Le phishing, ou le hameçonnage, reste l’attaque cybercriminelle la plus populaire des pirates informatiques en raison de sa facilité de mise en œuvre. Le principe est très simple : le pirate crée une page où il est demandé de saisir un certain nombre d’informations sensibles (exemples : mot de passe de vos réseaux sociaux, numéro de carte de crédit, etc), et l’envoie à ses victimes potentielles. Si elles tombent dans le piège, celles-ci verront leurs identifiants et autres données personnelles subtilisés et utilisés à des fins malveillantes. Check Point Softwares Technologies, une société de cybersécurité, a publié une étude sur le sujet. Le point avec EPSI !
Pour attirer les internautes dans leurs filets, les amateurs de phishing créent des pages à l’apparence très crédible et dont la nature malveillante est difficile à identifier. Selon Check Point Softwares Technologies, la plupart d’entre elles ressemblent à des pages de marques connues. Ainsi, le classement des entreprises les plus imitées dans les tentatives de phishing en 2019 regroupe les sites suivants :
Dans son rapport, Check Point Software Technologie n’a pas manqué de souligner que le classement des pages les plus contrefaites variait en fonction du support mobilisé par les hackers. Voici le détail de ce classement pour les terminaux mobiles :
Pour les Emails :
En enfin, sur le web :
Reste à savoir que c’est sur le web que le plus grand nombre de tentatives de phishing est enregistré (48 %), suivi par les emails (27 %) et le mobile (25 %).
Commentant la multiplicité des supports mobilisés pour des attaques phishing, Maya Horowitz, Directrice de Threat Intelligence & Cyber Research a indiqué que « les cybercriminels utilisent différents vecteurs d’attaque pour tromper leurs victimes et les amener à divulguer des informations personnelles et des identifiants de connexion, ou à transférer de l’argent. Bien que cela se fasse souvent à l’aide d’emails non sollicités, nous avons également vu des pirates obtenir des identifiants de comptes de messagerie, étudier leur victime pendant des semaines et élaborer une attaque ciblée contre des partenaires et des clients pour voler de l’argent ».
Bien qu’il convienne de toujours faire preuve de prudence, il existe des moyens d’éviter les attaques de phishing. En voici quelques-uns :
Évitez de cliquer sur des liens inconnus contenus dans un courriel ou un message que vous recevez. Si vous êtes curieux de savoir de quoi il s’agit, rendez-vous directement sur le site web de l’organisme qui vous l’envoie.
Pour protéger leurs utilisateurs, les navigateurs web mettent en œuvre des fonctions de filtrage anti-spam qui peuvent empêcher les tentatives d’espionnage. Bien que ces fonctions soient loin d’être parfaites, elles peuvent servir de bouclier initial contre les cyberattaques.
Lorsque vous surfez sur le web, évitez les sites qui ne disposent pas d’un certificat de sécurité, qui est généralement marqué du signe https, précédé d’un cadenas fermé. De même, n’effectuez jamais de transactions financières (achats, virements, transferts d’argent, etc.) lorsque vous êtes connecté à un réseau WiFi public. Dans ce cas précis, il est recommandé d’utiliser plutôt votre connexion 4G ou LTE. N’oubliez pas que sur Internet, la sécurité doit toujours primer sur la commodité.
La protection contre les cyberattaques de type phishing est un enjeu sécuritaire majeur à l’heure où les internautes sont souvent amenés à saisir certaines de leurs données personnelles sur Internet pour diverses raisons (enregistrement, achat, transfert, etc.). On peut en déduire l’importance pour les entreprises de recruter des cadres capables de développer et de mettre en œuvre des stratégies de sécurité informatique performantes. Si vous souhaitez participer à ce défi, nous vous recommandons les formations proposées par EPSI.