Phishing, définition à connaître avant de répondre à ce « mail urgent »

Le phishing est une des cybermenaces les plus courantes. Un chiffre pour en témoigner : en 2023, c'est 1,76 milliard d'URL frauduleuses qui ont été envoyées dans le monde (source : Rapport 2023 sur la sinistralité cyber de Stoïk).

Quelles sont les caractéristiques de ce type d'attaque en ligne ? Comment s'en prémunir ? Quels sont les meilleurs outils anti-phishing ? On vous présente toutes les infos à connaître pour minimiser les risques et l'impact du phishing sur votre activité.

Voir tous les logiciels Antivirus

Définition du phishing

Qu'est-ce que le phishing, ou hameçonnage ?

Le phishing, ou hameçonnage, est une cyberattaque qui fonctionne selon un principe d'ingénierie sociale. Concrètement, cela signifie que le cœur de l'escroquerie provient d'une erreur humaine (excès de confiance, manque de vigilance, etc.), plus que d'une réelle faille technique.

Lors d'une tentative de phishing, un hacker usurpe l'identité d'un de vos contacts de confiance pour vous envoyer un email ou un message urgent. Il agit généralement au nom d'une institution (banque, livreur, partenaire, client, etc.), mais dans des cas d'attaques plus ciblées, il peut également se faire passer pour un collègue ou un supérieur hiérarchique.

Le message demande de "mettre à jour" ou de "confirmer" vos données suite à une erreur technique, mise à jour, etc.

🔎 En réalité, l'objectif du hacker est de récupérer des données personnelles ou bancaires afin de les exploiter.

Déroulé classique d'une attaque de phishing

1. Préparation : sélection des cibles, collecte des informations nécessaires pour être crédible et choix de la stratégie.

2. Distribution via l'envoi massif, ou ciblé, de messages frauduleux en utilisant des noms de domaine détournés.

3. Création d'un sentiment d'urgence et exploitation de l'autorité. La fraude semble crédible, avec un message avec un contexte cohérent, des éléments visuels copiés (logo d'entreprise).

4. Captation des données par le biais d'une redirection vers un faux nom de domaine ou un formulaire de saisie.

5. Utilisation des identifiants, transfert d'argent sur un compte, revente des données sur le dark web.

6. Après l'opération, suppression des sites frauduleux, dissimulation de l'origine de l'attaque.

Les différents types de phishing

Il existe plusieurs types de phishing en fonction de la victime visée et du type de média utilisé :

• Le phishing classique par email : un courriel générique envoyé en masse en usurpant l'identité de structures légitimes (banques, services en ligne). La victime est ensuite redirigée vers un nom de domaine qui reproduit les sites originaux. 💌

• Le spear phishing : une attaque ciblée qui demande une recherche préalable sur la future victime avec un message personnalisé.

• Le whaling : un hameçonnage qui cible spécifiquement les "gros poissons" (cadres, dirigeants, etc.) avec des messages sophistiqués et des enjeux financiers importants. 🐋

• Le smishing : un mode de phishing qui s'effectue par SMS avec un message court qui incite à cliquer sur un lien. 📲

• Le vishing : phishing par téléphone ou visioconférence en se faisant passer pour des membres d'une organisation officielle.

• Le quishing : technique de phishing qui utilise la technologie QR-code.

Spam et phishing : quelles différences ?

Le spam et le phishing sont tous deux à classés dans la catégorie des messages indésirables. Le spam est un e-mail non sollicité envoyé en masse pour promouvoir un produit ou un service. Il est invasif, mais n'intègre aucune dimension d'escroquerie. Pas d'usurpation d'identité, ni de vol d'informations, il s'agit seulement d'un mode de publicité agressif.

Comment se manifeste une attaque de phishing ?

Comment reconnaître une attaque de phishing ? Voici les différents signes que vous êtes peut-être victime d'un hameçonnage.

Indice n°1 : une adresse d'expéditeur suspecte

Lors d'une attaque par hameçonnage, le hacker indique une adresse expéditeur copiée sur celle d'une institution, mais légèrement différente. Soyez attentif aux "." aux "-", aux chiffres et à l'ordre des mots qui composent l'adresse.

Exemple : amazon-service@gmail.com au lieu de service@amazon.com.

Indice n°2 : attention aux détails visuels

Soyez très attentif aux logos, aux en-têtes et à la mise en page générale des emails. Les tentatives de phishing utilisent souvent des versions légèrement altérées des identités visuelles officielles : logos de mauvaise qualité, couleurs légèrement différentes, polices de caractère peu adaptée. Ces petites différences vous aident à identifier la contrefaçon !

