Qu’est-ce que le phishing et quels sont les types les plus courants ?

Ne mordez pas à l'hameçon !


Bien que le terme "phishing" (ou "hameçonnage") soit désormais familier à la plupart d'entre nous, sa signification précise et les risques qu'il engendre sont souvent méconnus. 


Cet article vise à clarifier le concept du phishing et à présenter ses différentes manifestations. Nous explorerons les techniques courantes utilisées par les cybercriminels, les conséquences de ce type d'attaque et les mesures à prendre pour s'en protéger.

Qu'est-ce que le phishing ?

Le phishing est une arnaque en ligne particulièrement sournoise. Les cybercriminels utilisent cette technique pour voler vos informations personnelles de manière frauduleuse. Ils se font passer pour des entités de confiance, comme votre banque, un site de e-commerce populaire ou même un ami, dans le but de vous soutirer vos mots de passe, numéros de carte bancaire et autres données sensibles.


Un exemple typique de phishing est un e-mail frauduleux, souvent bien imité, qui semble provenir de votre banque. Ce message vous invite à cliquer sur un lien qui vous dirige vers un faux site web, conçu pour être quasi identique à celui de votre banque. Une fois sur ce site, on vous demande de saisir vos identifiants de connexion. En les saisissant, vous les offrez sur un plateau aux cybercriminels, qui peuvent ainsi accéder à votre compte bancaire et le vider.

Les 5 types de phishing les plus courants

1. Usurpation d'e-mail : L'imposture parfaite


L'une des techniques de phishing les plus répandues consiste à usurper l'identité d'un expéditeur de confiance. En falsifiant l'adresse e-mail, les cybercriminels donnent l'illusion que le message provient bien de votre banque, d'un collègue ou d'une entreprise connue. L'objectif ? Vous inciter à cliquer sur un lien malicieux ou à divulguer des informations sensibles, comme vos identifiants de connexion.


2. Phishing par URL : Le piège du lien


Une autre technique courante est le phishing par URL, également appelé manipulation de lien. Les cybercriminels dissimulent un lien malveillant dans un email, un SMS ou sur un site web d'apparence fiable et familière. En cliquant sur ce lien, les utilisateurs sont redirigés vers un faux site web imitant un site de confiance. C'est là qu'on leur demande de saisir leurs identifiants de connexion ou d'autres informations personnelles, qui seront ensuite dérobées par les pirates.


3. L'hameçonnage par clonage

L'hameçonnage par clonage (clone phishing) consiste à copier (cloner) un email légitime contenant une pièce jointe ou un lien. Mais attention, l'email cloné dissimule un lien malveillant intégré au contenu original. L'objectif est de duper le destinataire en lui faisant croire à un message authentique provenant d'une source fiable, comme sa banque, un réseau social, voire même un collègue. En réalité, cliquer sur le lien peut le rediriger vers un site frauduleux conçu pour dérober ses informations personnelles ou installer un logiciel malveillant sur son appareil.


>> Consultez notre article LinkedIn sur le clone phishing


4. Arnaques aux fausses factures : Attention à la redirection

Les arnaques aux fausses factures consistent à envoyer par email une facture bidon. Cette facture semble provenir d'un fournisseur ou prestataire de confiance. Elle paraît authentique et arbore souvent les logos et informations corrects, excepté que les informations de paiement ont été modifiées pour rediriger la victime vers un compte contrôlé par l'escroc. Si la victime paie la facture, l'argent atterrit directement dans les poches du fraudeur et non chez le véritable fournisseur.


5. Arnaques par usurpation d'identité

Le catfishing, ou usurpation d'identité en ligne, se produit lorsque quelqu'un crée un faux profil sur les réseaux sociaux ou les sites de rencontre pour entamer une relation amoureuse avec une personne, souvent dans le but de la tromper ou de l'exploiter. L'objectif peut être multiple : extorsion d'argent, récupération d'informations personnelles... Le fraudeur exploite la manipulation affective pour établir un lien de confiance avec la victime et l'inciter à lui verser de l'argent ou à lui communiquer des informations confidentielles.


