Phishing : comment les pirates dérobent vos données personnelles.

La plupart des campagnes de phishing reposent aujourd’hui sur l’exploitation des failles humaines plutôt que sur des vulnérabilités informatiques.

Le phishing est l’une des formes de cyberattaques les plus faciles à mettre en place pour les cybercriminels, il est donc assez logique qu’elle soit l’une des plus utilisées. En plus d’être simple à mettre en place, ce type de cyberattaque fonctionne toujours bien, et ce, malgré les campagnes de sensibilisation pour informer les internautes. Le fait est que le phishing exploite surtout les vulnérabilités psychologiques humaines pour fonctionner plutôt que des failles informatiques – même si cela n’est pas exclu – et c’est pourquoi cette technique continue encore aujourd’hui d’être très utilisée et de faire de nombreuses victimes.

Qu’est-ce que le phishing ?

Le phishing ou hameçonnage est une technique utilisée par les cybercriminels pour obtenir des informations personnelles dans le but d’usurper l’identité de leurs victimes, de vider leur compte ou encore d’installer des logiciels malveillants sur leur appareil. Dans ce cas, le phishing n’est qu’un moyen pour les pirates informatiques de s’introduire sur une machine afin d’installer des malwares, chevaux de Troie ou encore des ransomwares et faire davantage de dégâts.

Dans la majorité des cas, les campagnes de phishing se déroulent par mail, mais elles peuvent également être diffusées par SMS, par appels vocaux ou encore sur les réseaux sociaux via des messages personnels, des publications ou simplement des publicités frauduleuses (concours, offres exclusives, etc.). Les messages envoyés via les différents canaux prétendent provenir d’une personne de confiance, d’une marque bien connue, d’un service de facturation d’une entreprise ou encore d’une autorité. Les cybercriminels adeptes de cette technique tentent en effet de tromper et de manipuler leur cible en se faisant passer pour quelqu’un d’autre. On parle ainsi d’ingénierie sociale.

Des messages persuasifs

Que ça soit par mail, SMS ou par message via les réseaux sociaux, les campagnes de phishing exploitent plusieurs astuces psychologiques pour atteindre leur but. L’objectif premier de ce type d’arnaques est de récupérer des données privées. Pour cela, les cybercriminels se font passer pour un proche, une marque ou une autorité afin de mettre en confiance ou la pression à leurs cibles. De cette manière, elles seront plus facilement manipulables.

En jouant sur l’urgence et la menace, les hackers cherchent à faire paniquer leurs victimes pour qu’elles suivent leurs instructions sans prendre le temps de se poser des questions. Ils peuvent par exemple se faire passer pour Netflix, un fournisseur d’Internet ou les impôts et prétendre que leurs victimes s’exposent à une résiliation d’abonnement ou à une amende pour une facture soi-disant impayée si elles ne se mettent pas rapidement en règle. Les délais pour régler une facture sont souvent très courts, de même que les montants à payer. Cela pousse les victimes à payer la somme demandées dans l’urgence, sans se poser plus de questions. L’objectif premier des victimes est d’éviter les frais de retard ou que leur abonnement soit résilié.

À noter que toutes les campagnes de phishing ne jouent pas sur la peur, même si c’est la forme la plus répandue. L’hameçonnage peut également prendre la forme de jeux-concours ou de cadeaux, mais le fonctionnement restera le même. Et la campagne peut malgré tout jouer sur l’urgence en indiquant au gagnant qu’il n’a plus que quelques heures pour remplir le formulaire et gagner une voiture ou un bon d’achat d’une certaine valeur.

La campagne de phishing est plutôt simple et repose sur l’exécution d’un virement bancaire ou le renseignement de diverses informations personnelles, mais il arrive que ce type de cyberattaque soit plus complexe et implique le téléchargement d’un fichier malveillant, la connexion à un site frauduleux ou encore l’installation d’un logiciel vérolé. Tout dépend des objectifs et de la complexité de la campagne de phishing.

