Hameçonnage

Les escroqueries par hameçonnage présentent des risques importants pour la sécurité et les finances des particuliers et des entreprises. Toutefois, ces risques peuvent être atténués en éduquant les utilisateurs, en adoptant les meilleures pratiques et en déployant les dernières technologies de détection des menaces et de réponse aux incidents.

vue aérienne de personnes travaillant dans un bureau
Qu'est-ce que l'hameçonnage ?

L'hameçonnage est une cyberattaque dans laquelle un cybercriminel, se faisant passer pour une entreprise ou un individu de confiance, envoie des messages pour tromper ou manipuler les destinataires afin qu'ils divulguent des données sensibles, téléchargent des logiciels malveillants ou transfèrent de l'argent ou des actifs aux mauvaises personnes. Les attaques par hameçonnage réussies peuvent entraîner le vol d'identité, la fraude par carte de crédit, les attaques par rançongiciels, les violations de données et d'énormes pertes financières pour les particuliers et les entreprises.

L'hameçonnage est le type d'ingénierie sociale le plus courant, la pratique consistant à tromper, faire pression ou manipuler les gens pour qu'ils divulguent des informations privées ou sensibles telles que les numéros de sécurité sociale et de carte de crédit, les numéros de compte bancaire ou les identifiants de connexion. L'hameçonnage et d'autres tactiques d'ingénierie sociale reposent sur l'erreur humaine - et en particulier sur l'erreur humaine commise sous pression - pour être efficaces. Les pirates utilisent ces tactiques parce qu'il est plus facile et moins coûteux de tromper les gens que de pirater le réseau informatique d'une entreprise.

Selon le FBI, les e-mails d'hameçonnage sont la méthode d'attaque la plus populaire, ou le vecteur, utilisé par les pirates pour fournir des rançongiciels aux individus et aux entreprises. Et selon le rapport 2021 Coût d'une violation de données d'IBM, l'hameçonnage est la quatrième cause la plus courante et la deuxième cause la plus coûteuse en termes de violation de données : le coût moyen par violation pour les entreprises s'élève à 4,65 millions de dollars.


Types d'attaques par hameçonnage

Hameçonnage par e-mails envoyés en masse

 L'hameçonnage par e-mails envoyés en masse est le type le plus courant d'attaque par hameçonnage. Un escroc crée un e-mail qui semble provenir d'une grande entreprise ou organisation légitime bien connue - une banque nationale ou mondiale, un grand détaillant en ligne, les créateurs d'une application SaaS ou d'une application populaire - et envoie ce message à des millions de destinataires. L'hameçonnage par e-mails envoyés en masse est un jeu de nombres : plus l'expéditeur usurpé est important ou populaire, plus il a de destinataires susceptibles d'être des clients, des abonnés ou des membres.

Dans un e-mail d'hameçonnage l'expéditeur usurpé aborde un sujet de manière crédible, et fait appel à des émotions fortes - peur, cupidité, curiosité, sentiment d'urgence ou pression du temps - pour attirer l'attention du destinataire. Les lignes d'objet types incluent « Veuillez mettre à jour votre profil utilisateur », « Problème avec votre commande », « Vos documents de clôture sont prêts à être signés », « Votre facture est en pièce jointe. » 

Le corps de l'e-mail demande au destinataire d'entreprendre une action qui semble parfaitement sensée et cohérente avec l'objet, mais qui conduira le destinataire à divulguer des informations sensibles - numéros de sécurité sociale, numéros de compte bancaire, numéros de carte de crédit, identifiants de connexion - ou à télécharger un fichier qui infecte l'appareil ou le réseau du destinataire. Par exemple, dans un e-mail d'hameçonnage les destinataires reçoivent un message du type « cliquez sur ce lien pour mettre à jour votre profil », mais le lien les dirige vers un faux site Web, où ils entrent leurs identifiants de connexion et mettent leur profil à jour. Cet e-mail peut également leur demander d'ouvrir une pièce jointe qui semble légitime - par exemple, « facture20.xlsx » - mais cette dernière envoie un logiciel malveillant ou un code malveillant sur l'appareil ou le réseau du destinataire.

Hameçonnage ciblé

L'hameçonnage ciblé est une attaque par hameçonnage qui cible un individu en particulier - généralement une personne avec un accès privilégié à des données sensibles ou à des ressources réseau, ou une autorité spéciale que l'escroc peut exploiter à des fins frauduleuses ou néfastes.

