Le phishing est la forme la plus courante d’ingénierie sociale par courrier électronique. Contrairement aux cyberattaques visant les systèmes et les logiciels comme tous les autres malwares, il ne nécessite que peu ou pas d’expertise en matière de piratage, ce qui en fait un moyen rapide et facile pour les cybercriminels d’accéder aux données les plus sensibles d’une entreprise.

Définition du phishing

Le phishing est une escroquerie par courrier électronique qui se fait passer pour une entreprise afin d’inciter les destinataires à divulguer les informations d’identification, comme les identifiants de leur compte email, ou à cliquer sur un lien chargé de malwares ou de logiciels malveillants. Dans la plupart des cas, il s’agit d’attirer la victime avec un lien vers un faux site web, souvent un domaine frauduleux, ou d’inclure une pièce jointe contenant un logiciel malveillant.

phishing

Phishing et spear phishing

Les attaques de phishing se font passer pour des marques afin de tromper les utilisateurs, tandis que les attaques de spear phishing se font passer pour des individus. La plupart des courriels d’hameçonnage comportent un objet qui suscite l’inquiétude ou l’intrigue, ce qui encourage les victimes à agir rapidement. À l’exception des attaques très ciblées, le phishing est généralement un événement ponctuel. Souvent, les pirates/fraudeurs envoient un seul email à plusieurs destinataires en même temps, ce que l’on appelle une vague, afin d’augmenter les chances de succès.

Les mails de spear phishing ne contiennent pas de liens ni de pièces jointes et sont conçus pour inciter le destinataire à effectuer une transaction financière, telle qu’un virement bancaire, l’achat de cartes-cadeaux ou la modification des informations de dépôt direct. Le but étant de récolter des informations confidentielles.

Les différents éléments du phishing

Tous les courriels de phishing comportent l’un des deux éléments suivants : un lien ou une pièce jointe. Pour inciter les victimes à cliquer sur le lien ou à ouvrir la pièce jointe, il faut disposer d’un ensemble d’outils et de techniques sophistiqués, y compris des méthodes d’usurpation. Voici quelques-uns des éléments les plus importants :

1 - L'objet du message

Peut-être l’élément le plus critique d’un courriel de phishing, la ligne d’objet est conçue pour inciter, alarmer ou effrayer la victime afin qu’elle ouvre le courriel. Les pirates qui ont fait leurs recherches écrivent des lignes d’objet très ciblées pour inciter les victimes à ouvrir les courriels.

2 - Usurpation d'adresse électronique

L’usurpation d’adresse électronique consiste à créer une adresse électronique qui ressemble à celle d’une entreprise de confiance. Dans le cas de l’usurpation du nom d’affichage, le pirate ajoute le nom d’affichage souhaité dans le champ de l’expéditeur de l’e-mail. Dans d’autres cas, le pirate utilise comme nom d’affichage une adresse électronique ressemblant à celle d’une entreprise légitime.

3 - Usurpation d'identité

Les hackers se font passer pour les marques auxquelles vous faites le plus confiance, exploitant souvent une vulnérabilité de la cybersécurité. Lorsqu’ils s’attaquent à des entreprises, les pirates se font passer pour des marques avec lesquelles une entreprise est en relation, comme une banque ou un fournisseur de logiciels. Pour créer l’illusion de la légitimité, les hameçonneurs utilisent de vrais logos d’entreprises et de produits et d’autres éléments visuels de l’identité de la marque.

4 - Lien de phishing

Un lien est généralement placé dans le corps du courriel, mais il peut également être placé dans une pièce jointe ou dans un fichier légitime hébergé sur un service comme OneDrive ou SharePoint afin d’éviter d’être détecté par les filtres de messagerie qui recherchent les liens d’hameçonnage connus. Les victimes sont incitées à cliquer sur le lien par l’e-mail lui-même, qui dirige l’utilisateur vers un faux site web pour se connecter à un compte.

5 - Pièce jointe

Les pièces jointes sont incluses soit pour dissimuler le lien d’hameçonnage à un filtre de courrier électronique, soit pour transmettre des logiciels malveillants/ransomwares. Souvent sous la forme d’un document Word, d’un fichier PDF ou d’un fichier .zip, la pièce jointe semble être une correspondance commerciale légitime, telle qu’une facture. Le lien peut mener à un site web d’hameçonnage ou entraîner le téléchargement automatique d’un logiciel malveillant ou d’un rançongiciel.

