L’hameçonnage est un type d’attaque d’ingénierie sociale souvent utilisé pour voler les données des utilisateurs, y compris les informations de connexion et les numéros de carte de crédit. Cela se produit lorsqu’un attaquant, se faisant passer pour une personne de confiance, trompe la victime pour qu’elle ouvre un e-mail, un message instantané ou un SMS. Le destinataire clique alors sur un lien malveillant qui pourrait entraîner l’installation d’un logiciel malveillant, le blocage du système suite à une attaque par rançongiciel ou la divulgation d’informations confidentielles.
Une attaque peut avoir des résultats dévastateurs. Pour les particuliers, cela inclut les achats non autorisés, le vol de fonds ou le vol de données personnelles.
En outre, le phishing est souvent utilisé pour s’ancrer dans les réseaux d’entreprise ou gouvernementaux dans le cadre d’une attaque plus large, telle qu’un événement de menace persistante étendue (APT). Dans ce dernier scénario, les employés sont obligés de contourner les périmètres de sécurité, de distribuer des logiciels malveillants dans un environnement fermé ou d’obtenir un accès privilégié à des données protégées.
Une organisation qui succombe à une telle attaque subit généralement de graves pertes financières en plus de réduire sa part de marché, sa réputation et la confiance des consommateurs. Selon son ampleur, une tentative d’hameçonnage peut se transformer en un incident de sécurité qui compliquera la reprise d’activité d’une entreprise.
Exemples d’attaques de phishing
Voici une tentative d’escroquerie par hameçonnage courante :
- Un e-mail visiblement falsifié de crvdgi@comcast.net est envoyé au plus grand nombre de clients possible.
- La lettre indique qu’elle a détecté une activité inhabituelle sur la carte de débit Bank of America. Des instructions sont fournies pour accéder à leur lien de phishing et se connecter pour examiner l’activité afin que vous puissiez examiner votre compte.
Plusieurs choses peuvent arriver en cliquant sur le lien. Par exemple:
- L’utilisateur est redirigé vers http://bit.do/ghsdfhgsd, une page factice qui ressemble exactement à une vraie page de mise à jour, où les mots de passe nouveaux et existants sont demandés. Un attaquant, en suivant la page, vole le mot de passe original pour accéder aux zones protégées du réseau universitaire.
- L’utilisateur est dirigé vers la page de mise à jour du mot de passe. Cependant, lors de la redirection, un script malveillant est activé en arrière-plan pour capturer le cookie de session de l’utilisateur. Cela conduit à une attaque XSS réfléchie, donnant à l’attaquant un accès privilégié au réseau universitaire.
Techniques d’hameçonnage
Fraudes par hameçonnage par e-mail
L’email phishing est un jeu de nombres. Un attaquant envoyant des milliers de messages frauduleux peut signaler des informations importantes et de l’argent, même si seul un petit pourcentage de destinataires tombe dans le piège. Comme on peut le voir ci-dessus, les attaquants utilisent certaines astuces pour augmenter leur succès.
D’une part, ils feront de leur mieux pour développer des e-mails de phishing pour imiter de vrais e-mails d’une fausse organisation. L’utilisation des mêmes termes, polices, logos et signatures rend les messages légitimes.
De plus, les attaquants essaient généralement de pousser les utilisateurs à l’action, créant ainsi un sentiment d’urgence. Par exemple, comme indiqué précédemment, un e-mail pourrait menacer l’expiration du compte et mettre le destinataire sur une minuterie. L’application d’une telle pression rend l’utilisateur moins diligent et plus sujet aux erreurs.
Enfin, les liens dans les messages ressemblent à leurs homologues légitimes mais ont généralement un nom de domaine orthographié ou des sous-domaines supplémentaires. Dans l’exemple ci-dessus, l’URL myuniversity.edu/renewal a été remplacée par myuniversity.edurenewal.com. La similitude entre les deux adresses donne l’impression d’une connexion sécurisée, rendant le destinataire moins conscient qu’une attaque est en cours.