Indice n°3 : les fautes d'orthographe et de grammaire

Avec le phishing de masse, il n'est pas rare de trouver de nombreuses fautes d'orthographe dans les messages envoyés. Bien sûr, plus la tentative est sophistiquée et moins le courriel contiendra d'erreurs. Toutefois, vous pouvez toujours repérer des formules qui ne correspondent pas aux règles de communication habituelles de votre structure.

À noter : avec la démocratisation de l'usage de l'intelligence artificielle, les hackers sont de plus en plus subtils dans leurs communications eux aussi.

Indice n°4 : les formules de politesse génériques

Le phishing de masse ne peut pas s'embarrasser d'individualisation. Alors, soyez très méfiant avec les mails qui commencent par "cher client", "cher collègue", et qui n'intègrent aucun élément de personnalisation.

☝️ Mais attention quand même, car des cas de spear phishing ou de whaling peuvent tout de même intégrer des informations ciblées sur vous et la personne que vous pensez être l'expéditeur.

Indice n°5 : l'impression d'urgence excessive

Il est très rare que des entreprises, des institutions et prestataires de service décident de clore votre compte sans signes préalables. Quand vous recevez une menace de ce type avec des délais très courts, vous êtes certainement victime d'une attaque de phishing.

✅ Votre premier réflexe doit être de contacter l'organisme en question (par une autre voie que le lien proposé) pour vérifier l'information.

Indice n°6 : les demandes d'informations sensibles

Il est très important de sensibiliser vos équipes à l'idée suivante :

Aucune organisation légitime ne vous demandera jamais vos informations confidentielles par email ou message.

Si vos collaborateurs ont cette idée en tête, il est quasi impossible d'être victime de phishing.

Les demandes de mots de passe complets, de numéros de carte bancaire avec code de sécurité, ou de copies de pièces d'identité doivent constituer des signaux d'alarme immédiats.

Quels sont les risques associés à l'hameçonnage ?

Pour bien appréhender les risques liés au phishing, rien de mieux que quelques exemples.

❌ De 2013 à 2015, un fraudeur a soutiré plus de 100 millions de dollars à Facebook et à Google en se faisant passer pour l'entreprise Quanta. Il émettait de fausses factures de la part de cet ancien partenaire des deux géants. Vous le constatez, même les grosses pointures du web ne sont pas à l'abri du hameçonnage.

❌ En 2015, du spear phishing a permis à des hackers d'implanter un malware dans les systèmes de contrôle des centrales électriques ukrainiennes. Résultat, des pannes de courant d'ampleur nationale ont eu lieu.

❌ Dernier exemple. En 2016, le cabinet aéronautique autrichien FACC a été victime d'une attaque de whaling. Les services financiers de la société ont envoyé près de 42 millions d'euros à des hackers se faisant passer pour le PDG de l'entreprise.

Le principal risque pour les organisations est financier. Mais les conséquences ne s'arrêtent pas là. L'entreprise victime de phishing voit nombre de ses données essentielles disparaître et perd en réputation auprès de ses clients et des partenaires.

Comment se protéger du phishing ?

Pour protéger votre structure des attaques de phishing, vous devez combiner une approche humaine et technique. Intégrer des bonnes pratiques numériques pour tous vos collaborateurs et renforcez votre arsenal de cyberdéfense.

La règle de base : ne communiquez jamais d'informations personnelles

Établissez des processus stricts pour la transmission d'informations sensibles. Aucune donnée confidentielle (identifiants, mots de passe, coordonnées bancaires, etc.) ne doit être partagée par email ou téléphone. C'est une règle qui doit être respectée 100 % du temps.

Même si la demande semble provenir de la direction, elle ne doit être validée sous aucun prétexte. Au contraire, elle doit appeler encore plus de vigilance.

Notre conseil : pour ce type de demande, mettez en place un protocole de signalement qui doit être suivi par tous les collaborateurs sous peine de sanction.

Former et sensibiliser vos équipes aux risques de phishing

La formation doit être adaptée aux risques spécifiques de chaque département. Les équipes financières qui sont souvent confrontées aux "fraudes au président" doivent se concentrer sur ce type de menace.

Les membres de la direction doivent être principalement sensibilisés au whaling, qui les concerne directement. Organisez des sessions de formation régulières avec des exemples. On vous conseille également de tester la vigilance de vos équipes avec des simulations d'attaques.

