Qu'est-ce que le phishing et comment il peut vous voler de l'argent et des secrets
Pourboires De La Technologie / / December 28, 2020
Qu'est-ce que le phishing et à quel point il est dangereux
Le phishing est un type courant de cyber-fraude visant à compromettre le compte enregistrements et interception de contrôle sur eux, vol de données de carte de crédit ou tout autre information.
Le plus souvent, les attaquants utilisent le courrier électronique: par exemple, ils envoient des lettres au nom d'une entreprise bien connue, attirant les utilisateurs vers son faux site Web sous le prétexte d'une promotion rentable. La victime ne reconnaît pas le faux, entre le nom d'utilisateur et le mot de passe de son compte, et ainsi l'utilisateur transfère lui-même les données aux escrocs.
Tout le monde peut souffrir. Les e-mails de phishing automatisés sont le plus souvent ciblés sur un large public (des centaines de milliers voire des millions d'adresses), mais il existe également des attaques visant une cible spécifique. Le plus souvent, ces cibles sont des cadres supérieurs ou d'autres employés qui ont un accès privilégié aux données de l'entreprise. Cette stratégie de phishing personnalisée est appelée vailing (eng. baleine), qui se traduit par «attraper des baleines».
Les conséquences des attaques de phishing peuvent être dévastatrices. Les fraudeurs peuvent lire votre correspondance personnelle, envoyer des messages de phishing à votre cercle de contacts, retirer de l'argent de comptes bancaires et généralement agir en votre nom au sens large. Si vous dirigez une entreprise, le risque est encore plus grand. Les hameçonneurs sont capables de voler des secrets d'entreprise, de détruire des fichiers sensibles ou de divulguer les données de vos clients, portant atteinte à la réputation de l'entreprise.
Selon le rapportRapport sur les tendances des activités de phishing Groupe de travail anti-hameçonnage, rien qu'au dernier trimestre de 2019, les experts en cybersécurité ont découvert plus de 162 000 sites frauduleux et 132 000 e-mails. Pendant ce temps, environ un millier d'entreprises du monde entier ont été victimes du phishing. Il reste à voir combien d'attaques n'ont pas été détectées.
Ivan Budylin
Architecte du Microsoft Technology Center en Russie.
Il est important d'être clair sur vous-même et de communiquer certaines choses à vos collègues, amis et famille. Premièrement, l'industrie est contre nous. Les cybercriminels ne sont plus des farceurs enthousiastes, ce sont des professionnels expérimentés qui, d'une manière ou d'une autre, veulent gagner de l'argent sur vous. Deuxièmement, toute information a de la valeur, même si elle ne semble pas importante. Et votre activité sur les réseaux sociaux, et le surnom de votre minou préféré - tout peut être utilisé soit pour monétisation directe, ou comme étape d'attaque pour accéder à des services plus «chers» Les données. Troisièmement, l'utilisation de l'authentification multifacteur et des connexions sans mot de passe passe progressivement de la catégorie des recommandations fortes à la catégorie des exigences strictes d'une réalité changée.
Évolution et types de phishing
Le terme «phishing» vient du mot anglais «fisher». Ce type d'arnaque ressemble vraiment à la pêche: l'attaquant lance l'appât sous la forme d'un faux message ou lien et attend que les utilisateurs mordent.
Mais en anglais, «phishing» est orthographié un peu différemment: phishing. Le digraphe ph est utilisé à la place de la lettre f. Selon une version, il s'agit d'une référence au mot faux ("trompeur", "escroc"). De l'autre, à la sous-culture des premiers hackers, appelés phreakers ("phreakers").
On pense que le terme hameçonnage a été utilisé pour la première fois publiquement au milieu des années 1990 dans les groupes de discussion Usenet. À cette époque, les escrocs ont lancé les premières attaques de phishing ciblant les clients du fournisseur Internet américain AOL. Les attaquants ont envoyé des messages demandant de confirmer les informations d'identification, se faisant passer pour des employés de l'entreprise.