Le pirate étudie la cible afin de recueillir les informations nécessaires pour se faire passer pour une personne ou une entité en qui la cible a entièrement confiance - un ami, un patron, un collègue, un fournisseur de confiance ou une institution financière - ou pour se faire passer pour la personne ciblée. Les médias sociaux et les sites de réseaux sociaux - où les gens félicitent publiquement leurs collègues, cautionnent des collègues et des fournisseurs, et où ils ont tendance à partager de nombreuses informations sur des réunions, des événements ou encore des projets de voyage - sont devenus des sources d'informations de prédilection pour l'hameçonnage ciblé. 

Avec ces informations, le pirate peut envoyer un message contenant des détails personnels spécifiques ou des informations financières et une demande crédible à la cible du type « Je sais que vous partez ce soir en vacances. Pourriez-vous payer cette facture (ou transférer XXX,XX dollars sur ce compte) avant la fermeture des bureaux aujourd'hui ? »

Compromission de messagerie professionnelle (BEC)

Certains e-mails d'hameçonnage ciblé tentent de recueillir davantage d'informations, en vue d'une attaque à plus grande échelle. Par exemple, un message d'hameçonnage ciblé peut demander à un PDG de mettre à jour les identifiants de son compte de messagerie perdues lors d'une brève panne, et lui fournir un lien vers un faux site Web malveillant conçu en fait pour lui voler ses identifiants. Avec ces identifiants, le pirate a un accès complet à la boîte de réception du PDG. Par conséquent, il peut étudier les messages électroniques du PDG pour en retirer davantage d'informations et envoyer un message convaincant et frauduleux directement depuis le compte de messagerie du PDG, en utilisant son adresse e-mail réelle. 

Il s'agit d'un exemple de compromission de messagerie professionnelle (BEC) - un type d'attaque par hameçonnage ciblé particulièrement dangereux conçu pour inciter les employés de l'entreprise à envoyer de très grosses sommes d'argent ou des actifs précieux à un pirate. Les e-mails BEC sont envoyés ou semblent être envoyés à partir des comptes de messagerie des membres les plus haut placés de l'entreprise - ou d'associés de haut niveau de l'entreprise, tels que des avocats, des partenaires commerciaux clés ou des fournisseurs importants - et contiennent suffisamment de détails pour apparaître très crédibles.

L'hameçonnage ciblé n'est pas la seule tactique permettant d'obtenir les informations nécessaires pour organiser une attaque BEC efficace. Les pirates peuvent également déployer des logiciels malveillants ou exploiter les vulnérabilités du système afin d'accéder aux données des comptes de messagerie. S'ils ne peuvent pas accéder aux données du compte, les pirates peuvent également essayer d'usurper l'adresse de l'expéditeur - en utilisant une adresse e-mail si similaire à l'adresse réelle de l'expéditeur que le destinataire ne remarque pas la différence. 

Quelle que soit la tactique, les attaques BEC efficaces comptent parmi les cyberattaques les plus coûteuses. Dans l'un des exemples les plus connus de BEC, les pirates se faisant passer pour le PDG ont convaincu le service financier de son entreprise de transférer près de 50 millions d'euros sur un compte bancaire frauduleux.


Autres techniques et tactiques d'hameçonnage

L'hameçonnage par SMS, ou smishing, est une tactique d'hameçonnage utilisant des SMS sur mobile ou smartphone. Les schémas de smishing les plus efficaces sont contextuels, c'est-à-dire liés à la gestion des comptes ou à des applications de smartphones. Par exemple, les destinataires peuvent recevoir un SMS leur offrant un cadeau en guise de « remerciement » pour avoir payé une facture Internet ou leur demandant de mettre à jour leurs informations de carte de crédit afin de continuer à utiliser un service de streaming multimédia. 

Le hameçonnage vocal, ou vishing, est une tactique d'hameçonnage via un appel téléphonique. Grâce à la technologie voix sur IP (VoIP), les escrocs peuvent passer des millions d'appels de vishing automatisés par jour ; ils utilisent souvent l'usurpation d'identité de l'appelant pour faire apparaître leurs appels comme s'ils provenaient d'organisations légitimes ou de numéros de téléphone locaux. Les appels de vishing effraient généralement les destinataires avec des avertissements de problèmes de traitement de carte de crédit, de paiements en retard ou de problèmes avec l'IRS. Les personnes appelées qui répondent finissent par fournir des données sensibles aux personnes travaillant pour les escrocs ; certains finissent même par accorder le contrôle à distance de leurs ordinateurs aux escrocs à l'autre bout de la ligne.