6 - Page de phishing

Une page de phishing est une page web frauduleuse qui se fait passer pour une marque. Les pages non sophistiquées sont faciles à repérer, mais les hameçonneurs avancés utilisent de véritables feuilles de style CSS provenant de pages web de marques pour rendre leurs pages web identiques aux vraies, ce qui constitue une menace. Les pages de phishing se font passer pour des pages de connexion où les victimes saisissent leur nom d’utilisateur et leur mot de passe pour accéder à leur compte. Lorsqu’elles le font, leurs informations d’identification sont volées.

Les chiffres

Principales données sur les ransomwares

0

coût moyen d'un ransomware

0 jours

Durée médiane des attaques par ransomware (en jours)

0 %

des entreprises ont connu au moins une attaque.

0 %

des attaques ont comme origine une erreur humaine.

Exemples de phishing

L‘urgence est au cœur du phishing. Les pirates informatiques utilisent une variété d’escroqueries, y compris des arnaques financières, pour créer un sentiment d’inquiétude, voire de peur, afin de motiver les utilisateurs à cliquer sur des liens et à divulguer des informations d’identification et des informations sensibles.

1 - Vérification/mise à jour du compte

Cet e-mail avertit l’utilisateur qu’il doit vérifier son compte ou que son mot de passe doit être réinitialisé, que ce soit dans le cadre de la routine ou en raison d’un problème lié au compte.

2 - Alerte de mise à jour de paiement

La victime est informée que son mode de paiement actuel, généralement une carte de crédit, ne fonctionne pas ou doit être mis à jour pour pouvoir continuer à bénéficier d’un service.

3 - Facture jointe

Cette attaque comprend une pièce jointe qui se fait passer pour une facture ou un autre document commercial. La pièce jointe peut contenir un lien vers une page d’hameçonnage ou déclencher un logiciel malveillant/ransomware lorsqu’elle est ouverte, ou encore un code malveillant.

4 - Alerte de sécurité

De fausses alertes de sécurité avertissent les victimes que leurs mots de passe ont été compromis, qu’il y a une activité suspecte sur un compte ou qu’elles se sont récemment connectées à un compte à partir d’un appareil inconnu.

5 - Hameçonnage des médias sociaux

L’hameçonnage des médias sociaux consiste à voler les informations d’identification d’un compte sur une plateforme de médias sociaux par l’un des moyens décrits ci-dessus. Les pirates volent parfois les informations personnelles de la victime et les vendent sur le marché noir. Dans d’autres cas, le pirate utilise le compte compromis pour attaquer les amis et les personnes qui suivent la victime.

6 - Sextorsion

Les escroqueries à la sextorsion sont conçues pour tromper les victimes en leur faisant croire qu’un pirate informatique est en possession d’informations compromettantes, telles qu’une vidéo de webcam montrant la victime en train de regarder de la pornographie en ligne. La victime est invitée à payer le pirate en bitcoins pour éviter que l’information ne soit divulguée au public et à ses connaissances.

Techniques de phishing

La plupart des filtres de sécurité pour le courrier électronique utilisent des méthodes de détection basées sur les signatures, y compris l’analyse des domaines et des adresses IP figurant sur la liste noire. Il est donc impossible pour ces types de filtres de détecter les attaques inconnues ou les kits d’hameçonnage qui comportent des protections intégrées contre l’identification par les scanners d’URL.

Les pirates utilisent un certain nombre de techniques pour contourner les filtres basés sur les empreintes digitales et la réputation. Avec une simple consultation de l’enregistrement MX, les pirates peuvent voir quelle solution de sécurité de messagerie est utilisée et créer des scripts pour contourner les règles MX ou développer des techniques pour contourner la solution elle-même. Voici quelques-unes des techniques les plus courantes et les plus avancées :

1 - Courriels ciblés

Les victimes sont choisies en fonction de leur poste, de leur niveau d’expérience et d’autres facteurs qui indiquent leur capacité à donner accès à des données sensibles.

Les hameçonneurs exploitent les médias sociaux et les violations de données antérieures pour trouver des informations qui pourraient aider à personnaliser l’e-mail et à comprendre ce qui motiverait une victime à répondre à un e-mail d’hameçonnage.

Les cybercriminels font des recherches sur l’entreprise cible pour savoir avec quelles marques elle fait affaire, y compris ses partenaires commerciaux, ses fournisseurs de logiciels et ses banques ou autres partenaires financiers afin d’identifier les points de vulnérabilité.

phishing

2 - Usurpation d'identité de marque

es logos et des images de marques sont téléchargés sur le web et insérés dans des courriels, ajoutant ainsi de l’authenticité et de l’autorité à l’e-mail.

Les feuilles de style CSS et JavaScript sont copiées à partir de pages web de marques légitimes et utilisées pour développer des pages de phishing, ce qui les rend indéchiffrables par rapport à la réalité.

