Les attaques par hameçonnage sont des courriers électroniques, des messages textuels, des appels téléphoniques ou des sites Web frauduleux destinés à manipuler des personnes, afin qu'elles téléchargent des logiciels malveillants, communiquent des informations sensibles (numéros de sécurité sociale et de carte de crédit, numéros de compte bancaire, informations de connexion, etc.) ou exécutent d'autres actions qui les exposent elles-mêmes ou leurs organisations à la cybercriminalité.
Les attaques par hameçonnage ont généralement pour objectif de voler des identités, d'utiliser de manière frauduleuse des cartes de crédit, d'exécuter des ransomwares, et d'attenter à la protection des données, et s'accompagnent d'énormes pertes financières pour les particuliers et les entreprises.
L'hameçonnage est la forme la plus courante d'ingénierie sociale, une pratique qui consiste à tromper des personnes, à les manipuler ou à exercer des pressions sur elles pour les amener à envoyer des informations ou des actifs à des personnes qui se font passer pour d'autres. Les attaques d'ingénierie sociale reposent sur l'erreur humaine et des tactiques de pression pour aboutir. L'attaquant se fait généralement passer pour une personne ou une organisation de cconfiance, par exemple, un collègue, un patron, une entreprise avec laquelle la victime ou son employeur est en relation, et crée un sentiment d'urgence qui amène la victime à agir de manière irréfléchie. Les pirates utilisent ces tactiques, car il est plus facile et moins coûteux de tromper les gens que de pirater un ordinateur ou un réseau.
Selon le FBI, les courriers électroniques d'hameçonnage sont la méthode (ou le vecteur) d'attaque la plus courante utilisée par les pirates pour transmettre des ransomwares aux personnes et aux organisations. En outre, selon le rapport Cost of a Data Breach Report de 2021 d'IBM, l'hameçonnage est la quatrième cause la plus courante et la deuxième cause la plus coûteuse des atteintes à la protection des données qui s'élèvent en moyenne chacune à 4,65 millions USD.
L'hameçonnage par l'envoi de courrier électronique en masse est le type d'attaque par hameçonnage le plus courant. Un escroc crée un message électronique qui semble provenir d'une entreprise ou d'une organisation légitime importante et bien connue (une banque nationale ou mondiale, une grande enseignante, fabricants d'un logiciel ou d'une application couramment utilisée) et envoie le message à des millions de destinataires. L'hameçonnage par envoi massif de courriers électroniques est une question de nombre : plus l'expéditeur dont le nom est usurpé est important ou connu, plus le nombre de destinataires (clients, abonnés ou membres) susceptibles d'être touchés est élevé.
Le courrier électronique d'hameçonnage aborde un sujet que l'expéditeur pourrait traiter de manière crédible, et qui fait appel à des sentiments profonds, tels que la peur, la cupidité, la curiosité ou l'urgence, pour attirer l'attention du destinataire. Les lignes d'objet typiques comprennent « Veuillez mettre à jour votre profil d'utilisateur », « Problème lié à votre commande », « Vos documents de clôture sont prêts à être signés », « Votre facture est jointe ».
Le corps du courrier électronique demande au destinataire d'effectuer une action qui semble parfaitement raisonnable et conforme à l'objet, mais qui l'amènera à divulguer des informations sensibles (numéros de sécurité sociale, numéros de compte bancaire, numéros de carte de crédit, informations de connexion) ou à télécharger un fichier qui infecte l'appareil ou le réseau du destinataire. Par exemple, les destinataires peuvent être invités à cliquer sur un lien pour mettre à jour leur profil, mais le lien les dirige vers un faux site Web, où ils saisissent leurs informations de connexion et mettent à jour volontiers leur profil. Ou bien, l'expéditeur peut leur demander d'ouvrir une pièce jointe qui semble légitime (par exemple, « facture20.xlsx »), mais qui diffuse un logiciel du code malveillant sur l'appareil ou dans le réseau.
L'hameçonnage ciblé est une attaque par hameçonnage qui cible une personne spécifique, généralement une personne qui dispose d'un accès privilégié à des données sensibles ou à des ressources réseau, ou une autorité spéciale que l'escroc peut exploiter à des fins frauduleuses ou néfastes.
