Je suis le phisher résident de White Ops. En tant que membre de l’équipe d’InfoSecurity, c’est mon travail de m’assurer que tout ce que nous faisons est sécurisé et exempt de cybercriminels afin que nous puissions nous battre pour vous. Pour ce faire, je déploie de fausses tentatives de phishing sur les propres humains de White Ops, non pas pour leur faire honte lorsqu’ils cliquent sur un lien (bien qu’ils se désolent parfois par frustration), mais pour montrer à quel point une tentative de phishing peut apparaître réaliste — humaine, même —. Bien que nous devions rester particulièrement vigilants compte tenu de notre ligne de travail, le phishing peut cibler n’importe qui. Le phishing est une attaque d’ingénierie sociale à faible risque et à forte récompense qui utilise la communication électronique pour exploiter un utilisateur final en lui fournissant des informations personnelles ou en cliquant sur des liens malveillants.
Sans savoir comment repérer les tentatives d’hameçonnage, vous pouvez vous ouvrir à toutes sortes de logiciels malveillants et de comportements frauduleux. D’autant plus que le phishing a parcouru un long chemin depuis les tristement célèbres escroqueries de prince étranger. Les cybercriminels ont fait évoluer leurs tactiques, ce qui rend encore plus difficile la capture d’un hameçonnage.
Existe-t-il différents types d’hameçonnage?
Le phishing n’est pas seulement un type d’attaque, c’est une catégorie d’attaques. Il existe des attaques de harponnage, de smishing, de vishing et de chasse à la baleine:
Le harponnage est un hameçonnage ciblé qui vise généralement un utilisateur ou une organisation spécifique. Pour ce faire, les fraudeurs utilisent des informations personnelles détectables en ligne pour vous contacter. Ces informations peuvent être trouvées sur des zones d’Internet librement accessibles, telles que les médias sociaux. Ceux-ci prennent généralement la forme d’e-mails, tels que la figure 1. Vous pouvez voir que l’e-mail est vague et urgent pour inciter quelqu’un à cliquer.
Figure 1: Exemple d’e-mail de spear phishing
Le smishing est un hameçonnage par SMS qui vous demande généralement de faire quelque chose, par exemple de fournir des informations personnelles ou de cliquer sur un lien. Ce phish est particulièrement trompeur car les gens sont plus susceptibles de faire confiance à un message texte par rapport à un e-mail. Dans la figure 2, vous pouvez voir à quel point un texte peut être inoffensif. Habituellement, une attaque smishing aura une demande très large pour vous demander de télécharger une application malveillante ou d’accéder à un faux site Web où vous devez entrer des données PII (informations personnelles identifiables).
Figure 2: Un exemple de smishing
Vishing est un hameçonnage qui a lieu par téléphone lorsque les fraudeurs vous demandent de fournir une sorte de renseignements personnels. La montée en puissance de la technologie VOIP a facilité la tâche des adversaires pour usurper les identifiants de l’appelant. Nous voyons souvent cette attaque où les fraudeurs prétendent être l’IRS en disant que vous leur devez de l’argent ou que vous irez en prison. Ils le font pour obtenir des numéros de sécurité sociale ou l’une de vos données PII.
La chasse à la baleine est un type d’attaque par hameçonnage à la lance qui se concentre davantage sur des cibles de haut niveau. Avec d’autres types d’hameçonnage, la cible est un groupe de personnes – il ne s’agit pas de chaque individu. La chasse à la baleine double les personnes spécifiques et les cible. C’est ce qu’on appelle la chasse à la baleine parce qu’ils s’en prennent à des cibles plus importantes comme des cadres de haut niveau. En règle générale, les fraudeurs font semblant d’être un cadre supérieur pour amener les gens à divulguer des informations sensibles sur l’entreprise. Par exemple, ils cibleront un vice-président en se faisant passer pour le PDG. La figure 3 montre une tentative de chasse à la baleine dirigée contre un employé de White Ops. Le phish utilise l’urgence à la fois dans la langue et en le faisant paraître provenir du PDG de White Ops & Co-fondateur, Tamer Hassan. Les caractéristiques supplémentaires incluent la grammaire bancale, les lettres errantes et la majuscule incorrecte de « iPhone. »C’est un hameçonnage assez évident pour nous puisque Tamer ne demanderait pas aux gens de faire des « courses » pour lui.
Figure 3: Exemple de tentative de chasse à la baleine reçue par un employé de White Ops.
À quoi dois-je faire attention?
Heureusement, une fois que vous avez appris les caractéristiques des tentatives d’hameçonnage, elles deviennent plus faciles à repérer et à signaler. Il y a plusieurs éléments que vous devez vérifier avant de cliquer sur des liens:
- Adresses e-mail suspectes : Si vous receviez un e-mail de Linkedin, vous vous attendez à ce qu’il provienne d’un linkedin.com domaine non [email protected] . Vérifiez toujours l’e-mail « répondre à » pour trouver les expéditeurs usurpés.
