Sur Internet, les formes d’escroquerie sont nombreuses. Des « offres spéciales » suspectes aux droits de licence d’origine douteuse, les escroqueries sont si courantes pour les utilisateurs en ligne qu’elles sont littéralement ancrées dans la culture du World Wide Web.
Malgré cela, de nombreux cyber-attaquants se cachent encore sur Internet pour profiter de la confiance, de la peur ou simplement de l’ignorance de l’utilisateur naïf. Souvent, ces acteurs de la menace réussissent, non pas parce qu’ils s’attaquent directement à la sécurité du système, mais parce qu’ils utilisent un stratagème effrayant. Ce stratagème s’appelle « phishing“ : l’un des termes les plus curieux dans le domaine de la cybersécurité – et une menace sérieuse.
Le Phishing – Qu’est-ce que c’est ?
En bref, le phishing est une forme de fraude numérique dans laquelle un cyber-attaquant tente d’inciter quelqu’un à divulguer des informations confidentielles. Les informations recherchées par les cyber-attaquants varient. La plupart du temps, il s’agit d’informations de connexion ou d’informations financières.
Le phishing se fait généralement par le biais d’un email ou d’un autre message (par exemple d’un employé de banque, d’un technicien web ou peut-être d’un client de haut niveau) qui prétend être important. Ce message est l' »appât » qui attire les cibles vers un hameçon numérique où elles tombent ensuite dans les griffes de l’attaquant.
Les conséquences du phishing sont dévastatrices et peuvent coûter aux victimes l’accès à des systèmes, à des données confidentielles ou à des comptes financiers entiers. Il ne faut donc pas s’étonner que les cybercriminels les plus efficaces du passé aient généralement eu recours au phishing, comme les groupes Cozy Bear ou Fancy Bear, sponsorisés par la Russie.
Il existe différentes formes de cyberattaques utilisées par ces acteurs de la menace :
- Lors du spear phishing, un attaquant cible une personne spécifique (souvent une personne disposant d’une autorisation de sécurité élevée pour un système en ligne), un peu comme un chasseur qui capture une proie spécifique.
- Le vishing, contraction de « voice » et « phishing », désigne un appel téléphonique dans lequel l’appelant se fait faussement passer pour une entreprise légitime.
- Le smishing, mot-valise issu de la contraction de « SMS » et de « phishing », désigne les sms qui se font passer pour provenir de sources officielles.
Reconnaître une fraude
Alors, comment se protéger exactement contre ce type d’escroquerie ?
Malheureusement, aucune technique, aussi bonne soit-elle, ne peut contrer toutes les formes de « phishing ». Cela est dû au fait que toutes ces attaques se font par le biais de la communication – et non directement sur le système. En d’autres termes, étant donné que ces escrocs frappent quasiment à votre porte, la seule solution est de limiter l’accès de tous les visiteurs.
Le meilleur moyen de démasquer ces fraudeurs est donc de les reconnaître. Heureusement, il suffit souvent de quelques signes distinctifs pour deviner quels messages sont des faux.
1. Prudence en cas d’urgence
Bien que certains phishers soient extrêmement persévérants, ils ont généralement tendance à s’impatienter. Souvent, ils insistent pour obtenir des informations sur un ton pressant et exigeant.
Cette urgence les trahit, car n’oubliez pas qu’un informaticien ou un conseiller financier sérieux ne vous poussera jamais à divulguer des informations sensibles, surtout pas par le biais de canaux numériques.
Si un message vous demande de divulguer immédiatement vos données sensibles, il y a de fortes chances qu’il s’agisse d’escrocs en quête d’argent facile.
2. Si cela semble trop beau pour être vrai…
Une offre en espèces surprenante ? Un super prix pour un jeu-concours auquel vous n’avez jamais participé ? Une économie immédiate sur la moitié de votre facture d’électricité ? De prétendues « offres spéciales » comme celles-ci apparaissent régulièrement sur les téléphones portables et dans les boîtes aux lettres électroniques.
Comme chacun le sait, ces offres sont pratiquement toujours des inepties. En effet, les offres qui semblent trop belles pour être vraies ne le sont généralement pas. Si vous recevez un appel, un SMS ou un email vous proposant ce que vous pensez être une opportunité unique, vous devez être vigilant : il s’agit très probablement d’une escroquerie.
3. Des identités bizarres
Certains phisheurs sont très habiles à donner une apparence authentique à leurs messages, y compris le logo et l’adresse électronique. Mais en y regardant de plus près, ces façades se révèlent généralement friables.
