Les pirates du web, rois du phishing ?

Qu’est-ce que le phishing ?

Le phishing est défini comme une méthode utilisée par les cyber-pirates pour obtenir des renseignements personnels dans le but d’extorquer des fonds aux victimes. Les renseignements peuvent concerner un mot de passe, un numéro de carte de crédit ou encore une date de naissance. Cette technique d’ingénierie sociale consiste à exploiter la faille humaine et non une faille informatique. Le phishing fonctionne grâce au risque de confusion sur l’émetteur du courriel ou sur l’url communiqué par la personne ciblée. C’est une arme massive pour les pirates du web qui envoient leur mail à énormément d’individus dans le but qu’une poignée d’entre eux mordent à l’hameçon. Le principe même du phishing repose sur l’adresse email de l’émetteur du courrier. Pour troubler le destinataire, l’émetteur utilisera les adresses classiques telles que gmail ou yahoo. Mais avec l’arrivée de la nouvelle extension de nom de domaine en .email, il pourra effectuer des dépôts de noms de domaines basés sur des similitudes orthographiques entre l’entreprise et l’usurpateur. Et c’est sur ce point que beaucoup se posent des questions sur cette nouvelle extension dont nous ne manquerons pas de suivre les évolutions.

Phishing et autres arnaques

Une étude de Ponémon en 2012 a montré qu’une attaque phishing coûte en moyenne 241 000$ à l’entreprise qui en est victime. 5 techniques de phishing ont actuellement été identifiées : la confirmation de données, le « tirage au sort », le changement de site, le harponnage sentimental et la menace. De nouvelles méthodes basées sur le phishing ont vu le jour ces dernières années. Tout d’abord, le spear phishing (ou harponnage) qui est une variante du phishing classique. Dans ce cas, l’attaque est ciblée sur une personne ou un groupe ciblé d’utilisateur. L’email contient des informations très précises et personnelles sur l’individu pour endormir sa vigilance. Cette nouvelle méthode semble cibler particulièrement les entreprises pour leur soutirer des informations sensibles. Que ce soit du point de vue de la propriété intellectuelle, pour des informations à forte valeur ajoutée ou encore espionner la concurrence, le spear phishing jouera sur la corde sensible de l’humain. Lorsque l’attaquant insère un code dans une page qui aura pour fonction d’ouvrir un pop-up pendant votre navigation, on appelle cela du in-session phishing. Deux dernières méthodes commencent à se répandre, le smishing (phishing par sms) et le vishing (phishing vocal).

Bien se protéger du phishing

Il existe des techniques préventives permettant de protéger ses données d’une attaque phishing. Il faut minimiser au mieux le risque de faille humaine. Cela passe par des campagnes de communication internet et de la formation, principalement pour les personnes manipulant des données sensibles. Ensuite, il ne faut jamais cliquer directement sur un lien contenu dans un mail mais le saisir manuellement l’url. Il est également nécessaire de se méfier des formulaires demandant des informations secrètes telles que des informations bancaires. Sachez qu’une banque ne vous demandera jamais de communiquer votre numéro de compte et/ou votre mot de passe par mail ou par téléphone. Dans le doute, n’hésitez pas à contacter votre agence. Pour finir, avant de saisir des informations sensibles, assurez-vous que votre navigateur est en mode sécurité (url en https et présence d’un petit cadenas).
Enfin, munissez-vous d’une solution email efficace contre le spam et le phishing telle que MailSecurity+ pour votre boîte email, renseignez-vous auprès de Nom-domaine.fr.