Vous avez sûrement déjà reçu un e-mail vous informant d’une facture en attente de paiement, d’un envoi de colis auquel vous ne vous attendiez pas ou d’un avertissement de la banque concernant une activité suspecte sur votre compte. Ces messages adoptent généralement un ton alarmant et nous fournissent un lien vers un site Web que nous devons visiter pour confirmer nos données personnelles ou compléter les informations de paiement. Attention ! Il s’agit d’une tentative de « phishing », l’une des méthodes d’escroquerie les plus populaires sur Internet.

Qu’est-ce que le phishing ?

Le phishing est une forme de cyberattaque qui utilise la technologie et l’ingénierie sociale pour violer la sécurité des utilisateurs.

Le terme vient du mot anglais « fishing » (pêcher) car les cybercriminels utilisent des tactiques d’hameçon en espérant que l’utilisateur « pique » ou tombe dans le piège. Ils ont généralement l’intention d’obtenir des informations financières, des mots de passe de services de paiement (tels que PayPal) ou des identifiants de connexion.

En réalité, le phishing n’est pas une nouveauté. Les premiers cas de ce type de fraude remontent au milieu des années 90, lorsqu’un groupe d’escrocs se faisait passer pour des employés de la société AOL pour voler les données confidentielles des clients. Déjà dans les années 2000, les attaques ont commencé à se spécialiser, en se concentrant principalement sur le secteur bancaire.

Au fil des ans, les escroqueries sont devenues plus sophistiquées et, malgré les progrès de la cybersécurité, des phénomènes tels que l’essor du télétravail ou l’utilisation frauduleuse de l’IA ont contribué à l’émergence de nouvelles façons de faire du phishing.

Le phishing comme source de préoccupation

Tout le monde peut être victime de phishing. Bien que les systèmes de cybersécurité soient de plus en plus puissants, les fraudeurs ont également perfectionné leurs compétences et s’organisent en petites équipes, se spécialisant dans les tactiques d’ingénierie sociale.

Les entreprises deviennent souvent la cible privilégiée de ces cybercriminels qui tentent de voler vos données confidentielles ou de tromper les intermédiaires pour qu’ils effectuent des transferts non autorisés. Un exemple de phishing assez fréquent est la fraude par factures fournisseurs dans laquelle les fraudeurs usurpent l’identité de partenaires commerciaux de confiance pour demander le paiement d’une facture en attente.

Encore plus inquiétants sont les cas comme celui que nous avons vu au début de 2020 dans le magazine Forbes dans lequel une entreprise japonaise a été victime d’une escroquerie élaborée dans laquelle la IA générative a été utilisée pour cloner la voix d’un dirigeant et autoriser un transfert de 35 millions de dollars.

Le clonage audio, les deepfakes audiovisuels et, en général, l’utilisation des dernières technologies à des fins criminelles constituent une menace majeure et, en même temps, un défi pour les entreprises de cybersécurité.

Risques associés aux attaques de phishing

Les pertes financières ont un impact immédiat, mais il existe d’autres conséquences à long terme que peuvent subir les entreprises victimes du phishing :

  • Dommages à la réputation : Les violations de données peuvent éroder la confiance des clients, causant des dommages permanents à la réputation de l’entreprise.
  • Interruption du service : Une cyberattaque peut paralyser les systèmes informatiques de l’entreprise, en particulier si elle implique un ransomware. Tout commence par le téléchargement d’un fichier malveillant inclus dans les messages de phishing. Une fois dans le système, il crypte les fichiers critiques et bloque l’accès aux informations vitales pour l’entreprise.
  • Amendes et sanctions : La violation des réglementations sur la protection des données (telles que le RGPD) peut entraîner des sanctions de la part des autorités.

Il est important d’être prêt à faire face à ces menaces en utilisant des solutions de cybersécurité robustes et des programmes internes de sensibilisation des employés comme principales armes pour prévenir les attaques de phishing.

