/ Qu’est-ce que le phishing ?
Qu’est-ce que le phishing ?
Comment fonctionne le phishing ?
La façon la plus simple de commettre un vol est probablement de convaincre les victimes qu’elles ne sont absolument pas victimes d’un vol. Tel est le modèle de base de l’escroc qui pratique le phishing.
Les attaques de phishing commencent par un e-mail, un appel téléphonique, un message SMS, une publication sur les réseaux sociaux, ou autre, qui semble émaner d’une source digne de confiance. À partir de là, le hacker peut poursuivre toutes sortes d’objectifs finaux, comme inciter la victime à fournir des informations sur son compte, à effectuer un virement PayPal, à télécharger un malware déguisé, etc.
Prenons un exemple courant. Un hacker obtient l’adresse e-mail ou le numéro de téléphone d’une victime. La victime reçoit ensuite un e-mail ou un SMS de ce qui semble être sa banque. Le message de phishing mentionne une offre spéciale qui arrive à expiration, une suspicion d’usurpation d’identité ou autre, et demande à la victime de se connecter à son compte bancaire. Le lien renvoie à une fausse page Web de connexion, et la victime communique involontairement au hacker ses identifiants de connexion.
Cette attaque, comme la plupart des attaques de phishing, crée habilement un sentiment d’urgence qui incite la victime à baisser sa garde au lieu de prendre le temps d’examiner le message afin de déterminer s’il est suspect. Toutefois, ceci est plus facile à dire qu’à faire, car les hackers disposent de nombreuses astuces.
Types d’attaques de phishing
Les hackers ont inventé une panoplie de techniques de phishing afin d’exploiter des technologies, tendances, secteurs et utilisateurs divers. Voici un aperçu des types les plus courants :
- Phishing par e-mail : un e-mail provenant d’un expéditeur apparemment légitime tente d’inciter le destinataire à suivre un lien malveillant et/ou à télécharger un fichier infecté. L’adresse e-mail et toute URL figurant dans un e-mail de phishing peuvent être usurpées afin de paraître légitimes.
- Smishing/phishing par SMS : par le biais d’un SMS, les hackers tentent d’inciter les victimes à communiquer des informations personnelles, telles que des numéros de carte de crédit ou autres numéros de compte.
- Vishing/phishing vocal : équivalentes au smishing, mais effectuées par appel téléphonique, ces attaques visent à obtenir des informations sur les cartes de crédit ou d’autres détails sensibles.
- Angler phishing : se faisant passer pour des entreprises légitimes sur les réseaux sociaux, les hackers sollicitent les informations personnelles des victimes, souvent en leur proposant des cartes cadeaux, des réductions, etc.
- Pop-up phishing : cette attaque courante sur les smartphones affiche une offre ou un message de mise en garde dans une fenêtre pop-up qui contient généralement un lien malveillant pour amener les victimes à divulguer des données personnelles.
- Spear phishing : alors que de nombreuses escroqueries par phishing ciblent des victimes au hasard, les attaques de type spear phishing visent des personnes spécifiques dont le hacker connaît déjà, dans une certaine mesure, les données personnelles. Ce détail supplémentaire peut considérablement augmenter les chances de réussite du phishing.
- Whaling : les hackers ciblent des cadres dirigeants ou d’autres membres importants d’une entreprise, dans le but d’obtenir des informations qui leur donneront un accès privilégié à l’environnement ciblé.
- Clone phishing : les auteurs de phishing envoient à leurs victimes des e-mails qui semblent provenir d’expéditeurs en qui la victime a confiance, tels que des institutions financières ou des entreprises accréditées comme Amazon. Ce type de phishing est étroitement lié au spear phishing et constitue une tactique courante dans les attaques de type « business email compromise » (BEC ou tentatives d’escroquerie ciblant la messagerie professionnelle).
- Evil twin phishing : les hackers piègent les victimes en leur présentant un point d’accès Wi-Fi qui semble digne de confiance, puis mènent des attaques de type « man in the middle », interceptant les données que les victimes transfèrent via la connexion.
- Pharming : les hackers piratent les fonctionnalités d’un serveur DNS (Domain Name System) afin qu’il redirige les utilisateurs vers un faux site Web malveillant, même s’ils saisissent une URL inoffensive.
