Qu'est-ce qu'une attaque de phishing ?

Comment fonctionne le phishing ?

On retrouve les exemples de phishing les plus courants dans le cadre d'autres actions malveillantes, comme les attaques de l'homme du milieu (on-path attacks) et le script de site à site (Cross-Site Scripting). Ces attaques s'effectuent généralement par e-mail ou par message instantané et on en distingue plusieurs catégories générales. Il est utile de se familiariser avec quelques-uns de ces différents vecteurs d'attaques de phishing afin de les repérer dans la pratique.

Fraude par avance de fonds

Cette attaque courante de phishing par e-mail a été popularisée par le célèbre e-mail dit du « prince nigérian » dans lequel un prétendu prince nigérian dans une situation désespérée se propose d'offrir à la victime une grosse somme d'argent contre l'avance d'une petite somme initiale. Bien évidemment, lorsque la victime paie l'avance demandée, la grosse somme promise n'arrive jamais. Ce type d'escroquerie ne date pas d'hier. Elle est connue depuis plus d'un siècle sous différentes formes. Une malversation de ce type est déjà signalée à la fin du XIXe siècle sous le nom d'escroquerie du prisonnier espagnol, dans laquelle un escroc contactait une victime en abusant de sa crédulité et de sa sympathie. L'escroc prétendait vouloir faire sortir clandestinement de prison un riche prisonnier espagnol, censé récompenser généreusement la victime en échange de la somme nécessaire pour soudoyer un gardien de prison.

Le meilleur moyen d'atténuer cette attaque (sous toutes ses formes) consiste à ne pas répondre aux demandes de personnes inconnues sollicitant de l'argent pour recevoir quelque chose en retour. Si une offre semble trop belle pour être vraie, c'est souvent qu'elle ne l'est pas en réalité. Une simple recherche Google sur la thématique de la demande ou une partie du texte mettra en évidence les détails de l'escroquerie.

Escroquerie à la désactivation de compte

En jouant sur l'urgence créée chez une victime qui pense qu'un compte important va être désactivé, les acteurs malveillants peuvent tromper certaines personnes en les incitant à communiquer des informations importantes, comme des identifiants de connexion. L'acteur malveillant peut ainsi envoyer un e-mail qui semble provenir d'une institution d'importance (une banque, par exemple). Cet e-mail prétend que le compte bancaire de la victime va être désactivé si la victime n'agit pas rapidement. Le pirate demande alors l'identifiant et le mot de passe du compte bancaire de la victime afin d'empêcher sa désactivation. Dans une version plus sophistiquée de l'attaque, la victime est dirigée vers le site web légitime de la banque une fois les informations saisies, afin que l'illusion soit parfaite.

Pour contrer ce type d'attaque, il suffit de se rendre directement sur le site web du service en question et de vérifier si le fournisseur légitime informe l'utilisateur d'une mesure urgente à prendre. Il est également bon de vérifier la barre d'URL pour s'assurer que le site web est sécurisé. Un site web demandant un identifiant et un mot de passe alors qui n'est pas sécurisé devra être considéré comme suspect et fui de manière quasi systématique.

Escroquerie par contrefaçon de site web

Ce type d'escroquerie est généralement associé à d'autres tentatives de supercherie comme l'escroquerie à la désactivation de compte. Dans cette attaque, l'acteur malveillant crée un site web pratiquement identique au site web légitime d'une entreprise que la victime utilise, comme le site d'une banque, par exemple. Lorsque l'utilisateur se rend sur la page par un moyen quelconque, que ce soit suite à une tentative de phishing par e-mail, après avoir cliqué sur un lien hypertexte à l'intérieur d'un forum ou via un moteur de recherche, la victime accède à un site web qu'elle pense être le site légitime alors qu'il s'agit en réalité d'une copie frauduleuse. Toutes les informations saisies par la victime sont alors collectées à des fins de revente ou toute autre utilisation malveillante.

Au début d'Internet, les reproductions de ce type de page étaient assez faciles à repérer du fait de la mauvaise qualité de leur réalisation. Aujourd'hui, les sites frauduleux ont tendance à ressembler comme deux gouttes d'eau aux originaux. Une simple vérification de l'URL dans le navigateur web permet généralement de détecter assez facilement les fraudes. Une URL différente de l'URL standard doit ainsi être considérée comme hautement suspecte. Le fait que la page soit répertoriée comme non sécurisée et que le protocole HTTPS ne soit pas utilisé constitue un signal d'alerte indiquant très probablement que quelque chose ne va pas avec le site ou que l'utilisateur est en présence d'une attaque de phishing.

Qu'est-ce que le spear phishing ?

Ce type de phishing vise des individus ou des entreprises spécifiques, d'où le terme de spear phishing, littéralement le harponnage (c'est-à-dire un hameçonnage ciblé). En collectant des détails ou en achetant des informations sur une cible particulière, un acteur malveillant peut élaborer une escroquerie personnalisée. Il s'agit actuellement du type de phishing le plus efficace, avec plus de 90 % des attaques.

Qu'est-ce que le clone phishing ?

Le clone phishing consiste à faire une copie, ou clone, d'un e-mail légitime et à remplacer ses liens ou ses pièces jointes afin d'inciter la victime à ouvrir un site web ou un fichier malveillant. Les acteurs malveillants peuvent ainsi exploiter la confiance basée sur la communication initiale afin de piéger la victime en interceptant un e-mail et en y joignant un fichier malveillant portant le même nom que la pièce jointe légitime, avant de renvoyer cet e-mail à l'aide d'une adresse e-mail usurpée, mais semblant provenir de l'expéditeur d'origine.

Qu'est-ce que le whaling ?

On utilise couramment le terme « whaling » (chasse à la baleine) pour désigner les attaques visant spécifiquement les cadres supérieurs ou d'autres utilisateurs privilégiés au sein des entreprises. Ce type d'attaque ciblé s'appuie généralement sur un contenu susceptible de nécessiter l'attention de la victime, comme une citation à comparaître ou d'autres problèmes susceptibles de concerner les dirigeants d'une entreprise.

La diffusion d'e-mails frauduleux semblant provenir d'un cadre supérieur constitue un autre vecteur courant de ce type d'attaque. Un exemple courant de ce type d'attaque se présente sous la forme d'une demande par e-mail émanant du PDG d'une entreprise et adressée à un membre du service financier afin de lui demander son aide immédiate dans le cadre d'un transfert de fonds. L'importance de la requête et la position plus basse du collaborateur dans la hiérarchie pourrait ainsi amener ce dernier à ne pas vérifier l'authenticité de la demande et à transférer de grosses sommes d'argent à un acteur malveillant.

Comment Cloudflare aide-t-elle les entreprises à se défendre contre les attaques de phishing ?

Le phishing (hameçonnage) peut se produire sur une variété de vecteurs d'attaque, mais l'un des plus importants est le courrier électronique. De nombreux fournisseurs de courrier électronique essaient automatiquement de bloquer les e-mails de phishing, mais il arrive qu'ils parviennent tout de même aux utilisateurs, c'est pourquoi la sécurité des e-mails est une préoccupation importante.

La solution Cloudflare Email Security fournit une protection avancée contre le phishing Elle sonde Internet de manière préventive à la recherche d'infrastructures de phishing afin d'identifier les campagnes d'attaques à l'avance. Découvrez le fonctionnement de la solution Cloudflare Email Security.