8 types d’attaques de phishing à connaître
Le phishing reste l'une des plus grandes menaces de cybersécurité au monde.
En fait, selon les recherches de la société de cybersécurité Barracuda , le phishing est devenu si répandu que le nombre d'attaques de phishing liées aux coronavirus a augmenté de 667% de janvier à mars de cette année. Ce qui est encore plus alarmant, c'est que selon une étude Intel, jusqu'à 97% des personnes ne peuvent pas identifier un e-mail de phishing.
Pour éviter de devenir une victime, vous devez connaître les différentes façons dont les hameçonneurs peuvent essayer de vous attaquer. Voici huit types différents de tentatives de phishing que vous pourriez rencontrer.
1. Phishing par e-mail
Il s'agit de l'e-mail de phishing typique conçu pour imiter une entreprise légitime. C'est le type d'attaque le moins sophistiqué utilisant la méthode «spray and prier».
Ils ne ciblent pas une personne spécifique et envoient souvent des e-mails génériques à des millions d'utilisateurs dans l'espoir que certaines victimes sans méfiance cliquent sur le lien, téléchargent le fichier ou suivent les instructions dans l'e-mail.
Ils ne sont souvent pas aussi personnalisés, ils utilisent donc des salutations générales comme "Cher titulaire de compte" ou "Cher membre estimé". Ils utilisent également souvent la panique ou la peur avec des mots comme «URGENT» pour inciter les utilisateurs à cliquer sur le lien.
2. Spear Phishing
Il s'agit d'un type de phishing plus sophistiqué et avancé qui cible un groupe spécifique ou même des individus spécifiques . Il est souvent utilisé par des pirates de haut niveau pour infiltrer les organisations.
Les escrocs effectuent des recherches approfondies sur les personnes, leurs antécédents ou les personnes avec lesquelles ils interagissent régulièrement afin de pouvoir rédiger un message plus personnel. Et parce que ses utilisateurs plus personnels ne soupçonnent pas souvent que quelque chose ne va pas.
Vérifiez toujours l'adresse e-mail et le format de la lettre par rapport à ce que vous recevrez normalement de ce contact. Il est également préférable d'appeler l'expéditeur et de tout vérifier avant de télécharger une pièce jointe ou de cliquer sur des liens, même si cela semble provenir d'une personne que vous connaissez.
3. Chasse à la baleine
Il s'agit d'un autre type d'hameçonnage sophistiqué et avancé, seul celui-ci cible un groupe spécifique de personnes: les dirigeants d'entreprise de haut niveau comme les gestionnaires ou les PDG.
Ils s'adressaient parfois directement à la cible dans la salutation et le message pouvait prendre la forme d'une assignation à comparaître, d'une plainte légale ou de quelque chose qui nécessitait une action urgente pour éviter la faillite, le licenciement ou des frais juridiques.
Les attaquants passeraient beaucoup de temps à faire des recherches approfondies sur la personne et à élaborer un message spécialisé pour cibler les personnes clés d'une organisation qui auraient normalement accès à des fonds ou à des informations sensibles.
La cible recevra des liens vers une page de connexion convaincante où les codes d'accès ou les informations de connexion seront récoltés par des pirates. Certains cybercriminels demanderaient également aux victimes de télécharger une pièce jointe pour afficher le reste de l'assignation ou de la lettre. Ces pièces jointes sont accompagnées de logiciels malveillants qui peuvent accéder à l'ordinateur.
4. Vishing 
Le vishing ou le phishing vocal est un type de phishing, mais au lieu d'envoyer un e-mail, les attaquants essaieront d'obtenir des informations de connexion ou des coordonnées bancaires par téléphone.
Les attaquants se font passer pour le personnel d'une organisation ou le personnel de soutien d'une société de services, puis jouent sur les émotions pour demander aux victimes de transmettre leurs coordonnées bancaires ou de carte de crédit.
Le message peut parfois concerner un montant en souffrance comme des taxes, des gains de concours ou provenir d'un faux personnel d'assistance technique demandant un accès à distance à un ordinateur. Ils peuvent également utiliser un message préenregistré et une usurpation de numéro de téléphone, ce qui donne l'impression qu'un appel à l'étranger est local. Ceci est fait pour donner de la crédibilité à l'attaque et faire croire aux victimes que l'appel est légitime.
Les experts conseillent aux gens de ne jamais divulguer par téléphone des informations sensibles telles que les informations de connexion, les numéros de sécurité sociale ou les coordonnées bancaires et de carte de crédit. Raccrochez et appelez immédiatement votre banque ou votre fournisseur de services.
