Pourquoi le phishing fonctionne et comment se protéger ?

Le VPN, un outil de sécurité indispensable pour les utilisateurs aux données sensibles
juillet 2, 2020
Qu’est-ce qu’un partenaire Youtube ?
juillet 2, 2020

Les attaques par hameçonnage sont de loin les cyber-crimes les plus courantes du XXIe siècle. Les entreprises et organisations dont les clients sont victimes d’attaques de phishing apparaissent constamment dans les médias. Chaque jour, les escroqueries de phishing sont de plus en plus élaborées. Si les courriers indésirables ne sont qu’une distraction ennuyeuse, le phishing entraîne régulièrement des pertes financières. Mais si le danger est si réel, pourquoi les gens n’apprennent-ils pas à s’en protéger ?

Pourquoi le phishing fonctionne ?

Il existe de nombreuses façons d’exploiter la confiance des utilisateurs

Le phishing fonctionne pour plusieurs raisons. Cela commence par la capacité des arnaqueurs à tromper les victimes et à les attirer dans le piège avec leurs ruses. Par exemple, avec une offre de choses gratuites. Il n’est pas nécessaire de mentionner qu’il s’agit d’un moyen très efficace, car presque personne ne refuse quelque chose de gratuit. Les escrocs peuvent également profiter du battage médiatique autour de certains sujets ou événements. Un bon exemple de cela est la fraude entourant la Coupe du monde. Il y a quelques années, par exemple, un site de phishing a imité le site officiel de la FIFA et a appelé à la signature d’une pétition en faveur de Luis Albert Suarez, l’attaquant uruguayen. Pour ce faire, les signataires ont dû remplir un formulaire en ligne qui demandait le nom, le pays, le numéro de téléphone portable et l’adresse e-mail.

La gratuité est le meilleur moyen de retrouver les victimes.

Un autre site d’escroquerie offrait une prétendue possibilité d’acheter des billets électroniques pour la Coupe du monde, mais lorsque le lien a été cliqué, un cheval de Troie a atterri sur l’ordinateur en recueillant des informations personnelles et financières confidentielles

Pour atteindre tous ceux qui ont appris dans leur enfance à ne pas faire confiance à toutes les promesses faites par des inconnus, les hameçonneurs utilisent une tactique différente et efficace avec une portée assez importante, provenant des profils des amis de la victime sur les réseaux sociaux. Sur les plus de 600 millions de tentatives d’accès à une page de phishing, 22 % étaient liées à de fausses pages Facebook.

Une autre méthode très efficace pour inciter les utilisateurs à cliquer sur des liens de phishing consiste à simuler l’urgence et à créer la panique. Par exemple, certains fraudeurs menacent de bloquer le profil d’utilisateur de la victime ou même son compte bancaire. Pour intensifier l’attaque, certains criminels utilisent le « Vishing » (« Voice Phishing », dans lequel la victime est appelée). Tout le monde n’est pas aussi calme dans une situation aussi « critique » et refuse la demande d’un « employé de sécurité » particulièrement déterminé et ne lui donne pas les détails de sa carte de crédit pour échapper au blocus menacé.

Une des principales raisons du succès du phishing est le développement technique continu des outils de phishing, qui deviennent de plus en plus sophistiqués et perfectionnés. Les sites web de phishing peuvent difficilement être distingués visuellement des sites légitimes ; en outre, beaucoup d’entre eux ont des noms de domaine assez convaincants et certains utilisent même une connexion HTTPS sécurisée avec de vrais certificats. Le phishing mobile est également de plus en plus populaire : en raison des caractéristiques techniques des smartphones et des tablettes (comme l’écran plus petit), il est encore plus difficile de distinguer un site de phishing d’un site réel.

Vous devez garder à l’esprit qu’un cybercriminel ne doit pas nécessairement s’introduire dans l’ordinateur pour effectuer une attaque de phishing. C’est la raison pour laquelle aucune plateforme existante ne peut vous protéger complètement contre le phishing. Le phishing est une menace vraiment universelle.

Le phishing est extrêmement rentable pour les cybercriminels

Le phishing sera très populaire auprès des cybercriminels pendant longtemps encore, car il est très rentable pour les gangsters. De plus, les outils de phishing sont faciles à obtenir et ont une portée énorme, grâce aux réseaux sociaux populaires (600 millions de visites, vous vous souvenez ?). Un criminel n’a pas non plus à faire de gros efforts, puisque la majorité des actions de phishing sont automatisées. Cela peut donner à un cybercriminel un assez bon salaire. Comme les hameçonneurs recherchent surtout des données financières, ils n’ont pas besoin de plans élaborés pour transformer leur butin en argent.

De plus, le phishing est souvent utilisé avec d’autres méthodes criminelles, de sorte que des synergies assez efficaces sont créées pour les escrocs. Par exemple, vous recevez un courriel de phishing par le biais d’un spam, et une fois que le criminel est en possession de tous vos contacts électroniques, le courriel de phishing lui est également transmis. Si vous constituez une vaste base de données de contacts actifs, les pirates peuvent envoyer des quantités massives de logiciels malveillants et utiliser le botnet à leurs propres fins.

Le hameçonnage est souvent utilisé conjointement avec d’autres méthodes criminelles, créant de puissantes synergies pour les escrocs.

Ne soyez donc pas si sûr que les fraudeurs ne s’en prennent qu’à votre carte de crédit et à votre accès aux services bancaires en ligne. De nombreux hameçonneurs seront heureux de vous fournir des données d’accès à votre service de messagerie électronique ou aux réseaux sociaux que vous utilisez.

Comment pouvez-vous vous protéger ?

Quels sont les conseils pour vous protéger contre le phishing ? Le plus important est de faire preuve de bon sens. Restez calme et ne tombez pas dans le piège des provocations des hameçonneurs utilisés à la fois dans les escroqueries en ligne et dans le vishing.

Vérifiez très attentivement les liens et les sites web vers lesquels ils mènent. Si vous recevez un lien suspect d’un ami ou d’un collègue, vous devez vous assurer qu’il provient bien de lui avant de cliquer dessus. Et si vous êtes confronté à une attaque vishing, rappelez-vous qu’un vrai employé de banque ne voudra jamais connaître les détails de votre carte de crédit.

La meilleure chose à faire est de ne jamais passer par les liens des pages web, mais de saisir l’adresse manuellement dans le navigateur. Et en fait, il ne devrait pas être nécessaire de le mentionner, mais utiliser uniquement des appareils et des réseaux protégés pour accéder à l’internet. N’oubliez pas de mettre à jour régulièrement votre programme antivirus, surtout s’il est doté de fonctions anti-phishing. Par exemple, Kaspersky Internet Security comprend un module anti-phishing qui compare les pages web avec une liste de sites d’escroquerie connus et peut également détecter des sites potentiellement dangereux sur la base de plus de 200 critères.