Qu'est-ce qu'une attaque par phishing ?

Les attaques par phishing, également appelées par hameçonnage, trompent une victime en l'incitant à effectuer des actions qui profitent à l'attaquant. Ces attaques vont du plus simple au plus sophistiqué et peuvent être repérées lorsque l'utilisateur est correctement sensibilisé.

Share facebook icon linkedin icon twitter icon email icon

Attaque par hameçonnage (phishing)

Objectifs d’apprentissage

Après avoir lu cet article, vous :

  • Définir une attaque par phishing
  • Explorer les attaques par phishing courantes
  • Découvrir les manières de se protéger contre le phishing

Qu'est-ce qu'une attaque par phishing ?

Le « phishing » fait référence à une tentative de vol d'informations sensibles, généralement sous la forme de noms d'utilisateur, de mots de passe, de numéros de carte de crédit, d'informations sur les comptes bancaires ou d'autres données importantes pour pouvoir utiliser ou vendre les informations volées. En se faisant passer pour une source réputée avec une demande alléchante, un attaquant attire la victime pour la piéger, de la même manière qu'un pêcheur utilise un appât pour attraper un poisson.

A Phishing Attack

Comment fonctionne le phishing ?

Les exemples les plus courants de phishing sont utilisés pour prendre en charge d'autres actions malveillantes, comme les attaques de l'homme du milieu et le cross-site scripting. Ces attaques se font généralement par e-mail ou par un message instantané et peuvent être divisées en quelques grandes catégories. Il est utile de se familiariser avec quelques-uns de ces différents vecteurs d'attaques par phishing afin de les repérer dans la pratique.

Fraude par avance de fonds

Cette attaque courante de phishing par e-mail a été popularisée par l'e-mail du « Prince nigérian » dans laquelle un prétendu prince nigérian dans une situation désespérée se propose d'offrir à la victime une grosse somme d'argent contre l'avance d'une petite somme initiale. Bien évidemment, lorsque la victime paie l'avance demandée, la grosse somme promise n'arrive jamais. Ce type d'escroquerie ne date pas d'hier. Elle est connue depuis plus d'un siècle sous différentes formes. Une malversation de ce type est déjà signalée à la fin du XIXe siècle sous le nom d'escroquerie du prisonnier espagnol, dans laquelle un escroc contactait une victime en abusant de sa crédulité et de sa sympathie. L'escroc prétendait vouloir faire sortir clandestinement de prison un riche prisonnier espagnol, censé récompenser généreusement la victime en échange de la somme nécessaire pour soudoyer un gardien de prison.

Cette attaque (sous toutes ses formes) est atténuée en ne répondant pas aux demandes personnes inconnues sollicitant de l'argent pour recevoir quelque chose en retour. Si l'offre semble souvent trop belle pour être vraie, c'est justement qu'elle ne l'est pas. Une simple recherche Google sur le thème de la demande ou sur une partie du texte mettra en évidence les détails de l'arnaque.

Arnaque de désactivation de compte

En jouant sur l'urgence créée chez une victime qui pense qu'un compte important va être désactivé, les attaquants peuvent tromper certaines personnes en leur faisant remettre des informations importantes, telles que des informations de connexion. Par exemple, l'attaquant envoie un e-mail qui semble provenir d'une institution importante, une banque par exemple, et prétend que le compte bancaire de la victime va être désactivé si elle n'agit pas rapidement. L'attaquant demande alors l'identifiant et le mot de passe du compte bancaire de la victime pour empêcher sa désactivation. Dans une version plus sophistiquée de l'attaque, une fois les informations saisies, la victime est dirigée vers le site web légitime de la banque pour que l'illusion soit parfaite.

Pour contrer ce type d'attaque, il suffit de se rendre directement sur le site web du service en question et de vérifier si le fournisseur légitime informe l'utilisateur d'une mesure urgente à prendre. Il est également bon de vérifier la barre d'URL pour s'assurer que le site web est sécurisé. Un site web demandant un identifiant et un mot de passe alors qui n'est pas sécurisé devra être considéré comme suspect et fui de manière quasi systématique.

Escroquerie par contrefaçon de site web

Ce type d'escroquerie est généralement associé à d'autres escroqueries telles que l'arnaque de désactivation de compte. Dans cette attaque, l'attaquant crée un site web qui est pratiquement identique au site web légitime d'une entreprise que la victime utilise, une banque par exemple. Lorsque l'utilisateur visite la page par un moyen quelconque, que ce soit une tentative de phishing par e-mail, un lien hypertexte à l'intérieur d'un forum ou via un moteur de recherche, la victime accède à un site web qu'elle pense être le site légitime alors qu'il s'agit d'une copie frauduleuse. Toutes les informations saisies par la victime sont collectées pour la vente ou toute autre utilisation malveillante.

Au début d'Internet, la reproduction de ce type de page était assez facile à repérer en raison de la mauvaise qualité de la réalisation. Aujourd'hui, les sites frauduleux ont tendance à ressembler comme deux gouttes d'eau aux originaux. En vérifiant l'URL dans le navigateur web, il est généralement assez facile de repérer une fraude. Si l'URL est différente de l'URL standard, cela doit être considéré comme hautement suspect. Si la page est répertoriée comme non sécurisée et que le protocole HTTPS n'est pas utilisé, il s'agit d'un signal d'alerte qui indique que le site est piraté ou qu'il s'agit bien d'une attaque par phishing.

Qu'est-ce que le spear phishing ?

Ce type de phishing vise des individus ou des entreprises spécifiques, d'où le terme de spear phishing, littéralement le harponnage. En collectant des détails ou en achetant des informations sur une cible particulière, un attaquant peut monter une arnaque personnalisée. Il s'agit actuellement du type de phishing le plus efficace qui représente plus de 90 % des attaques.

Qu'est-ce que le clone phishing ?

Le clone phishing consiste à faire une copie, ou clone, d'un e-mail légitime et à remplacer ses liens ou ses pièces jointes afin d'inciter la victime à ouvrir un site web ou un fichier malveillant. Par exemple, en prenant un e-mail et en joignant un fichier malveillant portant le même nom que le fichier joint légitime, puis en renvoyant l'e-mail avec une adresse e-mail usurpée qui semble provenir de l'expéditeur d'origine, les attaquants peuvent exploiter la confiance basée sur la communication initiale pour piéger la victime.

Qu'est-ce que le whaling ?

Pour les attaques qui visent spécifiquement les cadres supérieurs ou d'autres utilisateurs privilégiés au sein des entreprises, le terme whaling est couramment utilisé. Ces types d'attaques sont généralement ciblées avec un contenu susceptible de nécessiter l'attention de la victime, comme une citation à comparaître ou d'autres problèmes qui concernent les dirigeants d'une entreprise.

Un autre vecteur courant de ce type d'attaque est la diffusion d'e-mails frauduleux qui semblent provenir d'un cadre supérieur. Par exemple, une demande par e-mail provenant d'un PDG à un membre du service financier demandant son aide immédiate dans le cadre d'un transfert de fonds. Un employé situé à un échelon plus bas de la hiérarchie est parfois trompé en pensant avoir affaire à un supérieur. Cette position l'amène à ne pas vérifier l'authenticité de la demande et à transférer de grosses sommes d'argent à un escroc.