Le phishing (ou hameçonnage) est un type de cyber-attaque où un acteur malveillant se présente comme une entité ou une entreprise réputée afin de tromper les personnes et de collecter leurs informations sensibles, telles que les informations de carte de crédit, les noms d'utilisateur, les mots de passe, etc. Comme le phishing implique une manipulation psychologique et repose sur des défaillances humaines (plutôt que matérielle ou logicielle), on le considère comme une attaque de type “ingénierie sociale”.
En règle générale, les attaques de phishing utilisent des e-mails frauduleux qui incitent l'utilisateur à saisir des informations sensibles sur un site internet frauduleux. Ces courriels demandent généralement à l'utilisateur de réinitialiser son mot de passe ou de confirmer ses informations de carte de crédit, menant à un faux site internet qui copie l’original. Les principaux types de phishing sont l'hameçonnage par clone, le spear phishing et le pharming.
Des attaques de phishing sont également utilisées dans l’écosystème des crypto-monnaies, où des acteurs malveillants tentent de voler le bitcoin ou d’autres monnaies numériques aux utilisateurs. Par exemple, un attaquant peut parodier un site internet et modifier l'adresse du portefeuille en donnant à ses utilisateurs l'impression qu'ils paient pour un service légitime alors qu'en réalité, leur argent est volé.
Quels sont les types de phishing ?
Il existe de nombreux types de phishing et ceux-ci sont généralement classés en fonction de la cible et du vecteur d'attaque. Nous énumérons ci-dessous quelques exemples courants.
Clone phishing : un attaquant utilisera un email légitime déjà envoyé et copiera son contenu dans un email similaire contenant un lien vers un site malveillant. L’attaquant peut par exemple faire croire qu’il s’agit d’un lien mis à jour ou nouveau, en indiquant que l’ancien a expiré.
Spear Phishing : ce type d'attaque est dirigée vers une personne ou une institution - généralement reconnue par les autres. Une attaque par voie de harponnage est plus sophistiquée que les autres types de phishing, car elle est profilée. Cela signifie que l’attaquant collecte d’abord des informations sur la victime (par exemple des noms d’amis ou de membres de sa famille), puis se base sur ces données pour construire un message dont la tâche principale est de convaincre la victime de consulter un site internet malveillant ou de télécharger un fichier malveillant.
Pharming : un attaquant infectera un enregistrement DNS qui, dans la pratique, redirigera les visiteurs d'un site internet légitime vers un site frauduleux créé à l'avance par l'attaquant. Il s’agit de la plus dangereuse des attaques car les enregistrements DNS ne sont pas sous le contrôle de l’utilisateur, ce qui l’empêche de se défendre.
Whaling : une forme de spear phishing qui cible des personnes riches et importantes, telles que des PDG et des représentants gouvernementaux.
Usurpation de courrier électronique : L’émail spoofing s’interfère généralement dans des communications émises par des entreprises ou des personnes légitimes, par usurpation. Les e-mails de phishing peuvent présenter aux victimes ignorantes des liens vers des sites malveillants, où les attaquants collectent les informations de connexion et les données personnelles en utilisant des pages de connexion intelligemment déguisées. Les pages peuvent contenir des chevaux de Troie, des enregistreurs de frappe et d'autres scripts malveillants qui volent des informations personnelles.
Redirection de site Web : les redirections de site Web renvoient les utilisateurs vers des URL différentes de celles que l'utilisateur était censé visiter. Les acteurs exploitant ces vulnérabilités peuvent insérer des redirections et installer des logiciels malveillants sur les ordinateurs des utilisateurs.
Typosquattage : le typosquattage dirige le trafic vers des sites Web contrefaits qui utilisent des orthographes de langue étrangère, des fautes d'orthographe courantes ou des variations subtiles dans les noms de domaine. Les hameçonneurs utilisent des domaines pour imiter les interfaces de site Web légitimes, en tirant parti des utilisateurs qui saisissent ou lisent mal l'URL.
Le «point d’arrosage» : lors d’une attaque par un point d’arrosage, les phishers profilent les utilisateurs et déterminent les sites Web qu’ils fréquentent. Les phishers recherchent des vulnérabilités sur ces sites et, si possible, injectent des scripts malveillants conçus pour cibler les utilisateurs lors de leur prochaine visite sur ce site.
Usurpation d'identité et cadeaux : L'emprunt d'identité de personnalités influentes sur les médias sociaux est une autre technique utilisée dans les schémas de phishing. Les hameçonneurs peuvent se faire passer pour des dirigeants de sociétés clés et, avec l’audience que cela implique, ils peuvent annoncer des cadeaux en leur nom ou se livrer à d'autres pratiques trompeuses. Les victimes de cette supercherie peuvent même être ciblées individuellement par le biais de processus d'ingénierie sociale visant à trouver des utilisateurs crédules. Les acteurs peuvent pirater des comptes vérifiés et modifier les noms d'utilisateurs pour emprunter l'identité d'un personnage réel, tout en maintenant le statut vérifié. Les victimes sont plus susceptibles d'interagir avec des personnalités apparemment influentes et de leur fournir des données personnelles, créant ainsi une opportunité pour les phishers d'exploiter leurs informations.
