Le phishing en ligne, qui vise à dérober les informations confidentielles d’un individu par le biais de courriels ou de fausses pages web, est un véritable fléau qui touche particulièrement les Français. C’est une tactique courante qu’il est impératif de connaître pour s’en prémunir, d’autant plus que les cybercriminels sont de plus en plus créatifs dans leurs attaques. Voici les points essentiels pour mieux comprendre et éviter le phishing en ligne.
Qu’est-ce que le phishing ?
Le phishing, ou hameçonnage en français, est une technique de social engineering utilisé par des fraudeurs ou des hackers dans le but de subtiliser les renseignements personnels d’un individu, comme ses mots de passe, ses informations bancaires et autres données confidentielles.
Il se présente généralement sous la forme d’un email provenant soi-disant d’une entité connue de la victime (banque, sécurité sociale, impôts, opérateur téléphonique, PayPal, etc.), qui est invitée à répondre ou à cliquer sur un lien pour une raison x ou y. Ce dernier peut soit rediriger l’individu sur une page où on lui demande de renseigner ses informations personnelles, soit permettre à un programme malveillant de pénétrer directement dans son ordinateur.
Une fois que c’est fait, les malfaiteurs disposent de ces informations et peuvent ensuite soit s’en servir (voler votre identité, accéder à vos comptes, etc.), soit les revendre.
Il s’agit clairement d’une usurpation d’identité puisque le cybercriminel se fait passer pour quelqu’un d’autre afin de tromper la confiance de la victime.
Pour tromper plus facilement la victime, le message peut parfois induire une situation urgente ou stressante comme faire pression sur le destinataire en le menaçant d’une amende ou d’arrestation s’il ne régularise pas un paiement.
Quels sont les principaux types de phishing en ligne ?
Le phishing Spray and pray consiste à envoyer à un très grand nombre d’adresses un courriel dont le but est de générer chez les destinataires un sentiment d’urgence afin que ceux-ci y réagissent sans vraiment réfléchir. Il invite généralement à répondre directement en donnant ses informations ou à cliquer sur un lien malveillant.
Le spear phishing, ou harponnage, ressemble au « spray and pray » mais dans une version plus avancée puisqu’il s’adresse cette fois à un public ciblé avec des messages plus personnalisés, imitant souvent une organisation connue du destinataire pour lui usurper ses informations.
Le whale phishing (« whale » pour « baleine » en anglais) vise les grands responsables d’organisations (directeurs, PDG, cadres supérieurs, etc.). Les fraudeurs vont, au préalable, étudier avec attention leur cible afin de créer un message parfaitement ciblé et élaboré, se faisant passer pour une personne de confiance. Ils vont ensuite demander au responsable en question une somme d’argent ou des informations confidentielles, en faisant croire que cette demande est justifiée.
Le pharming fait partie des attaques les plus dangereuses. Il consiste à exploiter les failles des services DNS. Le fraudeur va envoyer des emails frauduleux semblant provenir de sources de confiance, enjoignant les destinataires à effectuer rapidement une action comme modifier un mot de passe. Ces derniers seront alors redirigés sur une fausse page internet ressemblant en tout point à la vraie. Une fois les informations renseignées, le fraudeur pourra ensuite les récupérer.
Comment déceler et éviter une tentative de phishing ?
Tout d’abord, il est impératif de bien lire plusieurs fois un email provenant d’une organisation (même connue) ou d’un expéditeur que vous ne connaissez pas. Vérifiez la tournure des phrases, l’orthographe, mais aussi et surtout l’url de la page et l’adresse mail complète de l’envoyeur. Concernant l’url, pointez-le avec votre souris pour l’avoir au complet puis comparez-le avec celui de la page du vrai site ouvert au préalable sur votre moteur de recherche afin de voir si certains éléments diffèrent.
Gardez toujours à l’esprit que les entités de confiance (banque, gouvernement, etc.) ne demandent jamais aux utilisateurs de transmettre par email leurs informations confidentielles.
Autre détail à prendre en compte : si le message dégage un fort sentiment d’urgence et fait peser sur vous des menaces, vérifiez bien les éléments ci-dessus. Idem pour les emails vous annonçant le gain d’une grosse somme d’argent semblant sortir de nulle part.
Enfin, il est conseillé d’utiliser un VPN fin de sécuriser vos activités en ligne.