Avec le développement d'Internet, de nouveaux types d'attaques de phishing sont apparus. Les fraudeurs ont commencé à simuler des sites Web entiers et à maîtriser divers canaux et services de communication. Ces types de phishing peuvent être distingués aujourd'hui.
- Phishing par e-mail. Les fraudeurs enregistrent une adresse postale similaire à l'adresse d'une entreprise bien connue ou d'une connaissance de la victime sélectionnée et envoient des lettres à partir de celle-ci. Dans le même temps, par le nom de l'expéditeur, la conception et le contenu, une fausse lettre peut être presque identique à l'original. Seulement à l'intérieur, il y a un lien vers un faux site, des pièces jointes infectées ou une demande directe d'envoyer des données confidentielles.
- Phishing par SMS (smishing). Ce schéma est similaire au précédent, mais le SMS est utilisé à la place du courrier électronique. L'abonné reçoit un message d'un numéro inconnu (généralement court) avec une demande de données confidentielles ou avec un lien vers un faux site. Par exemple, un attaquant peut se présenter comme une banque et demander le code de vérification que vous avez reçu plus tôt. En fait, les escrocs ont besoin du code pour pirater votre compte bancaire.
- Phishing sur les réseaux sociaux. Avec la prolifération des messageries instantanées et des médias sociaux, les attaques de phishing ont également inondé ces canaux. Les attaquants peuvent vous contacter via de faux comptes ou des comptes compromis d'organisations bien connues ou de vos amis. Le reste du principe d'attaque ne diffère pas des précédents.
- Phishing par téléphone (vishing). Les fraudeurs ne sont pas limités aux messages texte et peuvent vous appeler. Le plus souvent, la téléphonie Internet (VoIP) est utilisée à cette fin. L'appelant peut se faire passer pour, par exemple, un employé du service d'assistance de votre système de paiement et demander des données pour accéder au portefeuille - soi-disant pour vérification.
- Rechercher du phishing. Vous pouvez trouver du phishing directement dans les résultats de recherche. Il suffit de cliquer sur le lien qui mène à un faux site et d'y laisser des données personnelles.
- Phishing pop-up. Les attaquants utilisent souvent des pop-ups. En visitant une ressource douteuse, vous pouvez voir une bannière qui promet des avantages - par exemple, des remises ou des produits gratuits - au nom d'une entreprise bien connue. En cliquant sur ce lien, vous serez redirigé vers un site contrôlé par des cybercriminels.
- Agriculture. Pas directement lié au phishing, mais l'agriculture est également une attaque très courante. Dans ce cas, l'attaquant usurpe les données DNS en redirigeant automatiquement l'utilisateur au lieu des sites d'origine vers les faux. La victime ne voit pas de messages ni de bannières suspects, ce qui augmente l'efficacité de l'attaque.
Le phishing continue d'évoluer. Microsoft a révélé de nouvelles techniques découvertes en 2019 par son service anti-hameçonnage Office 365 Advanced Threat Protection. Par exemple, les escrocs ont appris à mieux dissimuler le contenu malveillant dans les résultats de recherche: vers le haut afficher des liens légitimes qui mènent l'utilisateur vers des sites de phishing utilisant plusieurs redirige.
En outre, les cybercriminels ont commencé à générer automatiquement des liens de phishing et des copies exactes de lettres à un niveau qualitativement nouveau, ce qui vous permet de tromper plus efficacement les utilisateurs et de contourner les fonds protection.
Découvrez Office 365
Comment se protéger du phishing
Améliorez vos connaissances techniques. Comme on dit, celui qui est prévenu est armé. Étudiez vous-même la sécurité de l'information ou consultez des experts pour obtenir des conseils. Même une simple connaissance des bases de l'hygiène numérique peut vous éviter bien des ennuis.
Faites attention. Ne suivez pas les liens et n'ouvrez pas les pièces jointes dans les lettres d'interlocuteurs inconnus. Veuillez vérifier attentivement les coordonnées des expéditeurs et les adresses des sites que vous visitez. Ne répondez pas aux demandes d'informations personnelles, même lorsque le message semble crédible. Si un représentant de l'entreprise demande des informations, il est préférable d'appeler son centre d'appels et de signaler la situation. Ne cliquez pas sur les pop-ups.
