Phishing
Phishing - Methode
Le phishing est une méthode frauduleuse qui consiste à envoyer de faux e-mails ou SMS pour inciter le destinataire à donner des informations sensibles que l'attaquant peut utiliser pour commettre un crime. L'analogie avec la pêche s'explique par le fait que ceux qui tentent de tromper avec cette méthode utilisent généralement une sorte d'appât que la personne attaquée est censée avaler. L'orthographe vient de fishing phone, une forme de fraude similaire. Pour distinguer la pêche en ligne de la pêche ordinaire, on l'écrit "phishing".
Manipulation sociale
Le phishing est une forme de manipulation sociale ou de fraude sociale ("ingénierie sociale"). Il s'agit d'inciter les utilisateurs à commettre divers types d'actions peu réfléchies, comme fournir des informations sur un compte, des mots de passe ou tout autre élément dont un fraudeur pourrait tirer profit.
Méthodes de phishing courantes
Les méthodes courantes d'hameçonnage consistent pour l'attaquant à se faire passer pour une institution connue dont l'affaire est légitime. Il peut également suggérer des opportunités de gain financier ou prétendre qu'un compte est menacé et qu'il est urgent de cliquer sur un certain lien pour arrêter ce qui se passe et sauver ce qui peut l'être. Le phishing peut être regroupé en plusieurs méthodes différentes : le phishing général, où vous tendez un large filet en espérant obtenir au moins un résultat, le "harpoon phishing" pour les attaques ciblées et le "whale phishing" pour les grosses prises.
Voici à quoi ressemble le vocabulaire:
Le Phishing
Par exemple, vous envoyez un grand nombre de courriels qui peuvent parfois être de nature très transparente. Ils peuvent prétendre provenir d'une banque, de l'administration fiscale, de sociétés postales ou de distribution ou d'autres institutions connues. Parfois, les expéditeurs ont des logos ou des adresses électroniques qui ressemblent à ceux de l'institution connue. Les attaquants peuvent attirer l'attention avec des remboursements d'impôts plus rapides ou menacer de détourner un compte. Le destinataire doit rapidement cliquer sur un lien et fournir des informations personnelles que l'attaquant peut ensuite utiliser à son profit. La plupart des gens ne sont pas dupes de ces escroqueries, mais pour les attaquants, il peut suffire que certains destinataires se laissent prendre dans la toile.
Le Spear phishing
Dans ces cas, les attaquants sont plus sophistiqués et ciblent des personnes ou des organisations sélectionnées. Les attaquants ont souvent effectué une solide préparation pour que le message paraisse aussi crédible que possible. Vous avez peut-être découvert de nombreuses informations personnelles sur le destinataire. Le spear phishing s'adresse à des personnes clés telles que les directeurs et les responsables des départements financiers, les personnes qui ont accès à des informations sensibles au sein de l'organisation. Si vous pouvez en extraire des informations sur les comptes et des mots de passe, cela peut valoir son pesant d'or pour les fraudeurs.
Le Whale phishing
Ce type de phishing vise les cadres supérieurs, comme le PDG, qui ont accès aux ressources les plus importantes de l'organisation. Si vous parvenez à amener habilement une telle personne clé à divulguer les données les plus importantes de l'organisation, vous pouvez causer des dommages considérables qui peuvent être très coûteux et longs à réparer.
Autres méthodes
Les CEO scams
Il s'agit de se faire passer pour un cadre supérieur et d'envoyer des courriels qui semblent provenir de sa véritable adresse électronique. En envoyant de faux messages depuis cette adresse, vous pouvez amener les employés à effectuer des actions qui peuvent causer un grand préjudice à l'organisation.
Le Facteur Humain
Les méthodes courantes des attaquants consistent à tirer parti des qualités humaines telles que la curiosité, la crédulité et l'impulsivité. Vous pouvez être attiré par les bénéfices ou être intimidé par le fait que quelque chose de terrible peut arriver si vous n'agissez pas assez vite. Il convient de rappeler que les entreprises réputées ne demandent jamais d'informations sur le compte ou le mot de passe par courrier électronique ou par SMS. Ne donnez jamais de telles informations. Ne cliquez jamais sur des liens inconnus ! Un rappel qui ne peut jamais être dit trop souvent.
La cyberattaque la plus courante
Le phishing est le moyen le plus courant de faire des cyberattaques et les méthodes sont de plus en plus sophistiquées. Il peut être facile de penser que vous n'iriez pas vous-même sur un message frauduleux sur l'ordinateur, mais comme de nombreuses attaques de phishing réussissent, on ne peut jamais être sûr. Un bon moyen d'accroître la vigilance est de former les employés de l'organisation au phishing sous la direction d'un professionnel.
Avez-vous besoin d'aide pour vous protéger contre le phishing ? En savoir plus sur nos campagnes de phishing simulées !