Un escroc qui recourt à l'hameçonnage ciblé étudie la cible, afin de recueillir les informations nécessaires pour se faire passer pour une personne ou une entité en qui la cible a vraiment confiance (un ami, un patron, un collègue, un fournisseur de confiance ou une institution financière) ou pour se faire passer pour la personne cible. Les médias sociaux et les réseaux sociaux, où les utilisateurs félicitent publiquement leurs collègues, approuvent des collègues et des fournisseurs, et ont tendance à trop parler de de réunions, d'événements ou de projets de voyage, sont devenus de riches sources d'informations pour la recherche d'informations pour l'hameçonnage ciblé.
Armé de ces informations, l'escroc qui utilise l'hameçonnage ciblé peut envoyer un message contenant des informations personnelles ou financières spécifiques et une demande crédible à la cible, telle que « Je sais que vous partez ce soir en vacances. Pourriez-vous payer cette facture (ou transférer XXX.XX USD vers ce compte, s'il vous plaît) avant la fin de journée ? »
Certains courriers électroniques d'hameçonnage ciblé tentent de recueillir davanate d'informations encore pour préparer une attaque à plus grande échelle. Par exemple, un message d'hameçonnage ciblé peut demander à un PDG de mettre à jour les informations d'identification de son compte de messagerie perdues pendant une brève panne, et fournir un lien vers un faux site Web pour voler ces informations d'identification. En récupérant ces informations d'identification, l'attaquant dispose d'un accès complet à la boîte aux lettres du PDG, où il peut analyser les messages électroniques du PDG pour trouver encore plus d'informations, et envoyer un message frauduleux convaincant directement à partir du compte électronique du PDG en utilisant l'adresse électronique réelle de ce dernier.
Il s'agit d'un exemple de compromission de messagerie professionnelle (BEC), un type particulièrement dangereux d'attaque par hameçonnage ciblé dont l'objectif est d'inciter des employés d'une entreprise à envoyer d'importantes sommes d'argent ou des actifs de valeur à un attaquant. Les courriers électroniques BEC sont envoyés ou semblent être envoyés à partir des comptes de messagerie des membres les plus haut placés de l'entreprise, ou des partenaires de l'entreprise, tels que des avocats, des partenaires commerciaux clés ou des fournisseurs importants, et contiennent suffisamment de détails pour sembler très crédibles.
L'hameçonnage ciblé n'est pas la seule tactique pour obtenir les informations nécessaires à l'organisation d'une attaque BEC. Les pirates peuvent également déployer des logiciels malveillants ou exploiter les vulnérabilités du système pour accéder aux données des comptes de messagerie. S'ils ne parviennent pas à accéder aux données des comptes, les pirates peuvent également essayer d'usurper l'adresse de l'expéditeur, c'est-à-dire utiliser une adresse électronique si semblable à l'adresse réelle de l'expéditeur que le destinataire ne remarque pas la différence.
Quelle que soit la tactique, les attaques BEC figurent parmi les cyberattaques les plus coûteuses. Dans l'un des exemples d'attaque BEC les plus connus, des pirates se faisant passer pour un PDG ont convaincu le service financier de son entreprise de transférer près de 50 millions d'euros vers un compte bancaire frauduleux.
L'hameçonnage par SMS (smishing) s'effectue en envoyant des SMS sur des appareils mobiles ou des smartphones. Les schémas de smishing les plus efficaces sont contextuels, c'est-à-dire liés à la gestion des comptes ou aux applications des smartphones. Par exemple, les destinataires peuvent recevoir un SMS leur offrant un cadeau en guise de remerciement pour avoir payé une facture de téléphonie mobile, ou leur demandant de mettre à jour les informations de leur carte de crédit, afin de continuer à utiliser un service de streaming.
L'hameçonnage vocal (vishing) est l'hameçonnage par téléphone. Grâce à la technologie Voice over IP (VoIP), les escrocs peuvent passer des millions d'appels automatiques par jour. Ils ursupent généralement l'identité de l'appelant pour faire croire que leurs appels proviennent d'organisations légitimes ou de numéros de téléphone locaux. Les appels d'hameçonnage effraient généralement les destinataires en les avertissant de problèmes de traitement de cartes de crédit, de paiements en retard ou de problèmes avec le fisc. Les appelants qui répondent finissent par fournir des données sensibles à des personnes travaillant pour les escrocs et même, parfois, par autoriser le contrôle à distance de leur ordinateur aux escrocs à leur correspondant.
