Depuis l’avènement du courriel, le phishing constitue la hantise des internautes comme des entreprises. Ces dernières années, il a fortement gagné en sophistication et est devenu difficile à repérer. Malheureusement, il s’agit de l’une des stratégies les plus couramment utilisées par les hackers pour infiltrer les comptes et réseaux de leurs victimes. D’après Symantec, un courriel sur 2 000 est en réalité un courriel de phishing, ce qui signifie que près de 135 millions d’attaques de ce type sont lancées quotidiennement [1].
Si ces attaques n’ont rien de rare, leur nombre a tendance à exploser en période de crise. Les scammers aiment en effet à profiter du chaos et de la confusion causés par les perturbations de notre environnement. Lors de ces moments, nous sommes nombreux à nous attendre à recevoir des courriels de sources officielles, comme des organisations reconnues, des compagnies d’assurance, des agences gouvernementales, etc., ce qui laisse le champ libre aux hackers pour envoyer leurs propres courriels, « presque authentiques ». Alors qu’ils paraissent tout à fait innocents, ces courriels ont pour seul objectif de rediriger leurs destinataires vers des sites frauduleux pour qu’ils y saisissent des informations sensibles.
Qu’est-ce que le phishing ?
Le phishing est une stratégie qui consiste à envoyer des courriels malveillants, pensés de sorte à inciter leurs destinataires à cliquer sur un lien frauduleux ou à télécharger une pièce jointe infectée afin de dérober leurs informations personnelles. Ces courriels semblent provenir d’entreprises, par exemple des commerçants ou des banques, ou encore de personnes ou équipes de votre environnement professionnel, comme les ressources humaines, votre chef ou même votre PDG.
Si vos employés ne savent pas reconnaître les signes d’un courriel de phishing, sachez qu’ils mettent en danger toute votre entreprise. D’après Verizon, une campagne de phishing d’envergure met en moyenne 16 minutes à faire sa première victime. En revanche, le premier signalement d’un tel courriel à un service informatique prend deux fois plus de temps, soit 33 minutes [2].
91 % des cyberattaques étant lancées par le biais d’une campagne de phishing réussie[3], ces 17 minutes d’écart peuvent s’avérer désastreuses pour votre entreprise.
Méthodes de phishing
Comme nous l’avons mentionné précédemment, la quasi-totalité des tentatives de phishing commence par un courriel semblant provenir d’une source légitime. En revanche, les méthodes d’attaque et d’infiltration sont assez variables. Certaines se contentent d’inciter la victime à cliquer sur un lien pour qu’elle saisisse des informations sensibles. D’autres sont beaucoup plus complexes, et exécutent par exemple un fichier exécutable qui se fait passer pour un processus légitime et accède secrètement à votre ordinateur et à votre réseau pour lancer des logiciels malveillants en arrière-plan.
Le phishing combine souvent plusieurs angles d’attaque et peut ainsi mêler altération de liens et de sites Web, et création d’un courriel aussi convaincant que possible. Lorsque vous recevez un courriel de phishing, vous commencez par voir une URL d’apparence légitime associée à un site Web bien connu comme Facebook, Amazon, YouTube, etc., et un message vous invitant à cliquer sur ce lien. Ces messages invitent leurs destinataires à saisir des informations sensibles au prétexte qu’une erreur est survenue en lien avec leur compte ou leur commande. C’est là que la mise en place d’un site Web factice entre en scène.
Si le lien peut ressembler à un lien authentique vers Amazon.com, des erreurs d’orthographe ou des incohérences dans le nom de domaine révèlent souvent sa véritable nature. Ces domaines frauduleux relèvent de ce que l’on appelle souvent le « typosquattage ». Ces sites malveillants sont conçus pour ressembler d’aussi près que possible à la page d’origine afin que leurs victimes y saisissent sans méfiance aucune leurs identifiants, promptement récupérés par le hacker et réutilisés sur le véritable site.
Les hackers joignent aussi souvent un fichier d’apparence légitime ou un lien permettant de lancer en toute discrétion le téléchargement d’un logiciel malveillant qui s’installe sur les systèmes de la victime. Ces attaques introduisent souvent un malware qui adopte l’apparence d’un fichier exécutable légitime et se déplace latéralement sur le réseau de l’utilisateur pour s’emparer d’informations sensibles, comme des informations de compte bancaire, des numéros de sécurité sociale, des identifiants, etc. Parfois, le malware inclut un ransomware qui chiffre et exfiltre les données sensibles du réseau de la victime pour ensuite lui demander une rançon.