>> Lisez notre article LinkedIn sur le catphishing


Protégez-vous contre le phishing et les arnaques similaires

Conseils généraux :

  • ​Vigilance et scepticisme : Ne cliquez jamais impulsivement sur des liens provenant d'e-mails, de SMS ou de publications sur les réseaux sociaux, même s'ils semblent provenir d'un expéditeur connu. Vérifiez toujours l'identité de l'expéditeur et le lien avant de cliquer.
  • ​Vérifiez la source du message : En cas de doute sur l'authenticité d'un message, rendez-vous directement sur le site Web de l'expéditeur présumé ou contactez-le via un canal fiable.
  • Ne partagez jamais vos informations personnelles : Ne divulguez jamais d'informations sensibles telles que des mots de passe, des numéros de carte de crédit ou des coordonnées bancaires par e-mail, SMS ou messagerie instantanée. Les entreprises légitimes ne vous demanderont jamais ces informations par ces canaux.
  • ​Utilisez des mots de passe forts : Créez un mot de passe unique et fort pour chaque compte en ligne. Évitez de réutiliser les mêmes mots de passe et changez-les régulièrement.
  • Installez un antivirus et maintenez-le à jour : Un antivirus peut vous protéger contre les logiciels malveillants téléchargés involontairement à partir de sites Web de phishing.
  • ​Trop beau pour être vrai : Si une offre semble trop belle pour être vraie, c'est probablement le cas. Méfiez-vous des promotions qui vous poussent à agir rapidement ou à fournir des informations personnelles.

Conseils spécifiques :

1. Usurpation d'e-mail : L'imposture parfaite


  • ​Vérifiez l'adresse email de l'expéditeur : Assurez-vous que l'adresse email correspond exactement au domaine de l'expéditeur présumé. Méfiez-vous des fautes d'orthographe subtiles ou des domaines différents (par exemple, gmail.com au lieu de https://accounts.google.com/).
  • ​Soyez vigilant face aux salutations génériques : Les emails de phishing utilisent souvent des salutations génériques comme "Cher client" ou "Cher utilisateur". Les entreprises légitimes vous appellent généralement par votre nom.
  • ​Repérez les fautes d'orthographe et de grammaire : Les emails de phishing contiennent souvent des fautes d'orthographe et de grammaire. Les emails légitimes d'organisations professionnelles sont généralement sans fautes.


2. Phishing par URL : Le piège du lien


  • ​Survolez les liens avec votre souris : Avant de cliquer sur un lien, passez votre curseur dessus. Une fenêtre contextuelle va s'afficher, indiquant l'adresse web réelle. Vérifiez que cette adresse correspond bien au site que vous avez l'intention de visiter.
  • Vérifiez la présence du "https" dans le lien : Les sites web qui gèrent des informations sensibles, comme vos coordonnées bancaires, utilisent toujours "https://" au début de l'URL. Le "s" signifie "sécurisé" et indique que la communication entre votre navigateur et le site web est chiffrée.
  • ​Activez les fonctionnalités de sécurité de votre navigateur : La plupart des navigateurs proposent des fonctionnalités de sécurité telles que le blocage des fenêtres pop-up et des filtres anti-phishing. Assurez-vous que ces fonctionnalités sont activées pour une protection optimale.


3. L'hameçonnage par clonage


  • ​Méfiance à l'égard des pièces jointes et des liens : Les emails de phishing par clonage contiennent souvent des pièces jointes ou des liens malveillants. Soyez extrêmement prudent avec ces éléments, même s'ils proviennent d'un expéditeur connu et que l'email semble identique à un échange précédent.
  • ​Contactez l'expéditeur : En cas de doute sur la légitimité d'un email, contactez directement l'expéditeur présumé via un canal de confiance (téléphone, site web officiel) pour vérifier s'il vous a bien envoyé cet email.


