11 octobre 2022 - Cyber risques
Phishing est une forme de fraude numérique dans laquelle les cybercriminels se font passer pour quelqu'un d'autre. Pensez à une autorité importante ou à une personne connue. Par le biais d'un e-mail, d'un WhatsApp ou d'un SMS à caractère urgent, on vous demande de fournir des informations, telles que des données personnelles ou bancaires. En tant qu'entrepreneur, vous ne voulez naturellement pas que votre entreprise soit victime de phishing. C'est pourquoi nous expliquons ci-dessous 10 types d'attaques phishing , ainsi que quelques conseils sur la manière de prévenir ces attaques.
10 types d'attaques phishing
1. Pulvérisation phishing
Avec le spray phishing, les cybercriminels envoient par défaut des messages à un grand nombre de personnes dans le cadre d'une campagne de spray phishing . Il s'agit parfois de dix mille courriels ou SMS en même temps. Ils ratissent large, pour ainsi dire, dans l'espoir que certaines personnes tomberont dans le panneau. En général, il s'agit d'un courriel d'une entreprise existante qui demande de mettre à jour un mot de passe ou de renouveler les informations d'une carte de crédit.
2. Courriel phishing
L'envoi de courriels est l'une des formes les plus courantes de phishing. Ces courriels sont conçus pour sembler provenir d'une source digne de confiance. En général, dans ces courriels, on vous demande de remplir un formulaire ou de répondre au courriel. C'est ainsi que les cybercriminels obtiennent des informations personnelles.
L'une des formes d'e-mail phishing est le clone phishing, qui consiste à copier un e-mail légitime et à remplacer les liens et les fichiers par des substituts malveillants. Il peut s'agir, par exemple, d'un fichier de facturation, d'un lien contenant un virus ou d'un lien qui vous renvoie vers un site web où vous devez saisir vos données personnelles.
3. Mobile phishing
Mobile phishing est également connu sous le nom de smishing ou SMS phishing. Vous recevrez un message de l'auteur de l'escroquerie vous invitant à agir. Pensez à appeler un numéro de téléphone ou à cliquer sur un lien vers un site web. Souvent, on vous demandera des informations personnelles, comme des mots de passe ou des informations sur votre carte de crédit.
L'autre forme de phishing est le phone phishing ou vishing. Avec cette forme de phishing, vous ne recevrez pas de message, mais vous serez appelé. Les attaquants se font passer pour votre banque, la police ou d'autres entreprises ou agences. Ils essaient de vous effrayer et de vous pousser à agir, souvent en transférant de l'argent.
4. La chasse aux ambulances
Avec ces types d'attaques phishing , les cybercriminels capitalisent sur l'actualité. Pensez à demander des dons pour des fonds de secours, des catastrophes naturelles ou des guerres. Les auteurs de ces attaques peuvent collecter des données personnelles et soutirer de l'argent aux victimes.
5. Compte expiré/changez le mot de passe
Vous recevrez un message par e-mail ou sur votre téléphone portable vous demandant de réinitialiser votre mot de passe. Ces messages semblent souvent provenir d'une source fiable et sont parfois difficiles à distinguer des messages réels. Prenons par exemple un message de votre banque. Si vous avez changé le mot de passe via un lien que vous avez reçu par e-mail, l'auteur du message dispose des informations nécessaires pour se connecter à votre compte bancaire.
6. Chasse à la baleine phishing
Dans cette attaque phishing , également connue sous le nom de "business e-mail compromise", les cybercriminels ciblent les grosses baleines, c'est-à-dire les employés occupant une position élevée au sein d'une organisation. Souvent, ils se font passer pour un cadre supérieur de l'organisation afin de rendre crédible l'accès à des informations financières ou à des plates-formes d'entreprise.
7. Wifi double
Un jumeau WiFi est un réseau WiFi qui copie l'adresse d'un autre réseau. Toute personne qui s'y connecte est également exposée aux pirates informatiques. Ils peuvent ainsi accéder aux mots de passe et à d'autres informations. Ce type d'attaque phishing a souvent lieu dans des lieux publics tels que les centres commerciaux, les cafés et les aéroports. Ce n'est donc pas toujours une bonne idée de se connecter à un réseau Wi-Fi public.