Même lorsque les fraudeurs utilisent un logo ou un nom d’entreprise officiel dans leurs emails, ils laissent généralement des traces révélatrices de leurs intentions frauduleuses. Un phisher pourrait par exemple utiliser une adresse telle que « home.spotify.xyz », alors qu’un email réel de Spotify utiliserait le domaine correct « spotify.com ».
La FTC a présenté cet exemple de tentative de fraude réelle :
Il semble suffisamment authentique, mais regardez de plus près la première ligne : « Salut cher(e) » ? C’est une façon plutôt étrange de commencer un email de réinitialisation de compte, sachant que Netflix utilise généralement le nom de l’utilisateur. De telles incohérences, aussi minimes qu’elles puissent paraître, sont importantes pour distinguer les messages authentiques des contrefaçons.
Dans le cas des appels, en revanche, il est évident que l’appelant prétende, dans un message enregistré, provenir d’une agence gouvernementale ou qu’il représente un organisme financier non identifié. Lorsque de tels appels tombent du ciel, il est généralement préférable soit de raccrocher, soit de demander une confirmation à l’employé suspect.
4. Les fautes d’orthographe révélatrices
Même à notre époque de correction automatique, les fautes de frappe sont monnaie courante. Les communications officielles de la part d’une entreprise constituent toutefois une exception, car un message rédigé de manière non professionnelle nuit à la réputation d’une organisation.
Ainsi, si vous recevez un SMS ou un email prétendant provenir d’une grande entreprise connue et qui est inexplicablement truffé de fautes d’orthographe et de défauts grammaticaux évidents, il y a des raisons de douter de son authenticité.
Aussi trivial que cela puisse paraître, faites attention aux fautes d’orthographe ou autres signes de travail non professionnel lorsque vous recevez un message étrangement urgent venant de nulle part. C’est généralement le signe que l’expéditeur n’a pas de réputation à défendre.
5. Eviter le vent de panique
L’une des recettes du succès consiste à faire peur aux victimes. Il ne devrait pas être surprenant de savoir pourquoi : les personnes qui paniquent font presque tout pour assurer leur sécurité personnelle (et donnent même leurs coordonnées bancaires à des personnes douteuses).
Dans la pratique, cela signifie que si un email, un sms ou un appel téléphonique est destiné à vous faire peur, il ne sert probablement pas vos intérêts.
Bien sûr, un avertissement indiquant que votre compte a peut-être été compromis doit vous alarmer. Mais faites attention à la formulation de la notification : Est-elle formulée de manière exagérée ? Est-elle particulièrement agressive ? Vous menace-t-on de conséquences si vous n’accédez pas à ses demandes ?
Chacune de ces caractéristiques indique en général que le message n’a pas pour but de vous informer, mais de vous mettre dans un état de vulnérabilité émotionnelle – ce qui indique à son tour que le message est probablement une tromperie.
La prévention est la meilleure défense
Bien que la protection contre le phishing dépende en grande partie de l’utilisateur individuel, vous avez déjà beaucoup contribué à la défense si vous prenez conscience de ces escroqueries. Si vous vous armez simplement en sachant que tous les expéditeurs ne sont pas ceux qu’ils prétendent être, vous aurez déjà une longueur d’avance sur les plans d’un acteur de la menace.
En outre, n’oubliez pas que si les conseils susmentionnés pour détecter les cas de phishing sont cohérents et fiables, les spécificités de chaque fraude changent constamment. Les escrocs développent régulièrement de nouvelles stratégies pour tromper les personnes qui ne se doutent de rien. C’est pourquoi vous devez toujours garder un œil vigilant sur les nouveaux stratagèmes utilisés par ces escrocs.
Tout cela est particulièrement critique à l’heure actuelle, car les cyberattaques, en particulier celles qui utilisent des ressources fournies par le gouvernement russe, sont encore très répandues et en augmentation constante. Les cas de phishing impliquant des cybercriminels liés à la Russie montrent que ces escroqueries peuvent non seulement coûter de l’argent à votre entreprise et nuire à sa réputation, mais aussi détourner les ressources de l’entreprise vers la lutte réelle.
Il n’a jamais été aussi important pour vous et pour le monde d’être vigilant et de protéger vos propres systèmes.
Si vous souhaitez recevoir d’autres conseils sur la cybersécurité et la technologie, abonnez-vous à notre magazine gratuit !