Les attaques par hameçonnage sont des e-mails, des SMS, des appels téléphoniques ou des sites Web frauduleux conçus pour inciter les utilisateurs à télécharger des logiciels malveillants, partager des informations sensibles ou des données personnelles (ex. : numéros de sécurité sociale et de carte de crédit, numéros de compte bancaire, identifiants de connexion) ou à réaliser d’autres actions qui pourraient les exposer ou exposer leurs organisations à la cybercriminalité.
Les attaques par hameçonnage réussies entraînent souvent un vol d’identité, une utilisation frauduleuse de cartes de crédit, des attaques par ransomware, des violations de données et d’énormes pertes financières pour les particuliers et les entreprises.
L’hameçonnage est le type d’ingénierie sociale le plus courant. Il consiste à tromper ou manipuler des personnes, ou à exercer une pression sur elles pour qu’elles envoient des informations ou des ressources aux mauvaises personnes. Les attaques d’ingénierie sociale reposent sur l’erreur humaine et des tactiques de pression. L’agresseur se fait généralement passer pour une personne ou une organisation en qui la victime a confiance, comme un collègue, un patron, une entreprise avec laquelle la victime ou l’employeur de la victime fait affaire, et crée un sentiment d’urgence qui pousse la victime à agir de manière irréfléchie. Les pirates informatiques et les fraudeurs utilisent ces tactiques parce qu’il est plus facile et moins coûteux de tromper les gens que de pirater un ordinateur ou un réseau.
Selon le FBI, les e-mails d’hameçonnage représentent la méthode d’attaque (ou vecteur) la plus populaire utilisée par les pirates pour diffuser des ransomwares auprès des particuliers et des organisations. Le rapport Coût d’une violation de données en 2022 d’IBM a révélé que l’hameçonnage était la deuxième cause la plus fréquente de violation de données (alors qu’elle était en quatrième position l’an dernier) et que les violations de données causées par l’hameçonnage étaient les plus onéreuses, puisqu’elles coûtent en moyenne 4,91 millions de dollars aux victimes.
L’hameçonnage par e-mail en masse est le type d’attaque par hameçonnage le plus courant. Un escroc crée un e-mail qui semble provenir d’une grande entreprise ou d’une organisation légitime bien connue (une banque nationale ou mondiale, un grand détaillant en ligne, les créateurs d’une application logicielle ou d’une application populaire) et envoie le message à des millions de destinataires. L’hameçonnage par e-mail en masse mise sur la quantité : plus l’expéditeur usurpé est grand ou populaire, plus il y a de destinataires susceptibles d’être des clients, des abonnés ou des membres.
Les cybercriminels font de nombreux efforts pour que l’e-mail d’hameçonnage paraisse légitime. Ils incluent généralement le logo de l’expéditeur usurpé dans l’e-mail et masquent l’adresse e-mail de l’expéditeur pour inclure le nom de domaine de l’expéditeur usurpé. Certains usurpent même le nom de domaine de l’expéditeur, par exemple en utilisant « rnicrosoft.com ». au lieu de « microsoft.com », qui semble légitime à première vue.
La ligne d’objet mentionne un sujet que l’expéditeur usurpé pourrait aborder de manière crédible et qui suscite de fortes émotions (peur, cupidité, curiosité, sentiment d’urgence ou contraintes de temps) pour attirer l’attention du destinataire. Voici quelques lignes d’objet typiques : « Veuillez mettre à jour votre profil utilisateur », « Problème avec votre commande », « Vos documents de clôture sont prêts à être signés », « Votre facture est en pièce jointe ».
Dans l’e-mail, il est demandé au destinataire de réaliser une action qui semble parfaitement raisonnable et cohérente avec l’objet, mais qui l’amènera à divulguer des informations sensibles (numéros de sécurité sociale, de compte bancaire ou de carte de crédit, identifiants de connexion) ou à télécharger un fichier qui infectera son appareil ou son réseau.
