Le phishing, également appelé hameçonnage, est une pratique malveillante où les attaquants envoient des courriels trompeurs dans le but d’inciter les gens à tomber dans le piège de l’escroquerie. C’est une forme d’attaque informatique où les cybercriminels se font passer pour des personnes ou des organisations de confiance afin de voler des informations sensibles ou de soutirer de l’argent. Bien que le terme puisse évoquer la pêche, il faut savoir qu’il existe plusieurs types de phishing, notamment par courrier électronique, par messages SMS (smishing) et par appels téléphoniques (vishing). Certains pirates adoptent même une approche plus ciblée, comme le spear phishing ou le whale phishing.
Comment fonctionne le phishing ?
L’expéditeur du mail frauduleux
Lors d’une attaque de phishing, l’attaquant se fait passer pour une personne de confiance que la victime connaît ou est susceptible de connaître. Selon le type d’attaque, cela peut être un membre de la famille, le PDG de l’entreprise pour laquelle la victime travaille, voire une célébrité qui prétend offrir quelque chose d’intéressant.
Le mail de phishing
Les courriels de phishing imitent souvent ceux de grandes entreprises telles que PayPal, Amazon ou Microsoft, ainsi que des banques ou des administrations publiques. Sous couvert de confiance, le pirate demande généralement au destinataire de cliquer sur un lien, de télécharger une pièce jointe ou d’effectuer un paiement. Lorsque la victime ouvre le message, elle est souvent confrontée à des informations alarmantes qui visent à lui faire perdre tout discernement. Le message peut exiger une action immédiate sous peine de conséquences graves.
Le destinataire des mails de phishing
Si la victime tombe dans le piège et clique sur le lien, elle est redirigée vers une imitation d’un site légitime dans son navigateur. Elle est ensuite invitée à se connecter avec ses identifiants. Si elle cède à la manipulation, ses informations de connexion sont transmises à l’attaquant qui peut ensuite voler des identités, dérober des comptes bancaires et vendre des informations personnelles sur le marché noir.
Qui est visé par le phishing ?
Tout le monde peut être victime d’une attaque de phishing, mais certains types d’attaques sont spécifiquement ciblés. Certains cybercriminels envoient des e-mails génériques à de nombreuses personnes dans l’espoir que quelques-unes d’entre elles mordront à l’hameçon. Par exemple, un e-mail frauduleux vous avertissant d’un problème avec votre compte Facebook ou Amazon et vous demandant de cliquer immédiatement sur un lien pour vous connecter et résoudre le problème. Le lien mènerait probablement à une fausse page Web où vous pourriez divulguer vos identifiants de connexion. Les attaquants utilisent des attaques de phishing plus ciblées s’ils recherchent quelque chose de spécifique, comme l’accès au réseau ou aux données d’une entreprise en particulier.
Se protéger contre les attaques de phishing
Les hackers utilisent le phishing pour infecter votre appareil avec des logiciels malveillants. Ces logiciels se font passer pour du contenu intéressant, comme des documents importants ou des vidéos amusantes. Tout est bon pour attirer votre attention. Ces types de virus sont appelés des chevaux de Troie, en référence à la mythologie grecque.
Le phishing peut également vous rediriger vers une page de connexion qui semble légitime, mais qui est en réalité frauduleuse. Sur cette page, vous êtes invité à saisir vos identifiants de connexion sans vous en rendre compte.
5 façons d’éviter les escroqueries par phishing
Pour vous protéger contre le phishing, il est essentiel de comprendre ce qu’est cette forme d’attaque et comment elle fonctionne. Voici cinq conseils qui peuvent vous aider à éviter de tomber dans le piège du phishing :
1. Soyez attentifs à votre vulnérabilité
Personne ne devient victime d’une escroquerie par phishing sans prendre d’initiative. Pour réussir, ce type d’escroquerie nécessite généralement que vous ouvriez un e-mail et cliquiez sur un lien ou une pièce jointe. Le message peut également vous demander de prendre des mesures supplémentaires, comme activer du contenu pour permettre à un logiciel malveillant d’infecter votre appareil ou saisir vos informations personnelles dans un formulaire frauduleux.
2. N’importe qui peut devenir une victime
Les escroqueries par phishing sont le fait de cybercriminels professionnels et peuvent être extrêmement difficiles à détecter. Elles exploitent souvent notre désir d’avoir de bonnes nouvelles et notre peur des mauvaises choses. Par exemple, les hackers savent que nous attendons souvent une livraison et peuvent simuler un message concernant une commande en cours pour nous inciter à cliquer sur un lien. Ces escroqueries par phishing liées aux livraisons sont courantes, en particulier pendant les périodes de Noël et le Black Friday.
3. Méfiez-vous des sources crédibles
Les attaques de phishing prennent souvent la forme de pièces jointes et de liens. Les messages SMS ou instantanés sont également utilisés. Tout ce qui renforce la crédibilité de l’attaque contribue à son efficacité. Par conséquent, les escroqueries se cachent souvent derrière de grandes marques de confiance, telles qu’Amazon, votre banque, FedEx ou tout autre transporteur.
4. Attention à l’urgence
Le phishing crée souvent un sentiment d’urgence pour attirer votre attention. Un e-mail qui vous demande d’agir rapidement doit vous mettre en alerte. Si le problème était réellement urgent, l’entreprise ou l’organisme concerné ne se contenterait pas d’envoyer un simple e-mail. Les institutions financières ne vous demanderont jamais de vérifier vos informations par e-mail.
Si le message prétend être urgent, prenez le temps de vérifier son authenticité en appelant directement l’expéditeur. En commençant à composer le numéro, vous vous rendrez compte vous-même si la demande est légitime.
5. Faites confiance à votre instinct
Ce conseil peut sembler vague, mais il est essentiel de prendre en compte les autres conseils mentionnés. Après tout, il ne faut pas voir le mal partout. Le plus important est de faire la différence, et cela vous incombe. À chaque fois que vous rencontrez un message suspect, demandez-vous si vous vous attendiez à le recevoir. Faites-vous confiance à la source ? Pouvez-vous vérifier la légitimité de la demande d’une manière ou d’une autre, par exemple en effectuant une recherche sur Internet ou en appelant directement l’expéditeur ? Si la réponse est non, il vaut mieux prévenir que guérir.