hameçonnage sur les réseaux sociaux emploie diverses fonctions d'une plateforme de média social pour récupérer des informations sensibles des membres. Les escrocs utilisent les fonctionnalités de messagerie des plateformes (par exemple, Facebook Messenger, la messagerie LinkedIn ou InMail, les messages directs de Twitter) de la même manière qu'ils utilisent les courriers électroniques et SMS standard. Ils envoient également aux utilisateurs des courriers électroniques d'hameçonnage qui semblent provenir du site du réseau social, demandant aux destinataires de mettre à jour leurs informations de connexion ou de paiement. Ces attaques peuvent être particulièrement coûteuses pour les victimes qui utilisent les mêmes informations de connexion sur plusieurs sites de média social, une « pire pratique » bien trop courante.
Application ou messagerie intégrée l'application . Les applications pour smartphones et les applications Web (software-as-a-service, ou SaaS) couramment utilisées envoient régulièrement des courriers électroniques à leurs utilisateurs. Par conséquent, ces utilisateurs sont très exposés aux campagnes d'hameçonnage qui usurpent les courriers électroniques des fournisseurs d'applications ou de logiciels. Là encore, jouant sur le nombre, les escrocs usurpent généralement les courriers électroniques des applications Web les plus courantes, comme PayPal, Microsoft Office 365 ou Teams, afin de rentabiliser au maximum leurs opérations d'hameçonnage.
Les organisations sont encouragées à apprendre aux utilisateurs à identifier les escroqueries par hameçonnage et à élaborer des pratiques exemplaires pour traiter les courriers électroniques ou les SMS suspects. Par exemple, les utilisateurs peuvent être formés à identifier ces menaces et d'autres caractéristiques des courriers électroniques d'hameçonnage :
- Demandes d'informations sensibles ou personnelles, ou de mise à jour des informations de profil ou de paiement
- Demandes d'envoi ou de transfert d'argent
- Fichiers en pièce jointes que le destinataire n'a pas demandés ou n'attend pas
- Sentiment d'urgence, qu'il soit flagrant (« Votre compte sera fermé aujourd'hui...») ou subtil (par exemple, la demande d'un collègue de payer une facture immédiatement)
- Menaces d'emprisonnement ou autres conséquences irréalistes
- Fautes d'orthographe ou de grammaire
- Adresse d'expéditeur incohérente ou usurpée
- Liens raccourcis à l'aide de BitLy ou un autre service de raccourcissement de lien
- Images de texte utilisées à la place du texte (dans les messages, ou sur les pages Web auxquelles renvoient les messages)
Cette liste n'est pas exhaustive, malheureusement, car les pirates conçoivent toujours de nouvelles techniques d'hameçonnage pour être encore moins détectés. Des publications telles que le rapport trimestriel d'activité sur les tendances du hameçonnage (Phishing Trends Activity Report) de l'Anti-Phishing Working Group (lien externe à ibm.com) peuvent aider les organisations à se maintenir informées.
Les organisations peuvent également encourager ou appliquer les meilleures pratiques qui mettent moins de pression sur les employés pour qu'ils deviennent des détectives de l'hameçonnage. Par exemple, les organisations peuvent établir et communiquer des politiques de clarification : par exemple, un supérieur ou un collègue n'enverra jamais par courrier électronique une demande de transfert de fonds. Elles peuvent exiger des employés qu'ils vérifient toutes les demandes d'informations personnelles ou sensibles en contactant l'expéditeur ou en visitant directement le site légitime de ce dernier, en utilisant d'autres moyens que ceux fournis dans le message. Elles peuvent également demander que les employés signalent les tentatives d'hameçonnage et les courriers électroniques suspects au services informatique ou à l'équipe chargée de la sécurité.
Malgré la meilleure formation des utilisateurs et l'application de meilleures pratiques rigoureuses, les utilisateurs commettent toujours des erreurs. Cependant, plusieurs technologies de sécurité des points de terminaison et des réseaux, établies et émergentes, peuvent aider les équipes de sécurité à lutter contre l'hameçonnage là où la formation et la politique s'arrêtent.
- Les filtres de courriers indésirables combinent des données sur les escroqueries par hameçonnage existantes et des algorithmes d'apprentissage automatique pour identifier les courriers électroniques d'hameçonnage présumés (et autres courriers indésirables) et les placer dans un dossier séparé et désactiver tous les liens qu'ils contiennent.