Par exemple, les destinataires peuvent être invités à « cliquer ici » pour mettre à jour leur profil, mais le lien hypertexte sous-jacent les dirige ensuite vers un faux site Web qui les incite à saisir leurs véritables identifiants de connexion dans le cadre du processus de mise à jour du profil. Ils peuvent également être invités à ouvrir une pièce jointe qui semble légitime (ex. : « facture20.xlsx »), mais qui installera un logiciel ou un code malveillant sur leur appareil ou réseau.
Le harponnage est une attaque d’hameçonnage qui cible une personne en particulier. Il s’agit généralement d’une personne qui dispose d’un accès privilégié à des données sensibles ou à des ressources réseau, ou d’une autorité spéciale que l’escroc peut exploiter à des fins frauduleuses ou nuisibles.
Un cybercriminel étudie la cible afin de recueillir les informations nécessaires pour se faire passer pour une personne ou une entité en qui elle aura vraiment confiance (un ami, un patron, un collègue, un vendeur ou une institution financière de confiance), ou pour se faire passer pour elle. Les réseaux sociaux, sur lesquels les gens félicitent publiquement leurs collègues, soutiennent leurs collègues et fournisseurs, et ont tendance à partager trop d’informations sur leurs réunions, leurs événements ou leurs projets de voyage, sont devenus des mines d’informations pour recueillir des données en vue d’un harponnage.
Grâce à ces informations, le cybercriminel peut envoyer un message contenant des données personnelles ou financières précises et une demande crédible à la cible, par exemple « Je sais que vous êtes en vacances ce soir, mais pouvez-vous régler cette facture (ou transférer XXX.XX USD sur ce compte) avant la fermeture des bureaux aujourd’hui ? ».
Une attaque de harponnage visant un cadre dirigeant, une personne fortunée ou toute autre cible de grande valeur est souvent qualifiée d’attaque de whaling.
La BEC est une catégorie d’attaque par harponnage dont le but est de soutirer de grosses sommes d’argent ou des informations extrêmement précieuses, comme des secrets commerciaux, des données clients ou des informations financières à des entreprises ou des institutions.
Les attaques BEC peuvent prendre différentes formes. Parmi les plus courantes, on trouve :
La fraude au PDG: l’escroc se fait passer pour le compte de messagerie d’un cadre supérieur, ou le pirate directement, et envoie un message à un employé de niveau inférieur lui demandant de transférer des fonds sur un compte frauduleux, d’effectuer un achat auprès d’un vendeur frauduleux ou d’envoyer des fichiers à une partie non autorisée.
La compromission de compte de messagerie (EAC) : l’escroc accède au compte de messagerie d’un employé de niveau inférieur (par exemple, un responsable des finances, des ventes ou de la R&D) et l’utilise pour envoyer des factures frauduleuses à des fournisseurs, demander à d’autres employés d’effectuer des paiements ou des dépôts frauduleux, ou demander l’accès à des données confidentielles.
Dans le cadre de ces attaques, les fraudeurs accèdent souvent aux comptes de messagerie de l’entreprise en envoyant à un cadre ou à un employé un message de harponnage qui l’incitera à divulguer les identifiants du compte de messagerie (nom d’utilisateur et mot de passe). Par exemple, un message comme « Votre mot de passe est sur le point d’expirer. Cliquez sur ce lien pour mettre à jour votre compte. » pourrait dissimuler un lien malveillant vers un faux site Web conçu pour dérober des informations de compte.
Quelle que soit la tactique utilisée, les attaques BEC réussies font partie des cyberattaques les plus coûteuses. Dans l’un des exemples les plus connus d’attaques BEC, en se faisant passer pour le PDG d’une entreprise, des pirates ont convaincu le service financier de cette dernière de transférer 42 millions d’euros sur un compte bancaire frauduleux.
L’hameçonnage par SMS ou smishing est un hameçonnage réalisé à l’aide de SMS sur un téléphone portable ou un smartphone. Les stratagèmes de smishing les plus efficaces sont contextuels, c’est-à-dire liés à la gestion des comptes ou des applications sur smartphone. Par exemple, les destinataires peuvent recevoir un SMS leur offrant un cadeau en guise de remerciement pour le paiement d’une facture de téléphonie sans fil ou leur demandant de mettre à jour les renseignements de leur carte de crédit afin de continuer à utiliser un service de streaming.
