Planifier une démonstration
Retour au centre de ressources

10 types d'attaques phishing

Qu'est-ce que phishing

Phishing est une forme de fraude numérique dans laquelle les cybercriminels se font passer pour quelqu'un d'autre. Pensez à une autorité importante ou à une personne connue. Par le biais d'un e-mail, d'un WhatsApp ou d'un SMS à caractère urgent, on vous demande de fournir des informations, telles que des données personnelles ou bancaires. En tant qu'entrepreneur, vous ne voulez naturellement pas que votre entreprise soit victime de phishing. C'est pourquoi nous expliquons ci-dessous 10 types d'attaques phishing , ainsi que quelques conseils sur la manière de prévenir ces attaques.

10 types d'attaques phishing

1. Pulvérisation phishing

Avec le spray phishing, les cybercriminels envoient par défaut des messages à un grand nombre de personnes dans le cadre d'une campagne de spray phishing . Il s'agit parfois de dix mille courriels ou SMS en même temps. Ils ratissent large, pour ainsi dire, dans l'espoir que certaines personnes tomberont dans le panneau. En général, il s'agit d'un courriel d'une entreprise existante qui demande de mettre à jour un mot de passe ou de renouveler les informations d'une carte de crédit.

2. Courriel phishing

L'envoi de courriels est l'une des formes les plus courantes de phishing. Ces courriels sont conçus pour sembler provenir d'une source digne de confiance. En général, dans ces courriels, on vous demande de remplir un formulaire ou de répondre au courriel. C'est ainsi que les cybercriminels obtiennent des informations personnelles.

L'une des formes d'e-mail phishing est le clone phishing, qui consiste à copier un e-mail légitime et à remplacer les liens et les fichiers par des substituts malveillants. Il peut s'agir, par exemple, d'un fichier de facturation, d'un lien contenant un virus ou d'un lien qui vous renvoie vers un site web où vous devez saisir vos données personnelles.

3. Mobile phishing

Mobile phishing est également connu sous le nom de smishing ou SMS phishing. Vous recevrez un message de l'auteur de l'escroquerie vous invitant à agir. Pensez à appeler un numéro de téléphone ou à cliquer sur un lien vers un site web. Souvent, on vous demandera des informations personnelles, comme des mots de passe ou des informations sur votre carte de crédit.

L'autre forme de phishing est le phone phishing ou vishing. Avec cette forme de phishing, vous ne recevrez pas de message, mais vous serez appelé. Les attaquants se font passer pour votre banque, la police ou d'autres entreprises ou agences. Ils essaient de vous effrayer et de vous pousser à agir, souvent en transférant de l'argent.

4. La chasse aux ambulances

Avec ces types d'attaques phishing , les cybercriminels capitalisent sur l'actualité. Pensez à demander des dons pour des fonds de secours, des catastrophes naturelles ou des guerres. Les auteurs de ces attaques peuvent collecter des données personnelles et soutirer de l'argent aux victimes.

5. Compte expiré/changez le mot de passe

Vous recevrez un message par e-mail ou sur votre téléphone portable vous demandant de réinitialiser votre mot de passe. Ces messages semblent souvent provenir d'une source fiable et sont parfois difficiles à distinguer des messages réels. Prenons par exemple un message de votre banque. Si vous avez changé le mot de passe via un lien que vous avez reçu par e-mail, l'auteur du message dispose des informations nécessaires pour se connecter à votre compte bancaire.

6. Chasse à la baleine phishing

Dans cette attaque phishing , également connue sous le nom de "business e-mail compromise", les cybercriminels ciblent les grosses baleines, c'est-à-dire les employés occupant une position élevée au sein d'une organisation. Souvent, ils se font passer pour un cadre supérieur de l'organisation afin de rendre crédible l'accès à des informations financières ou à des plates-formes d'entreprise.

7. Wifi double

Un jumeau WiFi est un réseau WiFi qui copie l'adresse d'un autre réseau. Toute personne qui s'y connecte est également exposée aux pirates informatiques. Ils peuvent ainsi accéder aux mots de passe et à d'autres informations. Ce type d'attaque phishing a souvent lieu dans des lieux publics tels que les centres commerciaux, les cafés et les aéroports. Ce n'est donc pas toujours une bonne idée de se connecter à un réseau Wi-Fi public.

8. Lance phishing

Spear phishing est une attaque phishing très personnelle. En effet, l'attaquant prétend être une personne qui connaît bien la cible. La cible fait l'objet de recherches approfondies, de sorte que l'attaque semble très personnelle. L'objectif est d'obtenir l'accès à des informations sensibles pour exploiter la cible.

9. Prétextage

Ce type d'attaque phishing est très efficace car il donne un sentiment de légitimité. Les victimes reçoivent d'abord un message via un canal autre que le courrier électronique pour leur indiquer qu'elles vont recevoir un courrier électronique sous peu. Par exemple, ils se font passer pour un fournisseur et indiquent que la victime recevra bientôt un devis par e-mail. Ce contact téléphonique est donc mentionné dans le dernier e-mail, ce qui le rend plus fiable.

10. Man-in-the-Middle

Enfin, nous abordons une méthode assez complexe de phishing: l'homme du milieu. Le cybercriminel intercepte les courriels entre deux personnes. Il renvoie ensuite ces courriels à ces deux personnes, qui pensent alors que les courriels proviennent l'une de l'autre. Cela augmente donc la confiance dans les courriels, ce qui permet au criminel de demander des détails privés et d'autres informations.