Statistiques et données pertinentes

La fraude par courrier électronique représente déjà 27 % des pertes économiques par violations de la cybersécurité et est à l’origine de 90 % des violations de données, selon le rapport Cybersecurity Threat Trends 2021 (CISCO). Cela se produit principalement parce que les campagnes de phishing sont devenues massives et que les escrocs utilisent des centaines de courriels pour atteindre plus de gens.

Éléments clés dans une attaque de phishing

Heureusement, les messages de phishing sont généralement assez saugrenus et les destinataires se rendent vite compte qu’ils font face à une arnaque, mais ils sont parfois tellement personnalisés qu’ils jettent le doute sur leur légitimité.

Pour gagner la confiance de leurs victimes, les escrocs usurpent l’identité d’institutions, de banques ou d’entreprises offrant leurs services via Internet.

La plupart de ces courriels frauduleux se composent de :

  1. Un expéditeur inconnu, avec des extensions génériques de courrier électronique (Gmail, Hotmail, etc.) ou des noms qui ressemblent à ceux des entreprises officielles, mais avec des mots étranges que nous ne parvenons pas à identifier.
  2. Un salut générique (« Cher client », « Cher ami ») car les cybercriminels ne connaissent généralement pas l’identité du destinataire.
  3. Une demande urgente de nos informations personnelles (pièce d’identité, numéro de carte de crédit) sous prétexte de résoudre un problème.
  4. Un lien externe qui dirige vers un Web frauduleux avec le même logo, le même design et les mêmes couleurs que la marque qu’ils prétendent supplanter. Sur cette page de destination, il nous sera demandé de mettre à jour nos données pour continuer. En ce moment, l’information est volée.
  5. Il est également possible que le courrier contient une pièce jointe infectée par un logiciel malveillant (malware, ransomware). Si nous le téléchargeons, cela compromet la sécurité du système.

Il est important d’être prudent et d’apprendre à reconnaître ces signaux de phishing pour minimiser les risques.

Types de phishing

Il existe actuellement plus de 10 000 formes de phishing (comme indiqué par Wikipedia). Voici quelques-unes des modalités les plus connues.

Phishing traditionnel

C’est la forme la plus courante de fraude par courrier électronique. Il est basé sur l’émission aléatoire de courriels usurpant l’identité d’une entreprise ou d’une institution de confiance. Les messages incluent des liens vers des sites Web frauduleux ou des fichiers infectés.

Spear phishing

Alors que le phishing traditionnel est une escroquerie aléatoire, le spear phishing s’adresse à une personne en particulier, généralement un poste influent au sein de l’entreprise. Pour gagner leur confiance, les cybercriminels effectuent des recherches approfondies sur Internet, en collectant des données personnelles à partir de réseaux sociaux tels que LinkedIn où ils consultent des informations telles que l’âge, l’emplacement ou le poste au sein de l’entreprise.

Whaling

En la chasse à la baleine vise des personnes importantes au sein de l’entreprise ou des postes de direction (PDG, directeur financier, etc.). Les escrocs enquêtent sur leurs proies pendant des semaines et envoient des courriels très personnalisés, liés à des problèmes commerciaux critiques.

Smishing

Les messages frauduleux sont envoyés par SMS ou WhatsApp. Par exemple, nous recevons un avis de notre banque informant d’un achat non autorisé avec notre carte avec un lien pour changer le code PIN et les données d’accès. Si nous le faisons, nous serons tombés dans le piège.

Vishing

Il vient de l’union de «voice » et «phishing ». Dans ce cas, l’escroquerie se fait par appel téléphonique. Un exemple typique est la fraude de service technique dans laquelle les escrocs appellent pour signaler une défaillance des équipements qui n’existe pas réellement et nous convainquent d’installer un cheval de Troie qui volera nos données.

Angler Phishing

C’est une nouvelle tactique qui consiste à créer de faux profils sur les réseaux sociaux sous le nom d’institutions et d’entreprises prestigieuses. L’objectif est de voler les données confidentielles d’autres utilisateurs.

Comment détecter les attaques de phishing ?