Récemment, les phishers ciblent énormément des plates-formes telles que Slack, Discord et Telegram dans le même but, en usurpant les discussions ou en usurpant l'identité d'individus et de services légitimes.
La publicité : Les annonces payées sont une autre tactique utilisée pour le phishing. Ces (fausses) publicités utilisent des domaines que les attaquants ont typosquattés et monétisés pour les pousser vers le haut dans les résultats de recherche. Les sites peuvent même apparaître en tant que résultat de recherche supérieur dans les recherches d'entreprises ou de services légitimes, tels que Binance. Les sites sont souvent utilisés pour hacker des informations sensibles, telles que les informations de connexion de vos comptes de trading.
Les applications malveillantes : les phishers peuvent utiliser des applications malveillantes comme vecteur d’injection de programmes eux aussi malveillants pour surveiller votre comportement ou dérober des informations sensibles. Les applications peuvent se présenter comme des outils de suivi des prix, des portefeuilles et d’autres outils liés à la cryptographie (qui ont une base d’utilisateurs prédisposés au trading et possédant des crypto-monnaies).
Phishing par texto et par vocaux : le phishing par SMS, et le vishing — l'équivalent voix / téléphone — sont d'autres moyens par lesquels les attaquants tentent d'acquérir des informations personnelles.
Phishing ou Pharming
Bien que le pharming soit considéré par certains comme un type d'attaque de phishing, il repose sur un mécanisme différent. La principale différence entre le phishing et le pharming réside dans le fait que le phishing nécessite que la victime commette une erreur, tandis que le pharming exige seulement que la victime tente d'accéder à un site internet légitime dont l'enregistrement DNS a été compromis par l'attaquant.
Comment éviter le phishing ?
Méfiez-vous : votre meilleure défense contre le phishing consiste à réfléchir de manière critique à propos des courriels que vous recevez. Vous attendiez-vous à recevoir un email de quelqu'un sur le sujet en question ? Pensez-vous que les informations recherchées par cette personne ne la concernent pas ? En cas de doute, faites de votre mieux pour contacter l'expéditeur par un autre moyen de communication.
Vérifier le contenu : vous pouvez taper une partie du contenu (ou l'adresse e-mail de l'expéditeur) sur un moteur de recherche afin de vérifier s'il existe des enregistrements d'attaques de phishing utilisant cette méthode.
Essayez d’autres moyens : si vous pensez recevoir une demande légitime pour confirmer les informations d’identité de votre compte auprès d’une entreprise que vous connaissez bien, essayez de le faire au travers de différents moyens au lieu de cliquer sur le lien contenu dans l’e-mail.
Vérifiez l'URL : survolez le lien, sans cliquer dessus, pour vérifier s'il commence par HTTPS et pas simplement HTTP. Notez cependant que cela ne constitue pas une garantie de légitimité du site. Analysez les URL attentivement pour y déceler des fautes d’orthographe, des caractères inhabituels ou d’autres irrégularités.
Ne partagez pas vos clés privées : ne communiquez jamais la clé privée de votre portefeuille Bitcoin et soyez vigilant pour déterminer si le produit et le vendeur auxquels vous vous apprêtez à transférer une crypto-monnaie sont légitimes. La différence entre la crypto et la carte de crédit, c’est qu’il n’y a pas d’autorité centrale pour contester ou non une détraction si vous n’avez jamais reçu le bien ou le service convenu. C’est pourquoi il faut être particulièrement prudent lorsqu’il s’agit de transactions crypto-cryptographiques.
Conclusion
Le phishing est l’une des techniques de cyber-attaque les plus communes et les plus répandues. Bien que les filtres de messagerie des services traditionnels fassent un bon travail pour distinguer les messages légitimes des frauduleux, il faut rester prudent et toujours maintenir la dernière ligne de défense. Méfiez-vous de toute tentative d'obtenir des informations sensibles ou confidentielles de votre part. Si possible, confirmez toujours par un autre moyen de communication que l'expéditeur et la demande sont légitimes. Évitez de cliquer sur les liens dans les courriels concernant les problèmes de sécurité et accédez à la page internet selon vos propres conditions, tout en surveillant le HTTPS au début de l'URL. Enfin, faites particulièrement attention aux transactions de crypto-monnaie, car il n’existe aucun moyen de les inverser dans le cas où le commerçant ne respecte pas sa part du contrat. Gardez toujours vos clés privées et vos mots de passe confidentiels et ne considérez jamais la confiance comme acquise.