Google estime que plus de 12,3 millions de personnes sont victimes de phishing chaque année. Malgré le fait que les premières attaques de phishing ont été enregistrées à la fin du siècle dernier et que les méthodes traditionnelles passent progressivement au second plan, ce type de cyberfraude continue de représenter un danger assez sérieux tant pour les particuliers que pour les entreprises.
Afin de minimiser les risques d’être victime d’hameçonnage, vous devez vous familiariser en détail avec ce type de cyberfraude.
Qu’est-ce que l’hameçonnage ?
Dans la grande majorité des cas, le phishing est la distribution de courriers pour le compte d’entreprises assez connues qui ont un caractère de masse. De tels messages contiennent généralement un lien menant à un site qui, après une première inspection rapide, n’est pas différent du vrai. En saisissant des informations confidentielles dans les champs appropriés, ce que les escrocs obtiennent en utilisant diverses astuces, l’utilisateur permet aux cybercriminels d’accéder à leurs comptes.
Comment tout a commencé
La première mention de phishing liée à AOL est apparue en 1996.
Des fraudeurs, se faisant passer pour des employés d’une entreprise de médias, ont demandé aux utilisateurs de leur fournir des mots de passe pour leurs comptes, et après avoir obtenu l’accès, ils les ont utilisés pour envoyer du spam. La distribution aux systèmes de paiement a commencé au début des années 2000 et, en 2006, les cyber-escrocs se sont rendus sur MySpace, volant les données d’enregistrement des utilisateurs.
Cible d’hameçonnage
Compte tenu du fait que les attaques de phishing peuvent être menées à la fois sur les particuliers et sur les entreprises, les objectifs poursuivis par les escrocs diffèrent également.
Ainsi, dans le premier cas, l’objectif est d’accéder aux identifiants et mots de passe, ainsi qu’aux numéros de compte des utilisateurs des services bancaires, ainsi qu’aux systèmes de paiement et aux réseaux sociaux. De plus, les attaques de phishing sont souvent menées pour installer des logiciels malveillants sur l’ordinateur d’une victime potentielle.
Encaisser des comptes auxquels les escrocs ont eu accès est un processus plutôt compliqué d’un point de vue technique, et il est beaucoup plus facile d’attraper une personne impliquée dans de telles opérations.
Ainsi, après avoir reçu des informations confidentielles, le fraudeur, dans la grande majorité des cas, les vend simplement à d’autres personnes en utilisant des méthodes éprouvées de retrait de fonds sur des comptes. En cas d’attaque de phishing sur une entreprise, l’objectif prioritaire est d’accéder au compte d’un des salariés pour ensuite attaquer l’entreprise dans son ensemble.
Méthodes et stratagèmes d’hameçonnage
Méthode d’ingénierie sociale
Dans ce cas, les escrocs, se faisant passer pour des employés d’entreprises bien connues, informent la victime potentielle qu’il est nécessaire de mettre à jour les données personnelles, ou de les fournir, ce qui s’explique généralement par une panne ou une perte du système.
Ce schéma utilise le fait que les gens réagissent généralement à des événements importants, à propos desquels les organisateurs de l’attaque de phishing tentent d’exciter autant que possible l’utilisateur, le forçant à prendre immédiatement les mesures dont les escrocs ont besoin. Il est généralement admis qu’une lettre avec la phrase « pour restaurer l’accès au compte, suivez le lien … » dans le titre attire l’attention de l’utilisateur, l’obligeant à cliquer.
Simple tromperie
Ce schéma, dans lequel les escrocs envoient un e-mail au nom d’une entreprise bien connue, y compris une demande de suivre un lien, est le plus courant, permettant à des millions de spams d’être envoyés en une heure. Afin de voler des données personnelles, des sites de phishing sont créés qui, à première vue, ne diffèrent pas extérieurement des vrais. Dans la grande majorité des cas, on utilise des domaines qui diffèrent des vrais par littéralement un caractère.
hameçonnage harpon
Dans ce cas, l’attaque n’est pas massive, mais est menée sur une personne spécifique. En règle générale, un tel système est utilisé pour contourner la protection de l’entreprise et mener une attaque ciblée. Les cyber-escrocs étudient au préalable les victimes potentielles à l’aide des réseaux sociaux, ainsi que d’autres services, adaptant ainsi les messages, les rendant plus convaincants.