Reconnaître un message de phishing n’est pas toujours facile, mais il y a quelques indications qui peuvent nous faire soupçonner que la demande est inhabituelle.

  • Tonalité alarmiste : Ils transmettent généralement l’urgence et exhortent l’utilisateur à agir immédiatement. Les cybercriminels utilisent des émotions telles que la peur ou la curiosité et utilisent des tactiques d’intimidation pour nous amener à agir de manière irrationnelle.
  • Erreurs grammaticales : De nombreux messages de phishing contiennent des fautes d’orthographe et de grammaire, car ils ont été écrits par des locuteurs non natifs. Quoi qu’il en soit, de nombreux escrocs utilisent aujourd’hui des outils tels que Chat GPT pour corriger leurs textes, nous devons donc nous méfier même des messages sans fautes d’orthographe.
  • Liens suspects ou pièces jointes non sollicitées : L’expéditeur vous demande-t-il de cliquer sur un lien ? Y a-t-il des factures présumées ou des amendes impayées que vous ne parvenez pas à identifier ? Il s’agit probablement d’une cyberattaque.

Comment prévenir une attaque de phishing ?

  • N’ouvrez pas les messages d’expéditeurs inconnus.
  • Ne fournissez pas vos informations personnelles via un lien inclus dans un e-mail.
  • Ne téléchargez pas de pièces jointes qui vous semblent suspectes.
  • Passez le curseur au-dessus du lien et vérifiez si l’URL commence par https. Cela indique que le site dispose d’un certificat sécurisé.

Si malgré ces précautions vous êtes tombé dans le piège et avez fourni vos données, changez au plus vite les mots de passe des comptes concernés et signalez l’escroquerie à la police locale. Vous pouvez également contacter le Bureau de Sécurité de l’Internaute d’INCIBE (Institut National de Sécurité) pour enquêter sur la fraude.

Protéger votre organisation du phishing

IBM assure dans son rapport Cost of a Data Breach Report 2021 qu’une entreprise peut mettre en moyenne 213 jours pour avertir qu’elle a été victime d’une attaque de phishing. Pendant ce temps, les cybercriminels auront accès à toutes sortes d’informations sensibles : mots de passe de base de données, secrets commerciaux, identifiants d’accès au réseau d’entreprise… C’est pourquoi il est important d’être préparé et de travailler de manière proactive pour arrêter la menace du phishing.

Quelques mesures préventives :

Sensibilisation de l’employé

Faites de la cybersécurité une partie de la culture organisationnelle de votre entreprise et créez des campagnes pour prévenir vos employés des risques d’escroquerie sur Internet. Une bonne mesure consiste à implémenter un logiciel de simulation de phishing pour les former et leur apprendre à différencier un courrier authentique d’un courrier frauduleux.

Implementing email security solutions

The first line of defense against a phishing attack is the anti-spam filter built into email. Make sure it’s up to date with the latest versions and security patches. You may also configure email authentication policies as Domain-based Message Authentication, Reporting, and Conformance (DMARC) to reduce the risk of phishing.

Mise en œuvre de solutions de sécurité dans le courrier électronique

La première ligne de défense contre une attaque de phishing est le filtre anti-spam intégré dans le courrier électronique. Assurez-vous qu’il est mis à jour avec les dernières versions et correctifs de sécurité. Vous pouvez également configurer des politiques d’authentification par courrier électronique telles que DMARC (Domain-based Message Authentication, Reporting, and Conformance) pour réduire le risque d’usurpation d’identité.

Supervision et protection des endpoints

Les endpoints sont les appareils finaux (ordinateurs, tablettes, smartphones) connectés au réseau. Les solutions EDR ont été conçues pour superviser et détecter la présence de logiciels malveillants sur ces endpoints.

Contrairement aux antivirus qui fonctionnent avec des modèles précédemment identifiés, les solutions EDR sont plus avancées car donnent des réponses automatisées et en temps réel pour contenir l’attaque. Ils utilisent des technologies telles que l’IA et l’apprentissage automatique capables de détecter les comportements anormaux, tels que l’exécution de scripts malveillants.