Dans quelle mesure les attaques de phishing sont-elles dangereuses ?
Les attaques de phishing peuvent se révéler extrêmement dangereuses. Les grandes campagnes de phishing peuvent toucher des millions de personnes, dérober des données sensibles, implanter des ransomwares et autres malwares, mais également accéder aux zones les plus sensibles des systèmes d’une entreprise.
Les risques pour toute victime de phishing sont nombreux, notamment la perte ou la compromission de données sensibles telles que des informations financières ; les entreprises sont également confrontées à d’éventuelles atteintes à leur réputation et à des problèmes réglementaires.
En quoi le phishing affecte-t-il les entreprises ?
Les conséquences d’une attaque de phishing efficace peuvent être graves et d’une grande ampleur pour les entreprises. La compromission d’un compte bancaire d’entreprise peut entraîner des pertes financières. La perte de données peut être la conséquence d’une tentative de phishing qui aboutit à une attaque par ransomware. Une entreprise peut subir une atteinte majeure à sa réputation à la suite d’une divulgation publique de données sensibles.
Par ailleurs, chacun de ces éléments peut entraîner des conséquences encore plus graves par la suite. Les cybercriminels peuvent vendre les données volées sur le Dark Web, notamment à des concurrents peu scrupuleux. De surcroît, de nombreuses violations devront être divulguées à des organismes de réglementation sectoriels ou gouvernementaux susceptibles d’infliger des amendes ou d’autres sanctions. L’entreprise pourrait même être impliquée dans des enquêtes sur la cybercriminalité, ce qui peut leur faire perdre beaucoup de temps et attirer une attention négative.
Comment protéger mon entreprise contre les attaques de phishing ?
Fort heureusement, la plupart des types de phishing peuvent être stoppés pour peu que vous preniez les précautions qui s’imposent. En d’autres termes :
- Utilisez des contre-mesures de cybersécurité efficaces. Les solutions antivirus et anti-phishing modernes, combinés à des filtres anti-spam efficaces, permettront de déjouer un grand nombre de tentatives de phishing.
- Maintenez vos systèmes d’exploitation et vos navigateurs à jour. Les fournisseurs de logiciels corrigent régulièrement les nouvelles vulnérabilités de leurs produits, sans quoi votre système sera exposé.
- Protégez vos données avec des sauvegardes automatiques. Instaurez un processus régulier de sauvegarde des données du système afin de pouvoir récupérer les données en cas de violation.
- Recourez à l’authentification multifacteur (MFA). Les stratégies Zero Trust telles que la MFA créent des couches de défense supplémentaires entre les hackers et vos systèmes internes.
- Sensibilisez vos utilisateurs. Les cybercriminels inventent constamment de nouvelles stratégies, et les protections de messagerie électronique ne peuvent pas tout détecter. Vos utilisateurs et votre entreprise dans son ensemble seront plus en sécurité si tous les utilisateurs comprennent comment identifier les e-mails suspects et signaler le phishing.
Quels sont les signes révélateurs du phishing ?
En matière de phishing, les utilisateurs les mieux protégés sont ceux qui savent comment éviter de se faire piéger. Bien qu’un bref résumé ne remplace pas une formation ciblée de sensibilisation à la sécurité, voici quelques signes clés révélateurs d’une tentative de phishing :
- Divergences dans les noms de domaine : les adresses e-mail et les domaines Web peuvent présenter des incohérences. Par exemple, vous recevez un e-mail prétendant provenir d’une marque connue, mais l’adresse e-mail ne correspond pas forcément.
- Fautes d’orthographe : bien que les attaques de phishing soient devenues beaucoup plus efficaces, les messages renferment encore souvent des fautes d’orthographe ou de grammaire.
- Salutations peu familières : le style de la formule de politesse ou de la signature peut parfois être un indice révélateur de quelque chose d’anormal. Soyez prudent si quelqu’un qui commence toujours ses messages par « Bonjour ! » dit soudain « Cher ami » à la place.
