Les 5 techniques de phishing les plus courantes

//Les 5 techniques de phishing les plus courantes

Les 5 techniques de phishing les plus courantes

L’ère des attaques ciblées est en marche

Le spam est aujourd’hui plus une nuisance qu’une réelle menace. En effet, les tentatives de vendre du vi@gra ou encore de recevoir l’héritage du riche prince nigérian ne font plus beaucoup de victimes. La majorité des antispam bloquent ces emails et l’unique façon de les voir consiste à consulter votre dossier « spam ». Toutefois, une menace bien plus sophistiquée et dangereuse atterrit dans votre boîte de réception. Vous ciblant vous et vos employés.

Connu sous le nom de « phishing » ou « hameçonnage », ces emails cherchent à piéger vos employés. Comment ? Simplement en leur demandant d’effectuer une action. Dans la vie, il y a deux façons d’obtenir ce que l’on veut : soit le demander gentiment, soit être la bonne personne (et avoir l’autorité qui convient). Le phishing, et son cousin le spear phishing, rassemble ces deux conditions à lui seul ! Le principe du phishing consiste à usurper l’identité d’une personne ou d’une organisation et simplement demander d’exécuter une action (modification de mot de passe, vérification d’une pièce jointe…). L’attaque est orchestrée autour de deux éléments : l’email et le site web ou un pièce jointe. L’email de phishing demande à ses victimes de se connecter à une page et d’entrer leurs identifiants afin d’effectuer une action qui semble légitime. Concrètement, il s’agit des faux emails de votre fournisseur d’électricité vous avertissant de régulariser votre facture… au plus vite !

L’impact du phishing en entreprise

Des milliers de phishing sont envoyés quotidiennement (contre des millions pour le spam) par des organisations de cybercriminels ou des gouvernements étrangers (ou les deux quand ce dernier « soustraite »).

Cette menace n’est pas encore bien maîtrisée par la majorité des antispam et anti-virus sur le marché pour plusieurs raisons. Premièrement, le « faible » volume d’emails de phishing ne permet pas d’être détecté par la majorité des solutions reposant sur une base de signatures. Deuxièmement, l’email semble légitime et ne reprend pas les « codes » du spam.

 

Le phishing est une réelle menace pour les entreprises, car il y a deux façons d’être victime : voir sa marque usurpée ou tomber dans le piège quand on reçoit l’email.

Dans les deux cas, voici les 4 principaux dégâts que le phishing peut causer à votre entreprise :

  • Nuire à votre réputation si votre marque est utilisée pour duper des internautes. Bien souvent, vous ne le savez même pas que votre marque est utilisée à des fins malicieuses.
  • Perte de données sensibles, de propriétés intellectuelles ou encore de secrets industriels.
  • Divulgation de vos données clients et partenaires.
  • Des pertes financières directes liées au vol, à des amendes ou au dédommagement de tiers.

11% des récepteurs de phishing cliquent sur le lien.

Les 5 techniques de phishing les plus répandues.

Pas si évident que cela à identifier. Même vous, pouvez croire à un email légitime si vous ne faites pas attention, parce que d’apparence l’email semble original.

Nous allons vous présenter 5 techniques qu’utilisent les phisheurs pour attaquer votre entreprise. Dans nos exemples, nous parlerons de Pierre, un salarié aux responsabilités moyennes, travaillant dans le service Finance, qui a des journées biens remplies.

Le premier exemple de la série correspond à un phishing de masse, alors que les 4 suivants seront plus ciblés, reprenant l’Art du Spear Phishing, qui nécessite des recherches avancées sur les cibles afin d’être crédible et d’avoir l’autorité qui convient. Dans ces cas là, Alain sera le patron de Pierre, information facilement trouvable sur le site internet de la société.

 

  1. Abus de confiance – Pierre reçoit un email lui demandant de confirmer un transfert d’argent. Dans l’email contenait un lien envoyant vers un site qui s’apparente être celui de sa banque… mais en réalité il s’agit d’une copie, éditée, contrôlée et hébergée par des pirates. Une fois sur la page, Pierre entre normalement ses identifiants mais rien ne se passe et un message disant que le site est « temporairement indisponible » apparaît. Pierre étant très occupé, se dit qu’il s’en occupera plus tard. En attendant, il a envoyé ses codes d’accès aux pirates.
  2. Fausse loterie – Pierre reçoit un email lui indiquant qu’il a gagné un prix. Habituellement Pierre n’y prête pas attention, car bien trop occupé. Toutefois, cette fois ci, l’email est envoyé par Alain, mentionnant une organisation caritative qu’ils soutiennent mutuellement. Pierre clique alors sur le lien, rien ne se passe à l’écran, mais un malware s’est installé sur son poste de travail.
  3. Mise à jour d’informations – Pierre reçoit un email d’Alain lui demandant de regarder le document en pièce jointe. Ce document contient un malware. Pierre ne s’est rendu compte de rien, en ouvrant le document, tout semblait correct bien qu’incohérent par rapport à son travail. Résultat, le malware enregistre tout ce que fais Pierre sur son poste (keylogger) depuis des mois, ce qui met en danger tout le Système d’Information de l’entreprise facilitant le vol de données.
  4. Appel à donation – Pierre reçoit un email du frère d’Alain, lui disant qu’il est atteint d’un cancer et que sa couverture sociale s’est arrêté. Voulant faire bonne impression auprès de son patron, Pierre clique sur le lien et se rend sur le site de donation dédié. Pierre décide de faire une donation de 100€ et entre ses informations bancaires. Le site précise même que le don est déductible des impôts… Trop tard, Pierre a donné ses informations et se fait débiter d’un montant bien supérieur… sans pouvoir le déduire de ses impôts !
  5. Usurpation d’identité – Pierre reçoit un email d’Alain, lui demandant d’effectuer un virement auprès d’un fournisseur connu au sujet d’une avance concernant un dossier urgent. Pour Pierre, il s’agit d’une tâche de routine qu’il effectue aussitôt. L’argent est envoyé sur un compte étranger, intraçable et ne sera jamais retrouvé.

 

Les attaques de phishing et spear phishing sont en augmentation, tant sur le nombre que sur leur niveau de sophistication. Si vos employés reçoivent ce type d’email il y a de forte chance qu’ils se fassent piéger.

 

Qu’est ce qui peut être fait pour protéger vos employés ?

Pour se protéger contre phishing, la majorité des entreprises se contentent de leur antispam et d’autres logiciels anti-virus ou de blocage des sites web. Toutefois, face à l’augmentation et à la sophistication des attaques, cette menace nécessite une protection dédiée. Les solutions antispam et virus classiques ne sont plus suffisantes. Il reste la formation des employés, efficace mais trop peu utilisée et nécessite d’être régulière.

 

Les organisations ont besoin de solutions dédiées à cette menace qu’est le phishing qui nécessite une analyse particulière pour être identifiée et bloquée. La solution anti-phishing de Vade Secure est capable de bloquer tous les types phishing et spear phishing en analysant chaque lien ainsi qu’en étudiant les habitudes des échanges.

Par | 2017-11-08T08:55:01+00:00 novembre 24th, 2015|Phishing|Commentaires fermés sur Les 5 techniques de phishing les plus courantes

À propos de l'auteur :

Marketing Manager chez VadeSecure