8. Lance phishing
Spear phishing est une attaque phishing très personnelle. En effet, l'attaquant prétend être une personne qui connaît bien la cible. La cible fait l'objet de recherches approfondies, de sorte que l'attaque semble très personnelle. L'objectif est d'obtenir l'accès à des informations sensibles pour exploiter la cible.
9. Prétextage
Ce type d'attaque phishing est très efficace car il donne un sentiment de légitimité. Les victimes reçoivent d'abord un message via un canal autre que le courrier électronique pour leur indiquer qu'elles vont recevoir un courrier électronique sous peu. Par exemple, ils se font passer pour un fournisseur et indiquent que la victime recevra bientôt un devis par e-mail. Ce contact téléphonique est donc mentionné dans le dernier e-mail, ce qui le rend plus fiable.
10. Man-in-the-Middle
Enfin, nous abordons une méthode assez complexe de phishing: l'homme du milieu. Le cybercriminel intercepte les courriels entre deux personnes. Il renvoie ensuite ces courriels à ces deux personnes, qui pensent alors que les courriels proviennent l'une de l'autre. Cela augmente donc la confiance dans les courriels, ce qui permet au criminel de demander des détails privés et d'autres informations.
Conseils pour prévenir les types d'attaques phishing
1. Formation du personnel
En formant votre personnel à reconnaître les types de phishing et les déclencheurs psychologiques utilisés, vous pouvez prévenir de nombreuses attaques. Par exemple, ils apprennent à vérifier l'identité des expéditeurs des messages, à ne jamais cliquer sur un lien ou un fichier et à vérifier qu'un message ne contient pas de phishing. Le personnel doit également être attentif à d'autres éléments :
- La salutation : les courriers électroniques phishing ne contiennent souvent pas suffisamment de données personnelles pour associer un nom à l'adresse. Les courriels sont donc souvent impersonnels.
- Liens et pièces jointes inattendus : les courriels envoyés par Phishing contiennent généralement un lien ou une pièce jointe.
- Grammaire et orthographe : les courriels envoyés à l'adresse phishing contiennent souvent des fautes de langue.
- Urgence : certainement en combinaison avec les autres points, cela donne une indication claire d'un message phishing .
2. Ne cliquez pas sur tout
Vous et vos employés ne devez jamais cliquer sur tous les liens transférés, même s'ils semblent provenir d'une source fiable. Vérifiez toujours d'abord si l'e-mail provient réellement de cette source. Par exemple, vous pouvez naviguer manuellement vers le lien en saisissant l'adresse web légitime dans le navigateur. Si le lien n'est pas visible parce qu'il est lié à une partie du texte du message, vous pouvez le survoler avec votre souris. De cette façon, vous pouvez voir s'il s'agit d'une adresse Web légitime.
3. Vérifier la présence de HTTPS
En particulier lorsqu'on vous demande de partager des informations sensibles, vous devez vérifier si l'URL commence par HTTPS au lieu de HTTP. Le S supplémentaire ne garantit pas qu'il s'agit d'un site web sécurisé, mais il est mieux protégé contre les pirates qu'un site HTTP.
4. Utiliser Guardey
Chez Guardey, nous mettons tout en œuvre pour que votre entreprise soit aussi bien protégée que possible contre les attaques de phishing . Pour ce faire, nous mettons notamment à votre disposition, via notre application, une connexion VPN professionnelle qui est surveillée en permanence. En cas de menace en ligne, vous recevez un message direct. Ainsi, vous savez s'il y a un comportement qui n'a pas sa place sur votre réseau. En outre, chez Guardey, nous pensons qu'il est essentiel d'aller plus loin. C'est pourquoi notre application propose également une formation à la cybersécurité pour vous et votre équipe, par le biais d'un jeu interactif.
Essayez Guardey maintenant complètement gratuitement pendant 14 jours. Ainsi, vous serez le premier à savoir qu'un logiciel malveillant est présent sur votre ordinateur et vous pourrez immédiatement prendre les mesures adéquates.