Quelles sont les formes les plus fréquentes d’attaques par phishing ?
Les attaques par phishing ou hameçonnage sont l’un des types de cyber-escroqueries les plus courants, et elles visent d’innombrables personnes chaque année.
On pense que le phishing représente jusqu’à 1 e-mail sur 99, ce qui donne une idée de la probabilité d’être un jour visé (si ce n’est déjà fait).
Pour donner une définition de base, un phishing est un e-mail malveillant, un message direct sur les médias sociaux ou un SMS envoyé incitant les gens à fournir des informations précieuses ou à télécharger des logiciels malveillants sur leurs appareils.
Ces messages sont efficaces parce que les cyber-escrocs se font passer pour des personnes ou des organisations avec lesquelles vous êtes susceptible de baisser votre garde. Il peut s’agir de votre famille, d’amis, de collègues (qui ont peut-être eux-mêmes été piratés), de compagnies d’assurance proposant un dédommagement, de banques affirmant qu’il y a eu une fuite de sécurité, ou du gouvernement réclamant des impôts en retard.
Sous le coup de l’émotion, vous êtes ainsi susceptible de faire tout ce qu’ils vous demandent.
Bien entendu, s’il s’agit d’une définition de base, il existe plusieurs variantes de phishing dont il faut être conscient.
Voici ce que vous devez savoir.
Hameçonnage standard par e-mail
Par hameçonnage standard par e-mail, on entend le processus décrit ci-dessus. Un e-mail est envoyé à votre boîte de réception. Il semble légitime et peut venir d’une personne que vous connaissez ou d’une organisation en laquelle vous avez confiance.
Le moyen le plus simple de savoir si un e-mail est un phishing ou non est de prêter attention aux détails. Les cyber-escrocs savent à quel point la durée d’attention de la plupart des gens est courte. Vous êtes susceptible de repérer l’objet, de lire le corps du texte et de cliquer sur le lien sans y penser. Il s’agit de la mémoire musculaire, entraînée par la réalisation multiple d’une même action au quotidien.
Prenez donc le temps de lire attentivement l’e-mail et demandez-vous pourquoi cette personne ou entité souhaite obtenir vos données personnelles de manière aussi directe. Il est peu probable qu’une banque vous demande par courrier électronique les détails de votre carte ou vos identifiants, et il est peu probable qu’une compagnie d’assurance ait la générosité de vous contacter au sujet d’un paiement potentiel.
Si vous avez encore des doutes, contactez directement la personne ou l’entreprise mentionnée dans l’e-mail pour vérifier.
Pour plus d’informations sur les escroqueries par hameçonnage, cliquez ici.
Chasse à la baleine
La chasse à la baleine ou whale phishing est une version plus ciblée du hameçonnage par e-mail, dans laquelle les escrocs ciblent les cadres supérieurs et les propriétaires d’entreprises. D’où la « baleine ».
Tout comme l’hameçonnage standard, ces e-mails frauduleux tentent de provoquer une action secondaire de la part des dirigeants, mais leurs méthodes varient légèrement.
Étant donné que ces e-mails ciblent des cadres supérieurs, déjà sceptiques à l’égard des e-mails non sollicités, les escrocs fournissent généralement des informations personnalisées donnant à l’e-mail une apparence plus légitime.
Le ton sera également plus sophistiqué, véhiculant un sentiment de professionnalisme d’entreprise.
Les chasseurs de baleine cherchent généralement à soutirer de l’argent du compte bancaire d’un cadre, des informations très sensibles ou d’autres contacts à escroquer à l’avenir.
Vishing, ou hameçonnage par téléphone
Les deux exemples précédents de phishing étant basés sur le courrier électronique, le vishing est l’équivalent audio. Les escrocs qui le pratiquent téléphonent à leurs victimes en se faisant passer pour une entreprise ou une organisation crédible et tentent d’obtenir des informations précieuses telles que leurs coordonnées bancaires.
Vous pouvez par exemple recevoir un appel d’une personne prétendant appartenir à votre banque. Elle affirmera que votre compte a été piraté et qu’elle a besoin des détails de votre carte pour le réinitialiser.
Étant donné l’urgence de la situation et les conséquences insinuées d’un refus de coopérer, de nombreuses personnes se sentent contraintes de fournir tout ce que la personne exige. Le vishing est particulièrement efficace car vous n’avez pas le temps de réfléchir.
C’est pourquoi, en règle générale, vous devriez toujours demander plus de temps pour examiner la question avant de transmettre toute information.