Conseils pour prévenir les types d'attaques phishing

1. Formation du personnel

En formant votre personnel à reconnaître les types de phishing et les déclencheurs psychologiques utilisés, vous pouvez prévenir de nombreuses attaques. Par exemple, ils apprennent à vérifier l'identité des expéditeurs des messages, à ne jamais cliquer sur un lien ou un fichier et à vérifier qu'un message ne contient pas de phishing. Le personnel doit également être attentif à d'autres éléments :

  • La salutation : les courriers électroniques phishing ne contiennent souvent pas suffisamment de données personnelles pour associer un nom à l'adresse. Les courriels sont donc souvent impersonnels.
  • Liens et pièces jointes inattendus : les courriels envoyés par Phishing contiennent généralement un lien ou une pièce jointe.
  • Grammaire et orthographe : les courriels envoyés à l'adresse phishing contiennent souvent des fautes de langue.
  • Urgence : certainement en combinaison avec les autres points, cela donne une indication claire d'un message phishing .

2. Ne cliquez pas sur tout

Vous et vos employés ne devez jamais cliquer sur tous les liens transférés, même s'ils semblent provenir d'une source fiable. Vérifiez toujours d'abord si l'e-mail provient réellement de cette source. Par exemple, vous pouvez naviguer manuellement vers le lien en saisissant l'adresse web légitime dans le navigateur. Si le lien n'est pas visible parce qu'il est lié à une partie du texte du message, vous pouvez le survoler avec votre souris. De cette façon, vous pouvez voir s'il s'agit d'une adresse Web légitime.

3. Vérifier la présence de HTTPS

En particulier lorsqu'on vous demande de partager des informations sensibles, vous devez vérifier si l'URL commence par HTTPS au lieu de HTTP. Le S supplémentaire ne garantit pas qu'il s'agit d'un site web sécurisé, mais il est mieux protégé contre les pirates qu'un site HTTP.

4. Utiliser Guardey

Chez Guardey, nous mettons tout en œuvre pour que votre entreprise soit aussi bien protégée que possible contre les attaques de phishing . Pour ce faire, nous mettons notamment à votre disposition, via notre application, une connexion VPN professionnelle qui est surveillée en permanence. En cas de menace en ligne, vous recevez un message direct. Ainsi, vous savez s'il y a un comportement qui n'a pas sa place sur votre réseau. En outre, chez Guardey, nous pensons qu'il est essentiel d'aller plus loin. C'est pourquoi notre application propose également une formation à la cybersécurité pour vous et votre équipe, par le biais d'un jeu interactif.

Essayez Guardey maintenant complètement gratuitement pendant 14 jours. Ainsi, vous serez le premier à savoir qu'un logiciel malveillant est présent sur votre ordinateur et vous pourrez immédiatement prendre les mesures adéquates.

Questions fréquemment posées

Qu'est-ce que la gamification ?

La gamification consiste à ajouter des éléments de jeu dans des environnements non ludiques, tels que la formation security awareness , afin d'accroître la participation et de favoriser l'apprentissage actif.

Quels sont les avantages de la gamification dans la formation security awareness ?

La formation traditionnelle security awareness peut souvent être aride et ennuyeuse. Avec la gamification, le sujet complexe est transformé en une expérience engageante et mémorable.

En intégrant des éléments de jeu tels que des défis, des quiz et des récompenses, il incite les utilisateurs à apprendre activement. Cela rend la formation plus agréable et favorise un sentiment de compétition et d'accomplissement. Cette combinaison favorise la rétention et l'application des connaissances sur cyber security .

Pourquoi est-il important d'entraîner security awareness sur une base hebdomadaire ?

Des études montrent que jusqu'à 90 % des enseignements tirés d'une formation annuelle ou même trimestrielle sont oubliés en quelques semaines. Guardey a été conçu pour sensibiliser ses utilisateurs aux cybermenaces 365 jours par an. Le jeu comporte des défis hebdomadaires de courte durée qui permettent à l'utilisateur de développer lentement ses connaissances et de modifier durablement son comportement.

Quels sont les thèmes abordés dans le jeu security awareness de Guardey ?

Guardey couvre un large éventail de sujets pour former les utilisateurs à toutes les cybermenaces actuelles, en collaboration avec des hackers éthiques et des pédagogues. Les sujets abordés comprennent phishing, le travail à distance, la sécurité des mots de passe, la fraude des PDG, les ransomwares, le smishing, et bien d'autres encore.

Combien de temps les défis hebdomadaires prennent-ils ?

Chaque défi dure jusqu'à trois minutes.

Puis-je utiliser Guardey pour me conformer aux politiques ISO27001, NIS2 et GDPR security awareness ?

Oui. Les normes ISO27001, NIS2 et GDPR exigent que tous les employés reçoivent une formation appropriée à l'adresse security awareness . Guardey est toujours au fait des dernières cybermenaces, politiques et procédures.

La formation security awareness est-elle importante pour tous les employés ou seulement pour certaines fonctions ?

La formation de sensibilisation à la cybersécurité est essentielle pour tous les employés, et pas seulement pour des rôles spécifiques. Chaque membre du personnel peut potentiellement être une cible ou un point d'entrée involontaire pour les cyberattaques. La formation contribue à créer une culture axée sur la sécurité et à minimiser les risques pour l'ensemble de l'organisation.

Si certaines fonctions peuvent nécessiter une formation spécialisée, un niveau de formation de base devrait être accessible à tous.

Dans quelles langues Guardey est-il disponible ?

Guardey est disponible en anglais, néerlandais, italien, français, espagnol, allemand, polonais, suédois et danois.

Vous voulez poser d'autres questions ?
Obtenez une démonstration personnelle

Recevez les dernières ressources et actualités, directement dans votre boîte de réception.

Site web d'Anouk CTA Guardey
ESSAI GRATUIT DE 14 JOURS

Protégeons votre entreprise !

  • Essayez sans aucun risque
  • Assistance 24/7
14 jours d'essai gratuit