La protection des terminaux est une mesure de cybersécurité de base, mais elle doit être combinée avec d’autres solutions telles que la supervision du trafic réseau ou solutions d’accès à distance sécurisé comme Pandora RC.

Comment Pandora RC aide-t-il à améliorer la sécurité de l’accès à distance ?

De plus en plus d’entreprises adoptent des politiques de télétravail ou de travail hybride. C’est une réalité qui pose de nouveaux défis en matière de cybersécurité. Les travailleurs à distance exercent leur activité dans des environnements moins sûrs que ceux supervisés par les équipes informatiques.

Des outils tels que Pandora RC aident à superviser vos systèmes en offrant support à distance et une assistance rapide en cas de suspicion d’attaque de phishing.

Autres façons dont Pandora RC peut contribuer à la prévention des cyberattaques :

  • Générez mots de passe 100 % locaux en évitant les vulnérabilités des systèmes centralisés.
  • Les connexions à distance doivent être préalablement approuvées.
  • Utilisez les politiques d’accès de double authentification. Cela réduit le risque d’accès non autorisé car les utilisateurs doivent valider leur identité en deux étapes.
  • C’est une solution flexible et évolutive. De plus, il est disponible en tant que solution SaaS ou On-Premise pour les entreprises qui souhaitent avoir plus de contrôle sur leurs infrastructures.

Autres conseils pour éviter les attaques de phishing dans l’environnement des entreprises

À mesure que les techniques de phishing deviennent plus sophistiquées, le besoin de se protéger augmente. Par conséquent, ce n’est pas une mauvaise idée de garder à l’esprit quelques conseils d’utilisation :

  • Essayez de vous tenir au courant des nouvelles escroqueries, suivez les nouvelles publiées dans les médias et lisez des blogs technologiques tels que le blog Pandora FMS.
  • Utilisez des mots de passe forts dans vos comptes qui incluent une combinaison de chiffres, de lettres et de caractères spéciaux. Ne choisissez jamais de données personnelles telles que la date de naissance, les villes ou les noms d’animaux de compagnie pour vos mots de passe ; les hameçonneurs pourraient deviner cette information en consultant vos réseaux sociaux.
  • Utilisez un système d’authentification multifacteur (MFA) pour ajouter une couche de sécurité supplémentaire à vos connexions. De cette façon, si un pirate obtient vos identifiants de connexion, il aura toujours besoin de connaître le code envoyé à votre mobile pour accéder à vos comptes.
  • L’installation d’un pare-feu est essentielle pour bloquer l’accès non autorisé aux informations confidentielles. Assurez-vous qu’il est bien configuré et ne permet que des transactions sécurisées.
  • Tenez à jour le navigateur et le système d’exploitation car les cybercriminels profitent généralement des vulnérabilités des systèmes obsolètes.
  • Évitez d’accéder à des informations confidentielles via réseaux Wi-Fi publics. Beaucoup de ces réseaux manquent de protocoles de cryptage et les données transmises pourraient être interceptées. Désactivez sur votre mobile la possibilité de vous connecter automatiquement à des réseaux Wi-Fi ouverts.
  • Effectuez des sauvegardes automatiques des données de l’entreprise afin de pouvoir récupérer les informations en cas d’attaque. Nous vous recommandons qu’il s’agisse de sauvegardes immuables (elles ne peuvent pas être supprimées ou modifiées). Cela garantit que les copies sont protégées et peuvent être restaurées même en cas d’attaque de ransomware.

Conclusion

Comme nous l’avons mentionné au début, le phishing existe depuis les débuts d’Internet et évoluera probablement et nous connaîtrons de nouvelles modalités de cette forme de cyberattaque. Bien que nous devions être vigilants face à ces menaces, freiner le développement technologique n’est pas la solution. La clé est d’adopter des mesures de cybersécurité et d’éduquer les utilisateurs pour minimiser les risques et créer un environnement de travail sûr.

Shares