Attaque de Spear Phishing
Le spear phishing cible une personne ou une entreprise spécifique, et non les utilisateurs d’applications aléatoires. Il s’agit d’une version plus approfondie du phishing qui nécessite une certaine connaissance de l’organisation, y compris de sa structure de pouvoir.
Une attaque peut se dérouler comme suit :
- Un attaquant recherche les noms des employés du service marketing de l’organisation et accède aux derniers comptes de projet.
- Agissant en tant que responsable marketing, un attaquant envoie un e-mail au chef de projet (PM) en utilisant une ligne d’objet qui se lit : Compte mis à jour pour les campagnes du troisième trimestre. Le texte, le style et le logo inclus reproduisent le modèle d’e-mail standard de l’organisation.
- Le lien dans l’e-mail redirige vers un document interne protégé par mot de passe, qui est une fausse version du compte volé.
- Le chef de projet est invité à se connecter pour visualiser le document. Un attaquant vole ses informations d’identification et obtient un accès complet aux zones sensibles du réseau de l’organisation.
En fournissant à l’attaquant des identifiants de connexion valides, le phishing est un moyen efficace de terminer la première étape d’APT.
Comment prévenir une attaque de phishing
La protection contre les attaques de phishing nécessite les actions des utilisateurs et des entreprises.
Pour les utilisateurs, la vigilance est de mise. Un faux message contient souvent des erreurs subtiles qui révèlent sa véritable identité. Il peut s’agir de fautes d’orthographe ou de changements de nom de domaine, comme illustré dans l’exemple d’URL ci-dessus. Les utilisateurs doivent également s’arrêter et réfléchir à la raison pour laquelle ils reçoivent même un tel e-mail.
Pour les entreprises, vous pouvez prendre plusieurs mesures pour atténuer les attaques de phishing :
- Phish Protection offre une protection des e-mails de classe entreprise à des prix adaptés aux petites entreprises. Un ensemble complet de solutions de protection des e-mails utilisées par plus de 1000 petites et moyennes entreprises à travers le monde.
- L’authentification à deux facteurs (2FA) est la méthode la plus efficace pour contrer les attaques de phishing car elle ajoute un niveau de vérification lors de l’accès aux applications sensibles. 2FA s’appuie sur les utilisateurs pour avoir deux choses : quelque chose qu’ils connaissent, comme un mot de passe et un nom d’utilisateur, et quelque chose qu’ils ont, comme leurs smartphones. Même lorsque les employés sont compromis, 2FA empêche l’utilisation de leurs identifiants compromis, car certains d’entre eux ne suffisent pas pour entrer.
- En plus d’utiliser 2FA, les organisations doivent appliquer des politiques de gestion des mots de passe solides. Par exemple, les employés doivent fréquemment changer leurs mots de passe et ne doivent pas réutiliser le mot de passe pour plusieurs applications.
- Les campagnes éducatives peuvent également aider à réduire la menace d’attaques de phishing en utilisant des méthodes sécurisées, telles que ne pas cliquer sur des liens de messagerie externes.
Pourquoi les attaques de phishing augmentent pendant une crise
Les criminels comptent sur la tromperie et créent un sentiment d’urgence pour réussir leurs campagnes de phishing. Les crises, comme la pandémie de coronavirus, offrent à ces criminels une excellente occasion de piéger les victimes du phishing.
Pendant une crise, les gens deviennent nerveux. Ils veulent des informations et demandent conseil à leurs employeurs, au gouvernement et aux autres autorités compétentes. Un e-mail qui semble provenir de l’une de ces entités et promet de nouvelles informations ou demande aux destinataires d’accomplir rapidement une tâche risque d’être moins étudié qu’avant la crise. Un clic impulsif plus tard et l’appareil de la victime est infecté ou le compte est piraté.