Utiliser un filtre anti-spam efficace

Investissez dans une solution de filtrage multi-couches pour renforcer votre protection contre le phishing. Pour cela, sélectionnez un outil qui combine plusieurs approches de détection :

• Analyse heuristique et comportementale.

• Comparaison avec une base de données d'expéditeurs malveillants.

• Technologies d'intelligence artificielle pour identifier les menaces zero day.

Installer et mettre à jour un anti-malware efficace

Intégrer votre protection anti-phishing à une stratégie globale de sécurité informatique. En effet, malgré toutes les précautions du monde, l'auteur du hameçonnage peut arriver à ses fins et tromper l'un de vos collaborateurs. Dans ce cas, vous ne pouvez pas faire l'économie d'une solution anti-malware complète. Elle représente votre dernière ligne de défense et doit être déployée sur l'ensemble des postes de votre entreprise.

💡 Au moment de faire votre choix, privilégiez les fonctionnalités suivantes :

• protection en temps réel,
• analyse comportementale,
• vérification des URL,
• blocage des sites malveillants
• et surveillance des modifications de fichier (ransomware).

Assurez-vous également que le logiciel est facile à prendre en main, surtout si vous ne disposez pas d'une division de cybersécurité.

Comment réagir en cas d’attaque réussie ?

Malgré une protection humaine et technologique complète, le risque zéro n'existe pas. Voici comment réagir en cas d'une attaque de phishing réussie par un cybercriminel.

Réagir vite et signaler l'incident

En cas d'attaque, votre premier réflexe doit être de déconnecter immédiatement l'appareil infecté d'Internet et de votre réseau interne. Depuis un autre appareil sécurisé, changez les mots de passe des comptes potentiellement compromis.

Ensuite, signalez immédiatement l'incident à votre responsable de sécurité informatique.

Une fois cette première étape validée, contactez les autres organisations concernées :

• Contactez votre banque en cas de diffusion des informations de votre compte.

• Signalez la fraude au commissariat et aux autres autorités compétentes.

• Informez l'organisme dont l'identité a été usurpée.

Évaluer l'étendue des dégâts

Identifiez précisément les informations et les données compromises. Pensez à scanner votre système avec un anti-malware pour détecter la présence d'éventuels logiciels malveillants sur votre poste de travail. Dans le cas où des malwares sont détectés, suivez la procédure conseillée par votre outil.

Mettre en œuvre un plan de restauration

Si vous pensez que l'intégrité du poste a été compromise, réinstallez complètement le système d'exploitation de l'appareil. On vous conseille également de mettre en place un système de sauvegarde pour pouvoir restaurer une version antérieure à l'attaque.

Tirer des leçons de l'attaque et optimiser votre sécurité

Analysez en détail l'attaque pour identifier les failles de sécurité et y remédier. À l'issue de cette analyse, formez vos équipes en conséquence et améliorez vos procédures de sécurité informatique.

Logiciels anti-phishing : notre top 4

Vous recherchez un outil pour protéger vos systèmes du phishing, voici notre sélection des meilleurs logiciels du marché :

1. Altospam : La solution n°1 pour la protection des boîtes mail d'entreprise. Grâce à son logiciel Mailsafe, vous profitez d'une analyse heuristique qui réduit les faux positifs à moins de 0,01 %. La solution s'intègre parfaitement à Google Workplace et Microsoft 365.

2. Barracuda Email Protection : Une protection complète contre le phishing, les ransomwares et malwares qui utilisent des techniques d'analyse comportementale et heuristique avancée en plus d'une technologie d'IA.

3. Phished : Une approche axée sur la formation des employés avec résultats qui parlent pour eux-mêmes : une réduction du taux d'hameçonnage passée de 40,5 % à moins de 5 % chez leurs clients.

4. Cofense : Une combinaison de simulations d'attaques et d'un réseau mondial de signalement pour rester en avance sur les innovations des hackers.

Voir tous les logiciels Antivirus

Définition du phishing : que retenir ?

Le phishing est un risque informatique qui concerne toutes les organisations, quel que soit leur secteur ou leur taille. Malgré le focus sur le sujet par les professionnels de la cyberdéfense et par les autorités, le phishing n'a jamais été aussi florissant. La raison ? Avec l'IA, les techniques évoluent.

La recherche d'infos se fait plus rapidement et les techniques d'hameçonnage sont encore plus performantes. Un exemple : les visioconférences avec des deepfakes plus vrais que nature.

Le phishing nous rappelle une vérité fondamentale : la technologie ne suffit pas en cybersécurité. La culture du doute méthodique, le respect des procédures et la vigilance personnelle sont également essentiels.