Des objectifs divers et variés

L’un des objectifs du phishing est de soutirer de l’argent aux victimes, mais dans certains cas, les cybercriminels sont plus vicieux et veulent mettre la main sur les données bancaires de leurs cibles, afin de vider leur compte, ou sur leurs informations personnelles dans le but d’usurper leur identité. C’est pourquoi leur mail, SMS ou message va renvoyer les cibles vers une plateforme copiant le design du service pour lequel ils se font passer et vont récupérer toutes les données renseignées par leurs victimes (nom, prénom, adresse mail, identifiant, mot de passe, etc.).

Dans certains cas, les hackers peuvent faire en sorte d’intégrer des logiciels capturant toutes données saisies sur une page de connexion ou simplement afficher une fausse page de connexion, afin de récupérer les identifiants des utilisateurs.

Dans d’autres cas, le but des pirates informatiques peut être, comme nous l’avons déjà évoqué, de prendre le contrôle des ordinateurs et smartphones de leurs victimes. Dans ce cas, les messages frauduleux envoyés ne seront pas tout à fait les mêmes. Ils joueront toujours sur l’urgence et la menace pour tenter de duper la vigilance de leurs victimes et les pousser à agir vite, sans se poser de questions, mais ici, ils chercheront à les pousser à ouvrir une pièce jointe ou à cliquer sur un lien de téléchargement.

Si les internautes veulent éviter de payer une amende ou des frais supplémentaires, ils vont en effet devoir télécharger un formulaire à remplir ou se rendre sur un site Internet pour installer un logiciel. Malheureusement, la pièce jointe cachera un logiciel malveillant qui se déploiera sur la machine de la victime pour en prendre le contrôle et installer un virus tiers ou pour voler des données privées dans le but de faire chanter ses victimes. Dans certains cas, le site vers lequel le mail renvoyait exécutera le téléchargement d’un logiciel malveillant qui permettra aux hackers d’avoir le contrôle de l’ordinateur sur lequel il a été téléchargé.

Exploiter les « vulnérabilités » informatiques

L’une des techniques fréquemment utilisées dans ce type de cyberattaques repose sur l’exploitation des macros Microsoft Office. Il s’agit d’une fonctionnalité du logiciel de traitement de texte de Microsoft qui permet d’activer des commandes automatiques pour exécuter facilement des tâches. Ces commandes sont souvent activées par défaut et peuvent servir à exécuter du code malveillant à distance, à  l’insu des utilisateurs.

Un mail provenant du service des impôts ou de son supérieur peut contenir un fichier Microsoft Office lisible uniquement si les macros sont activées sur le logiciel. Le message va alors indiquer à ses cibles qu’elles doivent activer cette fonction pour voir correctement le contenu du fichier. Malheureusement, en faisant cela, elles vont surtout permettre aux pirates informatiques d’exécuter du code malveillant sur leur ordinateur et donc potentiellement leur fournir le contrôle de sa machine.

Les personnes malveillantes peuvent également mettre à profit une fonctionnalité utile de Windows 10 pour réaliser leur méfait : PowerShell. Il s’agit d’un outil qui permet – entre autres – l’exécution de commandes. Pour exploiter cet outil présent par défaut sur l’ensemble des machines sous Windows, les pirates informatiques incitent leurs victimes à cliquer sur un lien pour l’une ou l’autre réseau. Ce lien est évidemment frauduleux et exécutera une commande PowerShell malveillante. Vu que l’attaque utilise une fonction légitime de Windows, elle sera plus difficile à repérer.

L’actualité et les tendances comme toile de fond 

Que ça soit par mails ou via les réseaux sociaux, les campagnes de phishing s’inspirent souvent de l’actualité ou des tendances pour cibler leurs victimes. C’est pourquoi la plateforme de steaming Netflix – particulièrement populaire – fait  souvent l’objet d’une usurpation d’identité que ça soit à travers des mails, mais aussi des publicités sur les réseaux sociaux ou simplement de faux sites reprenant son nom et le design de sa plateforme.

La pandémie de coronavirus a été également particulièrement exploitée par les hackers pour lancer des campagnes d’hameçonnage que ça soit pour recevoir des informations exclusives, connaitre des moyens de s’en protéger ou encore de se faire vacciner. Les grands événements tels que la Coupe du monde de football sont également exploités par les pirates informatiques pour des campagnes de phishing.