Des adresses électroniques de réponse légitimes de la marque sont ajoutées aux courriels pour convaincre l’utilisateur que le courriel provient de la marque.

3 - URLs

Les URL qui mènent à de faux sites web sont soit insérées dans l’e-mail, soit cachées dans une pièce jointe, comme un PDF ou un document Word, afin d’éviter d’être détectées par les filtres de messagerie qui ne peuvent pas analyser les documents.

Les URL légitimes qui mènent à des pages web sûres sont incluses dans l’e-mail, avec le lien, pour tromper les filtres de messagerie qui peuvent considérer l’e-mail comme sûr après avoir analysé un certain nombre d’URL légitimes. Tout cela pour donner une fausse impression de sécurité internet.

Les URLs à retardement sont des URL qui mènent à des pages web sûres et légitimes et qui sont ensuite redirigées vers des pages d’hameçonnage une fois que le courrier électronique a été délivré.

Les raccourcisseurs d’URL, tels que Bit.ly et TinyURL, sont utilisés pour créer des alias de l’URL d’hameçonnage afin d’éviter d’être détectés par les filtres qui recherchent les liens d’hameçonnage connus.

4 - Insertion et distorsion d'images

De légères modifications ou déformations d’images modifient leur hachage crypotographique ou « empreinte digitale ». Cela peut faire en sorte qu’un courriel d’hameçonnage figurant sur une liste noire apparaisse comme un nouveau courriel sûr aux yeux d’un filtre.

Les codes QR sont souvent insérés à la place des URL d’hameçonnage pour échapper aux filtres qui ne peuvent pas extraire les codes QR. Généralement utilisés dans les escroqueries à la sextorsion, les codes QR dirigent les victimes vers des sites Bitcoin où elles peuvent effectuer le paiement de l’extorsion.

Les images textuelles, telles que les captures d’écran de courriels, sont insérées dans le corps du courriel à la place du texte. Cela permet d’éviter l’analyse du contenu par le filtre de messagerie, qui peut considérer le message comme sûr s’il n’y a pas de contenu à analyser.

Prévention du phishing

Avec de nouvelles attaques lancées chaque jour et des filtres même sophistiqués qui ne détectent pas toujours les attaques, la prévention est un effort permanent qui nécessite une diligence constante et un logiciel anti-phishing intelligent doté d’une protection avancée :

1 - Formation des utilisateurs

Les attaques devenant de plus en plus sophistiquées, les utilisateurs doivent être formés en permanence aux dernières attaques et techniques. En plus de la formation récurrente de sensibilisation au phishing, la formation contextuelle dispensée au moment où l’utilisateur clique sur un courriel malveillant fournit un retour d’information instantané sur le comportement de l’utilisateur.

Le contenu de la formation qui est personnalisé pour l’utilisateur en fonction de la marque utilisée dans l’attaque donne un contexte à la formation, contrairement aux formations annuelles qui sont généralement menées dans un cadre de groupe et basées sur des courriels génériques. En fin de compte, l’expérience de formation sera plus significative et l’attaque plus mémorable que les simulations utilisées dans les simulations.

Il est tout aussi important pour la prévention du phishing d’encourager les utilisateurs à signaler les courriels suspects. Cela permet au service informatique d’avertir l’entreprise des attaques imminentes et à l’équipe chargée des opérations de sécurité d’utiliser l’e-mail de phishing pour renforcer le filtre de messagerie.

2 - Intelligence artificielle

Contrairement aux technologies basées sur les empreintes digitales et la réputation, l’intelligence artificielle identifie les attaques inconnues en analysant le contenu, le contexte et l’origine des courriels. Les algorithmes d’apprentissage automatique supervisés sont formés par des spécialistes des données pour reconnaître les différentes caractéristiques des courriels d’hameçonnage. Les algorithmes non supervisés n’ont pas besoin d’un formateur mais apprennent au fil du temps à reconnaître les anomalies dans les courriels ou les événements suspects qui diffèrent de la majorité des données.

3 - Détection d'images

Entraînés à détecter des images et des logos de marques, les algorithmes de vision artificielle peuvent détecter de légères distorsions dans les images, analyser des images textuelles et extraire des codes QR qui dissimulent des liens malveillants. Contrairement à d’autres algorithmes d’apprentissage automatique, les algorithmes de vision par ordinateur interprètent et visualisent les images comme le font les humains, reconnaissant les courriels de phishing connus qui ont été déformés pour ressembler à de nouveaux courriels.

Avec Cybercare, vous avez plus qu’une prestation de service; vous avez un partenaire dévoué qui comprend vos besoins et travaille sans relâche pour vous protéger.