Le phishing peut être effectué sur n’importe quel support de communication. Voici quelques-uns des types d’hameçonnage les plus courants :
Quand la plupart des gens pensent au phishing, ils pensent aux e-mails. L'hameçonnage par e-mail se divise lui-même en plusieurs catégories :
Les attaques de phishing vocal consistent à appeler la victime et à tenter de la persuader d’effectuer une action. L’appelant peut se faire passer pour une agence de recouvrement qui interroge une facture impayée, ou pour quelqu’un du « support technique » qui a besoin d’accéder à l’ordinateur de l’utilisateur.
Lors d’une attaque de hameçonnage par SMS, l'attaquant envoie un message texte demandant à la victime de cliquer sur un lien ou de répondre au message. Ces attaques imitent souvent le type de message SMS qu'une personne pourrait recevoir d’un service de messagerie ou d’un site gouvernemental, allant même jusqu’à reproduire le numéro d’expéditeur.
Les attaques de détournement de pages impliquent que l’attaquant clone un site Web et dirige la victime vers celui-ci. Il peut s'agir d'une attaque de grande envergure visant à générer un trafic important vers une fausse page via des publicités payantes, ou d'une attaque ciblée où le détournement de page est combiné à d'autres formes de hameçonnage.
Cette attaque tire parti de paramètres de calendrier mal configurés par défaut pour placer des liens d’hameçonnage dans les agendas en ligne des utilisateurs. De nombreuses personnes sont formées à la recherche de liens d’hameçonnage dans leurs e-mails, mais ne savent pas forcément qu’il est également possible d’insérer des liens malveillants dans leur calendrier, ce qui donne à ces attaques une probabilité de succès relativement élevée.
La manière dont les messages sont transmis n’est qu’une partie de l’hameçonnage. Il est également important de comprendre comment fonctionne cette escroquerie. Les e-mails d’hameçonnage efficaces utilisent plusieurs techniques pour contourner les filtres anti-spam et tromper le destinataire, l'incitant à cliquer sur le lien ou à effectuer l'action souhaitée.
La manipulation de liens est utilisée pour faire en sorte que les liens d’un e-mail ressemblent à l’adresse du site Web usurpé par l’attaquant. Cependant, lorsque l’utilisateur clique sur le lien, il est redirigé vers le site Web de l’attaquant. Certains auteurs vont plus loin et utilisent des caractères inhabituels ou des adresses longues et complexes pour tromper les utilisateurs qui ne comprennent peut-être pas la différence entre un domaine de premier niveau et un sous-domaine.
Les attaquants utilisent souvent des images pour contourner les filtres anti-hameçonnage et anti-spam. Les plateformes et les logiciels de messagerie ont souvent mis en place des filtres pour bloquer les spams et les e-mails malveillants, mais ces filtres ne sont pas toujours efficaces pour traiter les images.
La pratique de l’ingénierie sociale consiste à identifier les victimes et à instaurer la confiance. Par exemple, si une personne se laisse piéger par la première étape d’une attaque de hameçonnage et répond à un e-mail, l’attaquant lui demandera progressivement de fournir des informations personnelles, en avançant des excuses crédibles pour justifier chaque demande, plutôt que de tout réclamer d’un coup.
Les tentatives d’hameçonnage peuvent aller de messages électroniques relativement mal conçus, remplis de fautes d’orthographe, de ponctuation et de grammaire, à des messages soigneusement rédigés et très ciblés. Voici quelques éléments courants à prendre en compte :
Les entreprises qui cherchent à se protéger contre les attaques d’hameçonnage ciblées devraient envisager de prendre diverses précautions, notamment en améliorant leurs politiques de sécurité et en formant leur personnel à repérer et à éviter les cyberattaques. Voici quelques précautions utiles :
Dans la mesure du possible, activez un filtrage des e-mails et une anonymisation des contenus stricts au niveau du réseau. Le blocage des logiciels malveillants connus ou des sites de suivi peut grandement contribuer à réduire les menaces de phishing. Envisagez d’afficher un avertissement sur tous les e-mails provenant d’une adresse qui ne figure pas dans le carnet d’adresses de l’utilisateur.
Utilisez un navigateur configuré pour afficher une alerte si l’utilisateur est dirigé vers un site Web non sécurisé ou un site d’hameçonnage connu. Assurez-vous que les utilisateurs ne peuvent pas désactiver ou contourner ces alertes.
Utilisez des fonctionnalités de sécurité supplémentaires en plus des connexions par mot de passe. Par exemple, la sécurité biométrique peut être utilisée pour des systèmes importants. De plus, l’utilisation d'« images de confiance » dans le cadre du processus de connexion peut alerter les utilisateurs sur la possibilité qu’ils se trouvent sur un site de phishing.
L’activation de l’authentification multifacteur pour des systèmes importants peut réduire le risque de phishing et d’autres formes de cyberattaques. Envisagez d’utiliser un authentificateur matériel plutôt que l’authentification à deux facteurs basée sur les SMS, car l’authentification par SMS peut être contournée via des attaques par échange de carte SIM.
Les attaques de phishing peuvent coûter extrêmement cher aux entreprises, en particulier lorsqu'elles permettent aux attaquants d'infiltrer le réseau avec des ransomwares. Découvrez comment Veeam peut vous aider à protéger les données essentielles de votre entreprise au moyen de solutions de sauvegarde, de restauration et de protection contre les ransomwares.