistication. Alors que les chercheurs de Tessian ont découvert que 76% des courriels d'hameçonnage ne contenaient pas de pièces jointes malveillantes, rapport 2021 sur les cybermenaces de SonicWall a découvert une augmentation importante du nombre de fichiers PDF et Microsoft Office malveillants entre 2018 et 2020. L’augmentation probable correspond au fait que la plupart des gens ont tendance à faire confiance aux documents PDF et MS Office. Cette confiance se reflète dans le fait que Microsoft est l'une des marques les plus usurpées selon Consultez, qui a trouvé que jusqu'à 43 % des faux courriels usurpaient de l'identité du géant de la technologie. Parmi les autres organisations souvent identifiées figurent DHL, Amazon, et LinkedIn.

Le rapport de Verizon souligne que dans la plupart des cas d'attaque par hameçonnage, les types de données les plus compromis sont : les identifiants tels que les mots de passe, le PIN et les noms d'utilisateur, ainsi que les informations personnelles telles que le nom complet et l'adresse e-mail, tout comme les informations médicales, qui comprennent les réclamations d'assurance et les numéros de sécurité sociale. Le rapport souligne également que la perte médiane en cas d'e-mail professionnel compromis s'élève à 30 000 $.

Les rapports sur les tendances en matière de menaces à la cybersécurité de Cisco en 2021 ont examiné les secteurs les plus ciblés et ont constaté que le secteur des services financiers est la cible principale des hameçonneurs. Les autres secteurs souvent ciblés comprennent la vente au détail, la production industrielle, l'alimentation et les boissons, la recherche et le développement, ainsi que la technologie.

Quels sont les indices courants d'une tentative d'hameçonnage ?

De nombreuses escroqueries par hameçonnage s'efforcent d'exploiter un sentiment de peur. Souvent, un e-mail d'hameçonnage informe les utilisateurs qu'il y a eu un problème quelconque avec leur compte. Pour résoudre le faux problème, il est généralement demandé à l'utilisateur de cliquer sur un lien malveillant ou de télécharger une pièce jointe. Par conséquent, il n'est pas surprenant que la plupart des e-mails d'hameçonnage utilisent une ligne d'objet au caractère urgent.

Les attaquants se concentrent également sur la création de domaines qui peuvent être très similaires au domaine d'une marque fiable. Les malfaiteurs incluront des logos de marque pour tromper davantage les utilisateurs sans méfiance.

Démasquer un hameçonneur

La plupart des e-mails d'hameçonnage comportent des signaux d'alarme typiques qui permettent de les identifier comme tels.

La première chose à vérifier est si le message utilise votre vrai nom ou pas. S'il adresse à vous en utilisant des termes comme « cher client » ou « à qui de droit », vous devez vous méfier.

Les escrocs utilisant l'hameçonnage enverront souvent un grand nombre d'e-mails identiques sans cibler des individus spécifiques. Si une entreprise légitime vous contacte, elle saura presque toujours votre nom.

Les mots utilisés dans les e-mails d'hameçonnage peuvent également faire mention d'un cadeau. Faites attention aux phrases bizarrement formulées, aux fautes de grammaire ou aux fautes d'orthographe évidentes. Un véritable e-mail de votre banque ne contiendra pas ce genre de fautes.

Bien sûr, l'adresse de l'expéditeur de l'e-mail est également importante. Assurez-vous qu'elle semble légitime. En cas de doute, comparez-la à d'autres e-mails que vous avez reçus de la part de cette organisation.

Enfin, méfiez-vous d'un e-mail urgent. Si quelqu'un vous demande de l'argent ou vous presse de cliquer sur un lien « avant qu'il ne soit trop tard », ce n'est pas un bon signe. Les criminels essaieront souvent de faire paniquer la victime ou de la faire agir avec précipitation, sans prendre le temps de bien regarder l'e-mail lui-même.

Que se passe-t-il si vous cliquez sur un lien d'hameçonnage ou téléchargez une pièce jointe malveillante ?

Si vous êtes victime d'une escroquerie par hameçonnage, il est presque certain que les attaquants feront savoir à d'autres escrocs qu'ils ont réussi leur attaque contre vous. Par conséquent, vous serez probablement la cible d'encore plus d'attaques d'hameçonnage.

Le fait d'être victime d'une escroquerie par hameçonnage pourrait également entraîner la perte de données personnelles telles que votre nom, votre adresse, votre numéro de téléphone et d'autres informations permettant de vous identifier personnellement, ce qui pourrait entraîner d'autres problèmes tels que le vol d'identité.

Une attaque par hameçonnage réussie sur une entreprise pourrait entraîner une fuite complète des données, ce qui actuellement pourrait bien faire couler la société.

Comment éviter l'hameçonnage ?

  • Prenez votre temps et réfléchissez.

    Cette mise à distance est essentielle. Ne lisez jamais un e-mail à la hâte avant d'en suivre les instructions. Quelqu'un vous exhorte-t-il à cliquer immédiatement sur un lien pour collecter le montant d'une récompense ? Vous est-il demandé d'aller sur un site Web pour changer vos mots de passe dès que possible ? Prenez un moment et assurez-vous d'abord que l'e-mail soit authentique.

  • Ne cliquez pas directement sur les liens.

    La plupart des e-mails d'hameçonnage vous demanderont de cliquer sur un lien. Ce faisant, vous pourriez ouvrir la porte aux logiciels malveillants, aux virus et aux rançongiciels. Évitez complètement ce problème en ne cliquant jamais sur les liens contenus dans les e-mails, sauf si ces derniers proviennent d'un expéditeur vérifié de confiance.

    Si vous avez un doute, ouvrez un nouvel onglet et accédez à la page de l'entreprise. Pour lever le doute, vous pouvez même envoyer un e-mail ou appeler l'organisation directement pour lui demander si elle vous a contacté récemment.

  • Ne faites pas aveuglément confiance à vos filtres anti-spam.

    Votre boîte de réception filtre les spams et les courriers indésirables, puis les redirige dans une boîte séparée pour que vous puissiez les supprimer plus tard, mais elle ne remarque pas toujours tout. Ne partez pas du principe qu'un message est automatiquement sûr simplement parce qu'il n'a pas été repéré par les filtres. Des erreurs de cette sorte se produisent constamment.

  • Demandez-vous si vous avez déjà été en contact avec l'expéditeur.

    Si une banque où vous n'avez pas de compte vous envoie un e-mail pour vous demander de vous connecter à votre profil en cliquant sur un lien, vous êtes certainement la cible d'une tentative d'hameçonnage. La plupart des e-mails d'hameçonnage sont envoyés dans l'espoir que vous cliquerez sur le lien sans réfléchir. Demandez-vous si vous avez réellement un compte ou une relation avec l'entreprise que l'expéditeur prétend représenter. Si la réponse est non, ignorez ou supprimez le message.

Conclusion

Les e-mails d'hameçonnage peuvent être très efficaces et ils constituent l'une des plus anciennes escroqueries sur Internet. La meilleure défense pour s'en protéger elles sont la vigilance et un peu de bon sens.

S’abonner aux actualités de NordPass

Recevez les dernières actualités et astuces de NordPass directement dans votre boîte de réception.