L’hameçonnage vocal ou vishing est un hameçonnage par appel téléphonique. Grâce à la technologie de la voix sur IP (VoIP), les escrocs peuvent passer des millions d’appels automatisés de vishing par jour. Souvent, ils usurpent l’identité de l’appelant pour faire croire que leurs appels proviennent d’organisations légitimes ou de numéros de téléphone locaux. Les appels de vishing effraient généralement les destinataires en les avertissant de problèmes de traitement des cartes de crédit, de retards de paiement ou de problèmes avec le fisc. Les personnes qui répondent finissent par fournir des données sensibles à des personnes travaillant pour les cybercriminels. Certaines vont même jusqu’à accorder le contrôle à distance de leur ordinateur aux escrocs à l’autre bout du fil.
L’hameçonnage sur les réseaux sociaux utilise les différentes capacités des plateformes de réseaux sociaux pour soutirer des informations sensibles aux membres. Les fraudeurs utilisent les fonctionnalités de messagerie des plateformes (par exemple Facebook Messenger, la messagerie LinkedIn ou InMail, les DM de Twitter) de la même manière qu’ils utilisent les e-mails et les SMS classiques. Ils envoient également aux utilisateurs des e-mails d’hameçonnage qui semblent provenir du réseau social et demandent aux destinataires de mettre à jour leurs identifiants de connexion ou leurs informations de paiement. Ces attaques peuvent être particulièrement coûteuses pour les victimes qui utilisent les mêmes identifiants de connexion sur plusieurs sites de réseaux sociaux, une pratique désastreuse trop répandue.
Application ou messagerie intégrée à l’application. Les applications d’appareils mobiles populaires et les applications Web (SaaS) envoient régulièrement des e-mails à leurs utilisateurs. Par conséquent, ces utilisateurs sont déjà vulnérables aux campagnes d’hameçonnage qui usurpent les e-mails provenant de fournisseurs d’applications ou de logiciels. Les escrocs misent encore une fois sur la quantité et usurpent généralement les e-mails provenant des applications et applications Web les plus populaires, comme PayPal, Microsoft Office 365 ou Teams, pour obtenir un maximum d’argent.
On encourage les organisations à apprendre aux utilisateurs à reconnaître les escroqueries par hameçonnage et à développer des bonnes pratiques pour traiter les e-mails et les SMS suspects. Par exemple, les utilisateurs peuvent apprendre à reconnaître ces fonctionnalités et d’autres caractéristiques des e-mails d’hameçonnage :
- Demandes d’informations sensibles ou personnelles, ou demande de mise à jour du profil ou des informations de paiement
- Demandes d’envoi ou de transfert d’argent
- Envoi de fichier(s) en pièce jointe que le destinataire n’a pas demandé ou attendu
- Un sentiment d’urgence, qu’il soit flagrant (« Votre compte sera fermé aujourd’hui… ») ou subtil (par exemple, un collègue qui demande de payer une facture immédiatement), des menaces d’emprisonnement ou d’autres conséquences irréalistes
- Menaces d’emprisonnement ou autres conséquences irréalistes
- Texte truffé de fautes d’orthographe ou de grammaire
- Adresse de l’expéditeur incohérente ou usurpée
- Liens raccourcis à l’aide de Bit.Ly ou d’un autre service de raccourcissement des liens
- Images de texte utilisées à la place du texte (dans les messages ou sur les pages Web vers lesquelles les messages redirigent)
Cette liste n’est pas exhaustive. Malheureusement, les pirates inventent constamment de nouvelles techniques d’hameçonnage pour éviter d’être détectés. Des publications telles que le rapport trimestriel sur les tendances en matière d’hameçonnage du groupe de travail Anti-Phishing Working Group (lien externe à ibm.com) peuvent aider les organisations à suivre le rythme.
