Qu'est-ce qu'une attaque par phishing ?

Comment fonctionne le phishing ?

Les exemples les plus courants de phishing sont utilisés dans le cadre d'autres actions malveillantes, comme les attaques de l'homme du milieu et le script de site à site. Ces attaques se font généralement par e-mail ou par un message instantané et on distingue quelques catégories générales. Il est utile de se familiariser avec quelques-uns de ces différents vecteurs d'attaques par phishing afin de les repérer dans la pratique.

Fraude par avance de fonds

Cette attaque courante de phishing par e-mail a été popularisée par l'e-mail du « Prince nigérian » dans laquelle un prétendu prince nigérian dans une situation désespérée se propose d'offrir à la victime une grosse somme d'argent contre l'avance d'une petite somme initiale. Bien évidemment, lorsque la victime paie l'avance demandée, la grosse somme promise n'arrive jamais. Ce type d'escroquerie ne date pas d'hier. Elle est connue depuis plus d'un siècle sous différentes formes. Une malversation de ce type est déjà signalée à la fin du XIXe siècle sous le nom d'escroquerie du prisonnier espagnol, dans laquelle un escroc contactait une victime en abusant de sa crédulité et de sa sympathie. L'escroc prétendait vouloir faire sortir clandestinement de prison un riche prisonnier espagnol, censé récompenser généreusement la victime en échange de la somme nécessaire pour soudoyer un gardien de prison.

Cette attaque (sous toutes ses formes) est atténuée en ne répondant pas aux requêtes de personnes inconnues sollicitant de l'argent pour recevoir quelque chose en retour. Si l'offre semble souvent trop belle pour être vraie, c'est justement qu'elle ne l'est pas. Une simple recherche Google sur le thème de la requête ou sur une partie du texte mettra en évidence les détails de l'arnaque.

Arnaque de désactivation de compte

En jouant sur l'urgence créée chez une victime qui pense qu'un compte important va être désactivé, les attaquants peuvent tromper certaines personnes en leur faisant remettre des informations importantes, telles que des informations de connexion. Par exemple, l'attaquant envoie un e-mail qui semble provenir d'une institution importante, une banque par exemple, et prétend que le compte bancaire de la victime va être désactivé si elle n'agit pas rapidement. L'attaquant demande alors l'identifiant et le mot de passe du compte bancaire de la victime pour empêcher sa désactivation. Dans une version plus sophistiquée de l'attaque, une fois les informations saisies, la victime est dirigée vers le site web légitime de la banque pour que l'illusion soit parfaite.

Pour contrer ce type d'attaque, il suffit de se rendre directement sur le site web du service en question et de vérifier si le fournisseur légitime informe l'utilisateur d'une mesure urgente à prendre. Il est également bon de vérifier la barre d'URL pour s'assurer que le site web est sécurisé. Un site web demandant un identifiant et un mot de passe alors qui n'est pas sécurisé devra être considéré comme suspect et fui de manière quasi systématique.

Escroquerie par contrefaçon de site web

Ce type d'escroquerie est généralement associé à d'autres escroqueries telles que l'arnaque de désactivation de compte. Dans cette attaque, l'attaquant crée un site web qui est pratiquement identique au site web légitime d'une entreprise que la victime utilise, une banque par exemple. Lorsque l'utilisateur visite la page par un moyen quelconque, que ce soit une tentative de phishing par e-mail, un lien hypertexte à l'intérieur d'un forum ou via un moteur de recherche, la victime accède à un site web qu'elle pense être le site légitime alors qu'il s'agit d'une copie frauduleuse. Toutes les informations saisies par la victime sont collectées pour la vente ou toute autre utilisation malveillante.

Au début d'Internet, la reproduction de ce type de page était assez facile à repérer en raison de la mauvaise qualité de la réalisation. Aujourd'hui, les sites frauduleux ont tendance à ressembler comme deux gouttes d'eau aux originaux. En vérifiant l'URL dans le navigateur web, il est généralement assez facile de repérer une fraude. Si l'URL est différente de l'URL standard, cela doit être considéré comme hautement suspect. Si la page est répertoriée comme non sécurisée et que le protocole HTTPS n'est pas utilisé, il s'agit d'un signal d'alerte qui indique que le site est piraté ou qu'il s'agit bien d'une attaque par phishing.

Qu'est-ce que le spear phishing ?

Ce type de phishing vise des individus ou des entreprises spécifiques, d'où le terme de spear phishing, littéralement le harponnage (pour un hameçonnage ciblé). En collectant des détails ou en achetant des informations sur une cible particulière, un attaquant peut monter une arnaque personnalisée. Il s'agit actuellement du type de phishing le plus efficace qui représente plus de 90 % des attaques.

Qu'est-ce que le clone phishing ?

Le clone phishing consiste à faire une copie, ou clone, d'un e-mail légitime et à remplacer ses liens ou ses pièces jointes afin d'inciter la victime à ouvrir un site web ou un fichier malveillant. Par exemple, en prenant un e-mail et en joignant un fichier malveillant portant le même nom que le fichier joint légitime, puis en renvoyant l'e-mail avec une adresse e-mail usurpée qui semble provenir de l'expéditeur d'origine, les attaquants peuvent exploiter la confiance basée sur la communication initiale pour piéger la victime.

Qu'est-ce que le whaling ?

Pour les attaques qui visent spécifiquement les cadres supérieurs ou d'autres utilisateurs privilégiés au sein des entreprises, le terme whaling est couramment utilisé. Ces types d'attaques sont généralement ciblées avec un contenu susceptible de nécessiter l'attention de la victime, comme une citation à comparaître ou d'autres problèmes qui concernent les dirigeants d'une entreprise.

Un autre vecteur courant de ce type d'attaque est la diffusion d'e-mails frauduleux qui semblent provenir d'un cadre supérieur. Par exemple, une demande par e-mail provenant d'un PDG à un membre du service financier demandant son aide immédiate dans le cadre d'un transfert de fonds. Un employé situé à un échelon plus bas de la hiérarchie est parfois trompé en pensant avoir affaire à un supérieur. Cette position l'amène à ne pas vérifier l'authenticité de la demande et à transférer de grosses sommes d'argent à un escroc.

Comment Cloudflare aide-t-il les organisations à se défendre contre les attaques de phishing ?

Le phishing (hameçonnage) peut se produire sur une variété de vecteurs d'attaque, mais l'un des plus importants est le courrier électronique. De nombreux fournisseurs de courrier électronique essaient automatiquement de bloquer les e-mails de phishing, mais il arrive qu'ils parviennent tout de même aux utilisateurs, c'est pourquoi la sécurité des e-mails est une préoccupation importante.

Cloudflare Area 1 Email Security offre une protection avancée contre le phishing, en parcourant Internet et en enquêtant sur les infrastructures de phishing pour identifier à l'avance les campagnes de phishing. Découvrez le fonctionnement de Cloudflare Area 1.