Types d’attaques de phishing
Les hackers essaient le plus souvent de ratisser large. Ils envoient des courriels génériques semblant provenir de sites bien connus à autant de personnes que possible dans l’espoir de tromper les plus naïfs. Cette méthode est efficace, mais ce n’est pas la seule stratégie utilisée par les hackers. Certains ont ainsi recours à des tactiques plus ciblées, comme le spear phishing, le clone phishing et le whaling.
Spear phishing et whaling
Comme le phishing classique, le spear-phishing et le whaling se basent sur des courriels semblant provenir d’expéditeurs connus pour tromper leurs victimes. Toutefois, le spear phishing concentre ses efforts sur des personnes précises ou se fait passer pour une personne de confiance pour dérober des identifiants ou des informations.
Le whaling est lui aussi ciblé, mais il s’intéresse à de plus gros poissons. Au lieu de viser un groupe étendu comme un service ou une équipe, ces attaquants enfilent la casquette du capitaine Achab pour harponner des cadres dirigeants ou des personnes d’influence dans l’espoir de ramener leur fameuse baleine blanche. Ils essaient ainsi de se faire passer pour des cadres supérieurs comme des PDG, directeurs financiers, responsables des RH, etc. pour convaincre les membres d’une organisation de leur dévoiler des informations sensibles d’une grande valeur. Pour que ce type d’attaque réussisse, les malandrins doivent effectuer davantage de recherches en amont qu’habituellement afin de se montrer convaincants. Ils cherchent en effet à jouer de l’influence de la personne dont ils usurpent l’identité pour convaincre des employés ou d’autres gros poissons de ne pas réfléchir trop en avant à leurs demandes, voire de les questionner.
Pour la petite histoire, j’ai moi-même été visé par une telle attaque lorsque je travaillais pour une autre entreprise. Un hacker s’est fait passer pour mon PDG et a voulu connaître mon numéro de téléphone pour me demander une faveur. Par chance, de nombreux indices trahissaient le caractère malveillant de ce courriel. Le plus évident ? Le fait que le bureau de mon PDG se trouvait à 3 m du mien. S’il avait voulu me parler, il aurait fait le déplacement !
Clone Phishing
Les attaques de clone phishing sont moins créatives que celles de spear et whale phishing, mais elles n’en demeurent pas moins redoutablement efficaces. Ce type d’attaque reprend tous les aspects clés du phishing, mais au lieu de se faire passer pour un utilisateur ou une entreprise et de formuler une requête bien précise, les attaquants copient un courriel légitime précédemment envoyé par une entreprise de confiance [4] et en manipulent les liens. Ils espèrent ainsi pouvoir rediriger la victime vers un site frauduleux et la pousser à saisir les identifiants qu’elle emploie sur le site d’origine.
Exemples d’escroqueries par courriel
Les hackers n’hésitent pas à créer des courriels ressemblant trait pour trait à ceux envoyés par des commerçants comme Amazon ou Walmart et affirmant que vous devez saisir vos identifiants ou informations de paiement pour permettre le traitement de vos commandes. Les liens de ces courriels vous redirigent vers une page d’apparence on ne peut plus légitime, sur laquelle vous êtes invité à saisir vos informations sensibles.
Jamais autant de personnes ne se sont tournées vers le shopping en ligne que depuis la pandémie. De plus, l’e-commerce est en plein bouleversement : les hackers risquent fort de multiplier les heures supplémentaires cette année. Avec la saison des fêtes et les achats de cadeaux, ce type d’arnaques suit une courbe exponentielle. De nombreuses personnes multiplient les achats et ne sont donc aucunement troublées par la réception d’un courriel les informant d’un problème sur une commande.
Pendant la saison des fêtes 2020, un courriel prétendant provenir d’Amazon et informant ses destinataires qu’ils devaient se connecter pour mettre à jour leurs informations de paiement et d’expédition pour valider leur commande a ainsi été reçu par de nombreuses victimes [5].
(Source)
À titre personnel, je reçois beaucoup de courriels d’Amazon concernant l’expédition et la confirmation de mes commandes, les dates de livraison prévues, etc. Si je ne connaissais pas les indices trahissant ces attaques, je tomberais facilement dans le panneau.
Anatomie d’un e-mail de phishing
Voici les composants les plus courants d’un courriel de phishing. Consultez notre infographie complète pour tester vos connaissances.