Les organisations peuvent également encourager ou mettre en œuvre des bonnes pratiques pour éviter aux employés de devoir jouer les détectives. Elles peuvent, entre autres, mettre au point et communiquer des politiques de clarification. Par exemple, un supérieur ou un collègue n’enverra jamais de demande de transfert de fonds par e-mail. Elles peuvent demander aux employés de vérifier toute demande d’informations personnelles ou sensibles en contactant directement l’expéditeur ou en visitant le site légitime de l’expéditeur, en utilisant des moyens autres que ceux fournis dans le message. Elles peuvent aussi insister pour que les employés signalent les tentatives d’hameçonnage et les e-mails suspects au service informatique ou au groupe chargé de la sécurité.
Même avec la meilleure formation et les pratiques les plus rigoureuses, les utilisateurs commettent toujours des erreurs. Heureusement, plusieurs technologies établies et émergentes de sécurité des terminaux et des réseaux peuvent aider les équipes de sécurité à lutter contre l’hameçonnage là où la formation et la politique s’arrêtent.
Les filtres anti-spam et les logiciels de sécurité des e-mails utilisent des données sur les escroqueries par hameçonnage existantes et des algorithmes de machine learning pour identifier les e-mails d’hameçonnage suspects (et d’autres spams), puis les déplacer vers un dossier distinct et désactiver les liens qu’ils contiennent.
Les logiciels antivirus et de protection contre les logiciels malveillants détectent et neutralisent les fichiers ou les codes malveillants contenus dans les e-mails d’hameçonnage.
L’authentification multifacteur nécessite au moins un identifiant de connexion en plus d’un nom d’utilisateur et d’un mot de passe. Par exemple, un code à usage unique envoyé sur le téléphone portable des utilisateurs. En fournissant une dernière ligne de défense supplémentaire contre les escroqueries par hameçonnage ou d’autres attaques qui compromettent les mots de passe, l’authentification multifacteur peut nuire aux attaques de harponnage et empêcher les attaques BEC.
Les filtres Web empêchent les utilisateurs de visiter des sites Web malveillants connus (sites sur liste noire) et affichent des alertes chaque fois que des utilisateurs se rendent sur des sites Web suspects ou frauduleux.
Des solutions de cybersécurité pour les entreprises, comme l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion des informations et des événements de sécurité (SIEM), la détection et la réponse des terminaux (EDR), la détection et la réponse réseau (NDR) et la détection et la réponse étendues (XDR) combinent les fonctionnalités ci-dessus à d’autres technologies avec des renseignements sur les menaces continuellement mis à jour et des capacités de réponse automatisée aux incidents. Ces solutions peuvent aider les organisations à prévenir les escroqueries par hameçonnage avant qu’elles n’atteignent les utilisateurs et à limiter l’impact des attaques qui déjouent les défenses traditionnelles des terminaux ou des réseaux.
Identifiez les menaces avancées qui échappent aux autres solutions. QRadar SIEM tire parti de l’analyse et de l’IA pour surveiller les informations sur les menaces, les anomalies de comportement du réseau et des utilisateurs et pour hiérarchiser les domaines qui nécessitent une attention et une action immédiates.
IBM Trusteer Rapport aide les institutions financières à détecter et à prévenir les infections par logiciels malveillants et les attaques par hameçonnage en protégeant leurs clients business et de la distribution.
Sécurisez les points de terminaison contre les cyberattaques, détectez les comportements anormaux et prenez des mesures correctives en temps quasi réel grâce à une solution de détection et réponse des terminaux (EDR) aussi avancée qu’intuitive.
Découvrez l’actualité, les tendances et les techniques de prévention en matière d’hameçonnage sur Security Intelligence, le blog de leadership éclairé hébergé par IBM Security.
Le ransomware est une forme de logiciel malveillant qui menace de détruire ou de retenir les données ou les fichiers de la victime, sauf si une rançon est versée au pirate pour déchiffrer et restaurer l’accès aux données.
Ce rapport, qui en est à sa 17e édition, présente les dernières informations sur l’évolution des menaces et propose des recommandations pour gagner du temps et limiter les pertes.