L'hameçonnage sur les réseaux sociaux  utilise diverses fonctionnalités d'une plateforme de médias sociaux pour pirater les informations sensibles appartenant aux abonnés. Les escrocs utilisent les fonctionnalités de messagerie propres aux plateformes - par exemple, Facebook Messenger, la messagerie LinkedIn ou InMail, les DM Twitter - de la même manière qu'ils utilisent les e-mails et les SMS. Ils envoient également aux utilisateurs des e-mails d'hameçonnage qui semblent provenir du site de réseau social, demandant aux destinataires de mettre à jour leurs identifiants de connexion ou leurs informations de paiement. Ces attaques peuvent être particulièrement coûteuses pour les victimes qui utilisent les mêmes identifiants de connexion sur plusieurs sites de médias sociaux, une « très mauvaise pratique » trop courante.

Application ou messagerie intégrée à l'application. Les applications populaires pour smartphone et les applications Web (logiciel en tant que service ou SaaS) envoient régulièrement des e-mails à leurs utilisateurs. Par conséquent, ces utilisateurs sont des cibles de choix pour les campagnes d'hameçonnage qui usurpent les adresses de messagerie des éditeurs d'applications ou de logiciels. Encore une fois en jouant au jeu des nombres, les escrocs usurpent généralement les e-mails des applications et applications Web les plus populaires - par ex. PayPal, Microsoft Office 365 ou Teams - pour tirer le meilleur parti de leur attaque par hameçonnage. 


Se protéger contre les escroqueries par hameçonnage

Formation des utilisateurs et meilleures pratiques

Les entreprises et organisations sont encouragées à enseigner aux utilisateurs comment reconnaître les escroqueries par hameçonnage et à développer les meilleures pratiques afin de traiter les e-mails et SMS suspects. Par exemple, les utilisateurs peuvent apprendre à reconnaître les caractéristiques ci-dessous spécifiques aux e-mails d'hameçonnage et il en existe d'autres :

- Demandes d'informations sensibles ou personnelles, ou pour mettre à jour le profil ou les informations de paiement
- Demandes d'envoi ou de transfert d'argent
- Pièces jointes que le destinataire n'a pas demandées ou qu'il ne s'attendait pas à recevoir
- Un sentiment d'urgence, même flagrant (« Votre compte sera clôturé aujourd'hui... ») ou un message subtile (par exemple, une demande d'un collègue de payer une facture immédiatement)
- Menaces de prison ou autres conséquences irréalistes
- Mauvaise orthographe ou grammaire
- Adresse d'expéditeur incohérente ou usurpée
- Liens raccourcis avec Bit.lyou un autre service de raccourcissement de lien
- Images de texte utilisées à la place du texte (dans les messages ou sur les pages Web liées aux messages)

Cette liste n'est pas exhaustive. Malheureusement, les pirates informatiques conçoivent toujours de nouvelles techniques d'hameçonnage pour éviter d'être détectés. Des publications telles que la publication trimestrielle du groupe de travail anti-hameçonnage Phishing Trends Activity Report (lien externe à ibm.com) peuvent aider les entreprises et autres organisations à se tenir au fait. 

Les entreprises peuvent également encourager ou appliquer les meilleures pratiques qui mettent moins de pression sur les employés afin qu'ils soient eux-mêmes capables de détecter les tentatives d'hameçonnage. Les entreprises peuvent par exemple établir et communiquer des politiques de clarification - par exemple, un supérieur ou un collègue n'enverra jamais par e-mail une demande de transfert de fonds. Elles peuvent exiger des employés qu'ils vérifient toute demande d'informations personnelles ou sensibles en contactant l'expéditeur ou en visitant directement le site légitime de l'expéditeur, et ce, en utilisant des moyens autres que ceux fournis dans le message. Elles peuvent également insister pour que les employés signalent les tentatives d'hameçonnage et les e-mails suspects au service informatique ou à la sécurité.