5. Smishing
Le smishing est toute forme de phishing qui implique l'utilisation de messages texte ou SMS. Les hameçonneurs essaieront de vous inciter à cliquer sur un lien envoyé par texte qui vous mènera à un faux site. Il vous sera demandé de saisir des informations sensibles telles que les détails de votre carte de crédit. Les hackers récolteront ensuite ces informations sur le site.
Ils vous diraient parfois que vous avez gagné un prix ou que si vous ne saisissez pas vos informations, vous continuerez à être facturé à l'heure pour un service particulier. En règle générale, vous devez éviter de répondre à des textes provenant de numéros que vous ne reconnaissez pas. Évitez également de cliquer sur les liens que vous obtenez à partir des messages texte, surtout si vous ne connaissez pas la source.
6. Hameçonnage à la ligne
Cette tactique de phishing relativement nouvelle utilise les médias sociaux pour inciter les gens à partager des informations sensibles. Les escrocs surveillent les personnes qui publient des articles sur les services bancaires et autres sur les réseaux sociaux. Ils se font ensuite passer pour un représentant du service client de cette entreprise.
Supposons que vous publiez une diatribe au sujet d'un dépôt retardé ou d'un service de mauvaise banque et que le message inclut le nom de votre banque. Un cybercriminel utilisera ces informations pour faire semblant de provenir de la banque et vous contactera ensuite.
Il vous sera ensuite demandé de cliquer sur un lien afin que vous puissiez parler à un représentant du service client, puis il vous demandera des informations pour «vérifier votre identité».
Lorsque vous recevez un message comme celui-ci, il est toujours préférable de contacter le service client via des canaux sûrs comme les pages officielles Twitter ou Instagram. Ceux-ci auraient normalement un signe de compte vérifié.
7. Fraude Phishing PDG
Celui-ci ressemble presque à la chasse à la baleine. Il cible les PDG et les managers, mais cela devient encore plus insidieux puisque l'objectif n'est pas seulement d'obtenir des informations du PDG, mais de se faire passer pour lui. L'attaquant, se faisant passer pour le PDG ou similaire, enverra alors un e-mail à ses collègues demandant de l'argent par virement bancaire ou demandant d'envoyer immédiatement des informations confidentielles.
L'attaque vise normalement une personne au sein de l'entreprise qui est autorisée à effectuer des virements bancaires, comme des titulaires de budget, des personnes du service financier ou des personnes ayant accès à des informations sensibles. Le message est souvent destiné à sembler très urgent, de sorte que la victime n'aura pas le temps de réfléchir.
8. Phishing dans les moteurs de recherche 
Il s'agit de l'un des types d'attaques de phishing les plus récents qui utilisent des moteurs de recherche légitimes. Les hameçonneurs créeront un faux site Web proposant des offres, des articles gratuits et des remises sur les produits, et même de fausses offres d'emploi. Ils utiliseront ensuite des techniques de référencement (optimisation des moteurs de recherche) pour que leurs sites soient indexés par des sites légitimes.
Ainsi, lorsque vous recherchez quelque chose, le moteur de recherche vous montrera les résultats qui incluent ces faux sites. Vous serez alors amené à vous connecter ou à fournir des informations sensibles qui sont ensuite récoltées par les cybercriminels.
Certains de ces hameçonneurs sont de plus en plus habiles à utiliser des techniques avancées pour manipuler les moteurs de recherche afin de générer du trafic vers leurs sites Web.
Restez informé et soyez vigilant
Connaître les noms de chaque type n'est pas vraiment aussi important que de comprendre le MO, le mode et le canal de chaque attaque. Vous n'avez pas à vous confondre avec ce qu'ils appellent tous, mais il est important de savoir comment leurs messages sont élaborés et quels canaux les attaquants utilisent pour vous atteindre.
Il est également important de toujours rester vigilant et de savoir qu'il y a tellement de gens qui cherchent à vous inciter à divulguer vos coordonnées. Comprenez que votre entreprise peut devenir la cible d'une attaque et que les criminels cherchent un moyen d'entrer dans votre organisation.
Connaître l'existence de telles menaces est la première étape pour empêcher votre ordinateur de devenir le point d'entrée d'un attaquant. Il est également très important de vérifier la source du message avant d'agir.
Vous devez également comprendre que les attaquants utilisent parfois la peur et la panique des gens pour amener les utilisateurs à faire ce qu'ils veulent. Ainsi, face à une menace, il est important de se calmer pour pouvoir réfléchir. Et quand il s'agit de repérer les escroqueries promotionnelles et gratuites, le vieil adage s'applique toujours: si quelque chose semble trop beau pour être vrai, c'est probablement le cas.