- Les logiciel antivirus et de lutte contre les programmes malveillants détectent et neutralisent les fichiers ou le code malveillants dans les courriers électroniques d'hameçonnage.
- L'authentification multifacteur requiert au moins un identifiant de connexion en plus d'un nom d'utilisateur et d'un mot de passe, par exemple, un code à usage unique envoyé sur le téléphone portable de l'utilisateur. En fournissant une dernière ligne de défense supplémentaire contre les escroqueries par hameçonnage ou d'autres attaques qui compromettent les mots de passe, l'authentification multifacteur peut contrecarrer les attaques par hameçonnage ciblé ou éviter les attaques BEC.
- Les filtres Web empêchent les utilisateurs de visiter les sites Web malveillants connus (sites figurant sur liste noire) et affichent des alertes lorsque les utilisateurs accèdent à des sites Web suspectés d'être malveillants ou faux.
Les plateformes de cybersécurité centralisées (par exemple, gestion des informations et des événements de sécurité (SIEM), détection et réponse aux points de terminaison (EDR), détection et réponse aux réseaux (NDR) et détection et réponse étendues (XDR)) combinent ces technologies et d'autres avec le renseignement sur les menaces continuellement mis à jour et des fonctionnalités de réponse automatisée aux incidents qui peuvent aider les organisations à prévenir les escroqueries par hameçonnage avant qu'elles n'atteignent les utilisateurs, et à limiter l'impact des attaques par hameçonnage qui passent les défenses les points de terminaison ou des réseaux.
Première solution complète de détection et de réponse étendue (XDR) du secteur, qui repose sur des normes ouvertes et l'automatisation. XDR Connect offre une visibilité approfondie, une automatisation et un aperçu contextuel des points de terminaison, du réseau, du cloud et des applications.
Les solutions IBM Incident Response permettent aux équipes de sécurité de gérer et de réagir de manière proactive à l'hameçonnage et à d'autres menaces grâce à une orchestration intelligente, une gamme complète de services et les outils, l'expertise et le personnel d'IBM Security X-Force.
Protégez vos employés contre les attaques par hameçonnage qui peuvent compromettre la sécurité de votre organisation.
Protégez les données sensibles de votre organisation avec les solutions de sécurité IBM contre les ransomewares qui peuvent la prendre en otage.
Protégez chaque utilisateur, chaque appareil et chaque connexion, chaque fois, avec les solutions IBM de sécurité Zero Trust.
Protégez les données de l'entreprise dans plusieurs environnements, respectez les réglementations de confidentialité et simplifiez la complexité opérationnelle grâce aux solutions de sécurité des données.
IBM Trusteer Rapport aide les institutions financières à détecter et à prévenir les infections par logiciel malveillant et les attaques par hameçonnage, en protégeant ses clients, particuliers ou professionnels.
L'orchestration intelligente renforce la réponse aux incidents en définissant des processus reproductibles, en fournissant des outils aux analystes qualifiés et en exploitant des technologies intégrées.
Découvrez comment protéger votre organisation contre les menaces malveillantes ou involontaires provenant d'utilisateurs internes ayant accès à votre réseau.
Maîtrisez votre environnement de cybersécurité et priorisez les initiatives avec les architectes et consultants seniors en sécurité d'IBM dans le cadre d'une session gratuite de design thinking de 3 heures, virtuelle ou en personne.
Les cyberattaques sont des tentatives de vol, d'exposition, de modification, de désactivation ou de destruction d'informations en accédant sans autorisation aux systèmes informatiques.
Un ransomware est une forme de logiciel malveillant qui menace de détruire ou de retenir des données ou des fichiers d'une victime, à moins qu'une rançon soit versée à l'attaquant pour qu'il déchiffre les données et restaure l'accès à ces dernières.
Les menaces d'initiés proviennent d'utilisateurs qui ont un accès autorisé et légitime aux actifs d'une entreprise et qui en abusent, délibérément ou accidentellement.
La réponse aux incidents est la réaction systématique d'une organisation à une tentative de violation de la sécurité de l'information.
La technologie et les meilleures pratiques de cybersécurité protègent les systèmes critiques et les informations sensibles contre un volume toujours croissant de menaces en constante évolution.