Technologies de sécurité qui permettent de combattre l'hameçonnage

Malgré une excellente formation des utilisateurs et des meilleures pratiques rigoureuses, les utilisateurs font encore des erreurs. Heureusement, plusieurs technologies de sécurité des points de terminaison et des réseaux établies et émergentes peuvent aider les équipes en charge de la sécurité à combattre l'hameçonnage et ainsi renforcer la formation et la politique de l'entreprise.

- Les filtres anti-spam combinent des données sur les escroqueries par hameçonnage existantes et des algorithmes d'apprentissage automatique afin d'identifier les e-mails d'hameçonnage suspects (et autres spams), puis les déplacent vers un dossier séparé et désactivent tous les liens qu'ils contiennent.
- Les logiciel antivirus et anti-malware détectent et neutralisent les fichiers ou codes malveillants dans les e-mails d'hameçonnage.
- L'authentification multifacteur nécessite au moins un identifiant de connexion en plus d'un nom d'utilisateur et d'un mot de passe - par exemple, un code à usage unique envoyé sur le téléphone portable de l'utilisateur. En fournissant une dernière ligne de défense supplémentaire contre les escroqueries par hameçonnage ou d'autres attaques qui compromettent avec succès les mots de passe, l'authentification multifacteur peut saper les attaques par hameçonnage ciblé et empêcher le BEC. 
-Les filtres Web empêchent les utilisateurs de visiter des sites Web malveillants connus (« sites sur liste noire ») et affichent des alertes chaque fois que les utilisateurs visitent des sites Web suspectés malveillants ou faux.

Les plateformes de cybersécurité centralisées - par ex. les solutions SIEM (gestion des informations et des événements de sécurité), les solutions EDR (détection et réponse aux points de terminaison, les solutions NDR (détection et réponse réseau) et XDR (détection et de réponse étendues) - combinent ces technologies et d'autres avec des renseignements sur les menaces continuellement mis à jour ainsi que des fonctionnalités de réponse automatisée aux incidents qui peuvent aider les entreprises à prévenir les escroqueries par hameçonnage avant qu'elles n'atteignent les utilisateurs et à limiter l'impact des attaques par hameçonnage qui dépassent les lignes de défense des points de terminaison ou du réseau.


Solutions connexes

IBM Security QRadar XDR Connect

La première solution complète de détection et de réponse étendues (XDR) du secteur, reposant sur des normes ouvertes et l'automatisation. XDR Connect offre une visibilité approfondie, l'automatisation et des informations contextuelles sur les points de terminaison, le réseau, le cloud et les applications.


Solution IBM de réponse aux incidents

Les solutions IBM de réponse aux incidents aident les équipes en charge de la sécurité à gérer et à répondre de manière proactive au hameçonnage et à d'autres menaces grâce à une orchestration intelligente, à une gamme complète de services, mais aussi à l'aide d'outils, de son expertise et du personnel d'IBM Security X-Force.


Solutions de protection contre les attaques par hameçonnage

Protégez vos employés contre les attaques par hameçonnage qui peuvent compromettre la sécurité de votre entreprise.


Solutions de protection contre les rançongiciels

Avec les solutions IBM Security, protégez les données sensibles de votre organisation contre les rançongiciels qui risquent de les prendre en otage.


Solutions de sécurité Zero Trust

Assurez la sécurité de chaque utilisateur, de chaque périphérique et de chaque connexion, chaque fois avec les solutions IBM de sécurité Zero Trust.


Solutions de sécurité et de protection des données

Protégez les données d'entreprise dans plusieurs environnements, respectez les réglementations en matière de confidentialité et simplifiez la complexité opérationnelle avec des solutions de sécurité des données.


IBM Security Trusteer Rapport

IBM Security Trusteer Rapport aide les institutions financières à détecter et prévenir les infections par logiciel malveillant et les attaques par hameçonnage, en assurant une protection maximale de leurs clients.


Solutions de réponse aux incidents

L'orchestration intelligente renforce la réponse aux incidents en définissant des processus reproductibles, en responsabilisant les analystes qualifiés et en tirant parti des technologies intégrées.


Solutions de sécurité contre les menaces internes

Découvrez comment protéger votre entreprise contre les menaces malveillantes ou involontaires provenant d'initiés ayant accès à votre réseau.


Ressources