Utilisez les mots de passe à bon escient. Utilisez un mot de passe unique et fort pour chaque compte. Abonnez-vous à des services qui avertissent les utilisateurs si les mots de passe de leurs comptes apparaissent sur le Web et modifiez immédiatement le code d'accès s'il s'avère que celui-ci est compromis.
Configurez l'authentification multifacteur. Cette fonctionnalité protège également le compte, par exemple en utilisant des mots de passe à usage unique. Dans ce cas, chaque fois que vous vous connectez à votre compte depuis un nouvel appareil, en plus du mot de passe, vous devrez entrez un code à quatre ou six caractères qui vous a été envoyé par SMS ou généré dans un application. Cela peut ne pas sembler très pratique, mais cette approche vous protégera de 99% des attaques courantes. Après tout, si des fraudeurs volent le mot de passe, ils ne pourront toujours pas entrer sans code de vérification.
Utilisez des fonctions de connexion sans mot de passe. Dans ces services, dans la mesure du possible, vous devez complètement abandonner l'utilisation des mots de passe, en les remplaçant par des clés de sécurité matérielles ou par l'authentification via une application sur un smartphone.
Utilisez un logiciel antivirus. Un antivirus mis à jour en temps opportun aidera à protéger votre ordinateur contre les programmes malveillants qui redirigent vers des sites de phishing ou volent des identifiants et des mots de passe. Mais rappelez-vous que votre principale protection reste le respect des règles d'hygiène numérique et le respect des recommandations de cybersécurité.
Si vous dirigez une entreprise
Les conseils suivants seront également utiles aux propriétaires d'entreprise et aux PDG.
Formez vos employés. Expliquez aux subordonnés quels messages éviter et quelles informations ne doivent pas être envoyées par e-mail et autres canaux de communication. Interdire aux employés d'utiliser le courrier d'entreprise à des fins personnelles. Expliquez-leur comment utiliser les mots de passe. Il vaut également la peine d'envisager une politique de rétention des messages: par exemple, pour des raisons de sécurité, vous pouvez supprimer les messages plus anciens qu'une certaine période.
Menez des attaques de phishing éducatives. Si vous souhaitez tester la réaction des employés face au phishing, essayez de simuler une attaque. Par exemple, enregistrez une adresse postale similaire à la vôtre et envoyez des lettres à partir de celle-ci aux subordonnés leur demandant de vous fournir des données confidentielles.
Choisissez un service postal fiable. Les fournisseurs de messagerie gratuits sont trop vulnérables aux communications professionnelles. Les entreprises devraient choisir uniquement des services d'entreprise sécurisés. Par exemple, les utilisateurs du service de messagerie Microsoft Exchange inclus dans la suite Office 365 bénéficient d'une protection complète contre le phishing et d'autres menaces. Pour contrer les fraudeurs, Microsoft analyse des centaines de milliards d'e-mails chaque mois.
Engagez un expert en cybersécurité. Si votre budget le permet, trouvez un professionnel qualifié qui vous fournira une protection continue contre le phishing et autres cybermenaces.
Que faire si vous êtes victime d'hameçonnage
S'il y a une raison de croire que vos données sont tombées entre de mauvaises mains, agissez immédiatement. Vérifiez la présence de virus sur vos appareils et modifiez les mots de passe des comptes. Informez le personnel de la banque que vos informations de paiement ont peut-être été volées. Si nécessaire, informez les clients de la fuite potentielle.
Pour éviter que de telles situations ne se reproduisent, choisissez des services de collaboration fiables et modernes. Les produits avec des mécanismes de protection intégrés sont les mieux adaptés: cela fonctionnera aussi facilement que possible et vous n'aurez pas à risquer la sécurité numérique.
En outre, le service offre un contrôle d'accès dynamique avec évaluation des risques et tenant compte d'un large éventail de conditions. Office 365 contient également une automatisation et une analyse de données intégrées, et vous permet également de contrôler les appareils et de protéger les informations contre les fuites.
Essayez Microsoft Office 365