- Liens suspects dans l’e-mail / SMS: Vous pouvez déterminer la légitimité du lien en le survolant avant de cliquer. Lors de l’analyse de l’URL, vérifiez qu’elle commence par un https:// et non http://. Vous pouvez également vérifier le certificat du site pour voir à qui il est délivré. Un lien frauduleux ressemble généralement à des erreurs grammaticales XYZ
- : Vérifiez toujours les erreurs grammaticales, pas seulement les fautes d’orthographe.
- Inutilement urgent: Les hameçonneurs adorent vous demander de faire quelque chose maintenant ou autrement. Que ce soit en cliquant sur un lien ou en répondant à un e-mail, ils veulent que vous agissiez dès que possible. Ils le font pour essayer de vous effrayer ou de vous menacer, par exemple en fermant un compte ou en confirmant une activité.
- Salutations génériques: L’e-mail peut commencer par Cher Monsieur ou Madame ou Cher Utilisateur, ce qui n’est pas la façon dont les gens se parlent normalement lorsqu’ils écrivent des e-mails. Il n’est généralement pas personnalisé à moins qu’il ne s’agisse de spear phishing.
- Des offres trop belles pour être vraies : c’est parce qu’elles le sont ! Ne répondez pas et ne cliquez sur aucun lien dans ces e-mails.
Comment puis-je me protéger?
Il est possible d’être proactif dans la protection de vos informations contre les attaques de phishing.
- Gardez un œil sur l’actualité : de nouvelles formes de phishing évoluent chaque jour et les attaques majeures seront généralement couvertes. Si vous savez à quoi faire attention, il peut être plus facile de repérer ces types d’attaques. Si vous ne savez pas s’il s’agit d’un hameçonnage, copiez un texte du corps de l’e-mail et collez-le dans une recherche pour voir s’il s’agit d’un e-mail d’hameçonnage connu.
- Mettez à jour régulièrement votre système d’exploitation : Les attaquants tentent de tirer parti des vulnérabilités connues des systèmes, il est donc dans votre intérêt de rester au courant des dernières mises à jour de sécurité sur tous vos appareils. La meilleure solution consiste à activer les mises à jour automatiques sur tous vos appareils pour vous assurer d’être sur le système d’exploitation le plus récent et le plus performant. Assurez-vous également que votre navigateur de choix se met automatiquement à jour.
- N’ouvrez pas de pièces jointes ou de liens: Ceci est particulièrement important lorsque vous recevez un e-mail d’un expéditeur inconnu. Si vous ne connaissez pas l’expéditeur, n’ouvrez pas la pièce jointe. Les exemples peuvent inclure des pièces jointes PDF .Excel, Word ou Powerpoint. Assurez-vous également de survoler le lien et de déterminer la légitimité du lien avant de cliquer.
- Activer les pare-feu : Activez le pare-feu sur votre appareil et votre réseau pour vous assurer de filtrer les attaquants extérieurs.
- Évitez de répondre à des appels inconnus: Il est recommandé de ne pas répondre à un appel provenant d’un identifiant d’appelant inconnu. Ne donnez jamais d’informations personnelles par téléphone, surtout si elles semblent irréalistes.
- Sauvegardez régulièrement vos appareils: Dans le cas où votre appareil est compromis, il est recommandé de restaurer à partir d’une bonne sauvegarde connue.
- Contactez l’expéditeur réel: Si vous avez reçu un e-mail suspect d’un ami proche, d’un parent ou d’une entreprise, contactez-le pour voir si le message était destiné à être envoyé. Vous leur faites peut-être une faveur en montrant comment ils pourraient être potentiellement compromis.
J’ai craqué pour un hameçonnage, que dois-je faire maintenant?
Pas de panique ! Si vous pensez que vos informations d’identification ont été compromises, alertez votre équipe de direction ou de sécurité dès que possible, puis rendez-vous sur les sites sur lesquels vous utilisez ces informations d’identification et modifiez-les. De plus, activez 2FA (Authentification à deux facteurs) si vous ne l’avez pas déjà fait. Utilisez un gestionnaire de mots de passe et assurez-vous d’avoir des mots de passe uniques sur chaque site que vous utilisez, et activez 2FA sur n’importe quel site qui le propose, vous devez également vérifier tous vos comptes en ligne pour voir s’il y a une activité inhabituelle qui leur est associée.
Si ces informations d’identification sont utilisées pour une institution financière, je les contacterais immédiatement pour leur expliquer la situation. Envisagez de geler votre crédit si vous craignez que l’attaque n’ait entraîné l’accès à vos informations de sécurité sociale. Utilisez-le comme une opportunité d’apprentissage et enseignez à votre famille et à vos amis ce qu’il faut surveiller pour qu’ils ne tombent pas dans la même attaque. Si vous cliquez sur un lien et que vous pensez que votre appareil est infecté par un logiciel malveillant, restaurez à partir d’une bonne sauvegarde connue ou restaurez l’appareil en usine.
Même lorsque quelqu’un fait de son mieux pour être en sécurité en ligne, il peut toujours être pris dans un filet de hameçonnage (jeu de mots). Tant que vous suivez ces étapes, vous serez mieux la prochaine fois qu’un fraudeur essaiera de vous embêter.