- Message court et aimable : les e-mails de phishing contiennent souvent peu d’informations et misent sur l’ambiguïté pour tromper le discernement des victimes. Si trop de détails importants sont manquants, cela peut être le signe d’une tentative de phishing.
- Demandes inhabituelles : un e-mail vous demandant de faire quelque chose d’inhabituel, en particulier sans explication, constitue un signal d’alarme. Par exemple, une tentative de phishing pourrait prétendre provenir de votre équipe informatique et vous demander de télécharger un fichier sans en préciser la raison.
Phishing et IA
Les attaques de phishing optimisées par IA exploitent les outils IA pour gagner en sophistication et en efficacité. L’IA automatise et personnalise divers aspects du processus d’attaque, ce qui accentue la difficulté de détecter le phishing. Par exemple, les chatbots sont couramment utilisés pour créer des e-mails de phishing très convaincants et exempts d’erreurs. De plus, les assaillants exploitent de plus en plus de services IA avancés tels que le deepfake et le clonage vocal pour usurper l’identité d’entreprises ou de personnes et tromper leurs victimes. Ils exploitent divers canaux de communication, notamment les e-mails, les appels téléphoniques et vidéo, les SMS et les applications de messagerie chiffrée.
L’IA générative est un moteur de croissance pour les menaces de phishing, en permettant des gains d’efficacité et une automatisation de nombreuses étapes de la chaîne d’attaque. En analysant rapidement les données accessibles au public, telles que les informations concernant les entreprises ou les dirigeants, l’IA générative fait gagner du temps de ciblage aux acteurs malveillants tout en augmentant la précision des attaques ciblées. En éliminant les fautes d’orthographe et les erreurs grammaticales, les outils d’IA générative améliorent la crédibilité des communications de phishing. Qui plus est, l’IA générative peut créer rapidement des pages de phishing sophistiquées ou étendre ses capacités pour générer des malwares et des ransomwares dans le cadre d’attaques secondaires. Les outils et tactiques de l’IA générative évoluant rapidement, les attaques de phishing se révéleront chaque jour plus dynamiques (et difficiles à détecter).
La popularité et l’utilisation croissantes des outils d’IA générative tels que ChatGPT et Drift ont déjà un impact sur les activités de phishing et la montée en puissance des attaques basées sur l’IA. Des pays comme les États-Unis et l’Inde, où ces outils sont fortement utilisés selon les recherches de ThreatLabz publiées dans son rapport 2024 sur la sécurité de l’IA, sont les principales cibles des escroqueries par phishing et accusent le plus grand nombre d’attaques chiffrées au cours de l’année écoulée, dont une partie sont des attaques de phishing.
Protection contre le phishing avec Zscaler
Étant donné qu’elle repose sur l’exploitation de la nature humaine, la compromission des utilisateurs est l’un des défis de sécurité les plus difficiles à relever. Pour détecter les violations actives et minimiser les dommages qu’elles peuvent causer en cas de succès, vous devez déployer des contrôles efficaces de prévention du phishing dans le cadre d’une stratégie Zero Trust plus large.
La plateforme Zscaler Zero Trust Exchange™ s’appuie sur une architecture Zero Trust globale pour minimiser la surface d’attaque, empêcher les compromissions, éliminer les déplacements latéraux et arrêter la perte de données. Elle permet de stopper le phishing par différents moyens :
- En prévenant les attaques : des fonctionnalités telles que l’inspection TLS/SSL complète, l’isolation du navigateur et le contrôle d’accès basé sur des règles empêchent l’accès à partir de sites Web malveillants.
- En prévenant les déplacements latéraux : une fois dans votre système, les malwares peuvent se propager et causer encore plus de dégâts. Avec Zero Trust Exchange, les utilisateurs se connectent directement aux applications, et non à votre réseau, de sorte que les malwares ne peuvent pas se propager à partir de celles-ci.
- En arrêtant les menaces internes : notre architecture de proxy cloud bloque les tentatives d’exploitation des applications privées et détecte même les techniques d’attaque les plus sophistiquées grâce à l’inspection inline complète.
- En arrêtant la perte de données : Zero Trust Exchange inspecte les données en mouvement et au repos pour empêcher le vol potentiel de données par un hacker actif.