Objet
Les campagnes de phishing cherchent souvent à susciter un sentiment d’urgence à l’aide de mots forts et de techniques cherchant à vous faire peur. Ces caractéristiques s’observent dès l’objet du courriel.
Expéditeur
Le courriel semble provenir d’une entité légitime issue d’une entreprise reconnue, par exemple le service clientèle. Toutefois, en y regardant de plus près, vous remarquerez que le nom de l’expéditeur et l’adresse électronique ressemblent bien à ceux d’une marque connue, mais n’y sont pas identiques.
Destinataire
Les courriels de phishing sont souvent impersonnels et font référence à leur destinataire sous les appellations d’« utilisateur » ou de « client ».
Corps du message
Comme l’objet, le corps d’un courriel de phishing instille souvent un sentiment d’urgence pour inciter le lecteur à agir sans trop réfléchir. Ces courriels regorgent souvent d’erreurs de grammaire et de ponctuation.
Lien malveillant
Un lien suspect constitue le principal indice trahissant un courriel de phishing. Ces liens sont souvent raccourcis (par le biais de bit.ly ou d’un service similaire) ou mis en forme de sorte à ressembler à un lien légitime de l’entreprise et à s’intégrer au message du courriel malveillant.
Instillation de la peur
En plus d’employer des termes suscitant un sentiment d’urgence, les courriels de phishing cherchent souvent à faire peur dans l’espoir que leurs lecteurs cliquent sur les liens malveillants, aveuglés par leur angoisse ou leur confusion.
Signature
Comme la salutation, la signature du courriel est souvent impersonnelle. Elle indique généralement un titre de service client plutôt que le nom d’une personne et ses coordonnées.
Pied de page
Le pied de page d’un courriel de phishing inclut souvent des éléments qui trahissent sa véritable nature. Il peut ainsi s’agir d’une date de copyright incorrecte ou d’une adresse qui ne correspond pas à celle de l’entreprise.
Page de destination malveillante
Lorsque vous cliquez sur un lien de phishing, vous atterrissez la plupart du temps sur une page malveillante.
Comment éviter les attaques
La meilleure défense contre les campagnes de phishing ? La connaissance. Les attaquants mettent tout en œuvre pour élaborer des courriels aussi convaincants que possible, mais des indices les trahissent bien souvent. Une formation régulière à la sécurité des données et à l’ingénierie sociale constitue une stratégie de prévention très efficace qui aidera les utilisateurs à repérer les indices trahissant les courriels malveillants.
Voici quelques points à vérifier chaque fois que vous recevez un courriel vous invitant à cliquer sur un lien, à télécharger un fichier ou à partager vos identifiants, même s’il paraît provenir d’une source de confiance .
- Vérifiez le nom et le domaine de l’expéditeur.
-
- La plupart des courriels légitimes ne proviennent pas d’une adresse en @gmail.com, @live.com, etc. Ils utilisent en règle générale des domaines privés.
- Vérifiez si l’objet et le corps du message contiennent des erreurs d’orthographe grossières.
- Les champs De et À sont génériques.
- Ne communiquez pas vos identifiants : aucun expéditeur légitime ne vous les demandera.
- N’ouvrez aucune pièce jointe et ne téléchargez aucun fichier associé à un lien suspect.
- Signalez les courriels suspects à la personne chargée de la sécurité informatique.
-
Si vous avez le moindre doute sur la légitimité d’un courriel, ne cliquez pas sur les liens ou pièces jointes qu’il contient. Contentez-vous de le signaler aux personnes compétentes. Il peut s’agir du service informatique de votre entreprise, de l’entreprise dont semble provenir le courriel, de votre fournisseur de messagerie (Google, Microsoft, etc.).
Ne tombez pas dans le panneau
En matière de phishing, la connaissance est synonyme de pouvoir. Pour réussir, les hackers comptent sur vous. Même si vous pensez être expert en courriels de phishing, ne baissez jamais votre garde. Le danger rôde derrière chaque lien. Les courriels de phishing continueront de gagner en sophistication et deviendront de plus en plus difficiles à détecter. Tant que le digital restera présent dans nos vies, les hackers chercheront à exploiter des personnes innocentes pour garnir leur portefeuille. Le meilleur moyen de se protéger et de garder un œil sur les menaces est de se tenir informé en permanence des nouveautés du monde du phishing.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.