4. Arnaques aux fausses factures


  • ​Vérifiez scrupuleusement les informations de paiement : Assurez-vous que le numéro de compte indiqué pour le paiement correspond exactement à celui du fournisseur ou du prestataire de services habituel. Méfiez-vous des moindres divergences.
  • ​Contactez directement le fournisseur : En cas de doute sur la validité d'une facture, contactez directement le fournisseur ou le prestataire de services par un canal de confiance (téléphone, site web officiel) pour confirmer son authenticité.


5. Arnaques par usurpation d'identité


  • ​Prudence et vigilance : Méfiez-vous des personnes en ligne qui vous flattent excessivement ou tentent de précipiter une relation amoureuse. Ce comportement peut être un signe qu'elles ne sont pas qui elles prétendent être.
  • ​Vérification en ligne : Faites une recherche en ligne sur le nom de la personne avec qui vous communiquez. Un simple Google suffit parfois à lever le doute. Vous pouvez également effectuer une recherche d'image inversée sur Google pour voir si sa photo de profil apparaît ailleurs sur internet.
  • ​Privilégiez les appels vidéo : Si vous avez des doutes sur l'identité de la personne, proposez un appel vidéo ou téléphonique. Ceci peut vous aider à confirmer son identité.
  • ​Confidentialité renforcée : Ne partagez jamais d'informations personnelles telles que votre adresse, votre numéro de téléphone ou vos coordonnées bancaires avec quelqu'un rencontré en ligne, à moins d'être absolument certain de son identité.
  • ​Faites confiance à votre instinct : Si quelque chose cloche dans la relation, c'est probablement le cas. Cessez tout contact avec quiconque vous met mal à l'aise ou vous inspire de la suspicion.
Conseils supplémentaires :

  • ​Restez informé : Pour garder une longueur d'avance sur les cybercriminels, tenez-vous au courant des nouvelles techniques de phishing. De nombreux sites web proposent des mises à jour sur ces tactiques. Abonnez-vous à leurs newsletters ou visitez régulièrement leurs sites pour rester informé.
  • ​Signalez les attaques par phishing ! Si vous tombez sur un email, un site web ou un message suspect, signalez-le aux autorités compétentes. Ainsi, vous protégez les autres contre d'éventuelles attaques similaires.
Conclusion

Le phishing reste une menace omniprésente et en constante évolution dans le domaine de la fraude en ligne. Les cybercriminels développent continuellement des techniques de phishing de plus en plus sophistiquées, les rendant plus difficiles à identifier. Cependant, en comprenant les différentes formes de phishing, telles que l'usurpation d'e-mail, le phishing par URL, le phishing par clonage, les arnaques aux fausses factures et le catfishing, nous pouvons mieux nous protéger. 


Ne cliquez jamais sur des liens sans en vérifier l'origine. Ne partagez jamais vos informations personnelles à moins d'être absolument certain de la légitimité du destinataire.


En nous familiarisant avec les méthodes de phishing et en restant sur nos gardes, nous serons mieux équipés pour nous défendre contre ces attaques.


Vous avez des questions ou souhaitez en savoir plus sur un type spécifique de phishing ? 

>> Contactez-nous


Avis de non-responsabilité : Les informations contenues dans cet article sont fournies à titre indicatif uniquement et ne sauraient se substituer à un avis juridique ou professionnel. Pour toute question relative à votre situation particulière, veuillez consulter un professionnel qualifié.



Source:

https://www.dnsbelgium.be/nl/slim-online/12-soorten-phishing


Sources supplémentaires :

Phishing Info Net: https://www.phishing.org/

Federal Trade Commission: https://www.ftc.gov/

European Union Agency for Cybersecurity (ENISA): https://www.enisa.europa.eu/

Qu’est-ce que le phishing et quels sont les types les plus courants ?
Able bv, Joren De Breucker 7 août 2024

Les cyberattaques les plus répandues (2024)