« Chasse à la baleine »
Une méthode similaire est utilisée dans une attaque de phishing contre des cadres supérieurs et des dirigeants d’entreprise, et afin d’avoir une idée maximale des qualités personnelles d’une victime potentielle, les escrocs passent beaucoup de temps à essayer de trouver le moyen le plus approprié de voler information confidentielle.
Répartition des virus
Souvent, les attaques de phishing ne sont pas utilisées pour voler des données personnelles, mais pour nuire à un groupe particulier de personnes. Pour ce faire, un lien est inséré dans un message de phishing, en cliquant sur lequel télécharge un programme malveillant sur l’ordinateur de la victime, avec lequel vous pouvez prendre le contrôle total de l’ordinateur de l’utilisateur.
Agriculture
En utilisant cette méthode, qui est assez nouvelle, les escrocs obtiennent des données personnelles en utilisant des sites Web officiels. Un tel hameçonnage, lorsque l’adresse numérique du site Web officiel de l’entreprise sur le serveur DNS est usurpée et que l’utilisateur est automatiquement redirigé vers un faux site, est beaucoup plus dangereux que les méthodes traditionnelles, car dans ce cas, l’usurpation est tout simplement impossible à voir. Ebay et PayPal ont déjà souffert d’un tel stratagème de phishing.
Vishing
Dans ce cas, la communication téléphonique est utilisée et le numéro de téléphone lui-même, qui doit être appelé afin d’éliminer le «problème», est indiqué dans une lettre de nature de notification. De plus, déjà directement au cours d’une conversation téléphonique, les escrocs demandent à l’utilisateur de fournir des données d’identification afin de résoudre le problème le plus rapidement possible.
Comment se protéger contre l’hameçonnage
Tout d’abord, vous devez apprendre à calculer vous-même le phishing, et lorsque vous recevez des lettres vous demandant de « vérifier » votre compte, contactez immédiatement l’entreprise afin d’authentifier le message.
Au lieu d’utiliser des hyperliens, vous devez entrer manuellement l’URL de l’entreprise dans votre navigateur. La grande majorité des messages provenant de services réels contiennent certaines informations qui ne sont pas disponibles pour les hameçonneurs débutants, comme un nom ou les derniers chiffres d’un compte, même si cela ne réduit que légèrement les risques. Il est à noter qu’un lien vers un site de phishing peut également être contenu dans les messages d’amis dont les comptes ont été piratés.
Méthodes techniques pour minimiser les risques
De nombreux navigateurs avertissent déjà les internautes des menaces de phishing, pour lesquelles ils maintiennent leurs propres listes de ces sites. Les services de messagerie se battent également, améliorant les filtres anti-spam et analysant les e-mails de phishing. Les grandes entreprises, afin de minimiser les risques, compliquer les procédures d’autorisation et améliorer la protection des données personnelles.
L’expert en sécurité de l’information Mikhail Tereshkov, représentant JSC ER-Telecom Holding, donne plusieurs méthodes de protection assez simples mais efficaces contre le phishing. Vous devez faire particulièrement attention à savoir si le site possède un certificat de sécurité qui ressemble à https, et également modifier les mots de passe par défaut du routeur. Lors de vos achats, il est préférable de ne pas utiliser le Wi-Fi public et, lors du paiement dans une boutique en ligne inconnue, vous devez collecter plus d’informations à ce sujet.
Sortie
Compte tenu du fait que les cyberattaques sont depuis longtemps entrées dans nos vies, une protection qualifiée contre les cybercriminels est devenue l’une des principales tâches des entreprises développant des services de commerce électronique, cependant, les utilisateurs ordinaires ne doivent pas oublier les mesures qui peuvent minimiser le risque de tomber dans le piège des criminels.