L’hameçonnage se répand donc de différentes façons et poursuivre divers objectifs. Il arrive que certaines campagnes soient particulièrement bien faites. C’est pourquoi il faut toujours se montrer prudent lorsqu’on reçoit un mail urgent ou que l’on voit passer une publicité trop alléchante sur la toile. On vous explique ici comment faire pour éviter de vous faire avoir par une campagne de phishing.

5 conseils pour ne plus jamais se faire avoir par les arnaques par mails.

Les campagnes de phishing sont nombreuses et leurs auteurs ne manquent pas d’imagination pour peaufiner les détails et faire illusion. Mais certains éléments peuvent tout de même vous alerter et ainsi vous éviter de vous faire avoir.

Vous avez sans doute déjà reçu un mail provenant de Netflix, du gouvernement ou encore de votre banque vous incitant à régler une facture impayée en urgence au risque de voir votre abonnement annulé ou de recevoir une amende salée. Vous pourriez également avoir reçu des mails vous avertissant que vous avez gagné un concours auquel vous ne vous souvenez pas d’avoir participé. Dans les deux cas, il y a de fortes chances pour que ça soit une tentative de phishing pour récupérer vos données privées ou bancaires.

La première chose à faire dans ces cas-là est de prendre son temps. Ne cédez pas à la pression et étudiez bien les éléments suivants avant de partager des informations sensibles aux mauvaises personnes.

Vérifier l’adresse de l’expéditeur

Vérifier l’adresse mail de l’expéditeur doit devenir un réflexe, et ce, même si vous êtes sûr de la provenance du mail. On n’est jamais à l’abri d’une arnaque bien ficelée. Le fait est qu’il est possible d’afficher une adresse mail en tant que nom d’expéditeur. Il est également possible d’afficher un nom et une adresse mail pour faire illusion. C’est pourquoi il vaut toujours mieux s’assurer de la provenance du mail en cliquant sur le nom de l’expéditeur. Sa véritable adresse s’affichera alors.

Celle-ci peut paraitre fiable parce qu’elle contient le nom de l’organisme qui vous contacte soi-disant (Netflix, PayPal, begouv, etc.), mais plusieurs indices peuvent vous mettre la puce à l’oreille comme par exemple une adresse Netflix@hotmail.com, suport134@Netflix.it et bien d’autres. Lorsqu’elles vous contacteront, les entreprises le feront systématiquement avec une adresse officielle.

Vérifier la présence de fautes d’orthographe

La présence de fautes d’orthographe est un élément qui trompe rarement, de même que les fautes de grammaire ou de langue. Si le texte du mail présente des fautes, il y a de fortes chances que ça soit une arnaque.

L’utilisation de l’anglais doit vous alerter, et ce, même si la maison-mère du service est anglophone. Si Amazon ou Netflix vous contacte pour vous acquitter d’une dette, ils le feront dans la langue avec laquelle vous utilisez leur service. La logique vaut également pour le néerlandais. Dans le cas des institutions officielles belges, elles vous contacteront dans votre langue ou proposeront plusieurs traductions de leur texte.

Enfin, l’utilisation de police d’écriture atypique ou de couleurs dans le texte doit également vous mettre la puce à l’oreille. Si certains correspondants surlignent en rouge ou en jaune les éléments importants, c’est rarement lors du premier échange et c’est plutôt avec des personnes et non avec les responsables du service de facturation.

S’inquiéter des urgences et menaces

Les auteurs de mails frauduleux misent énormément sur l’urgence et n’hésitent pas à menacer leurs cibles pour les pousser à payer ou à partager des informations personnelles. Ne souhaitant pas recevoir d’amende ni voir leur abonnement suspendu, beaucoup d’internautes paient la somme demandée sans vérifier de la provenance du mail.

Si vous recevez un mail urgent vous menaçant d’une amende quelconque, prenez deux minutes pour l’analyser. Il y a peu de chance pour que la sentence s’exécute dans les 2 prochaines minutes. Commencez par vérifier les points précédents et si le mail vous parait authentique, prenez contact avec le service client de la marque, du service ou autre en prenant soin de rechercher vous mail le numéro de téléphone ou l’adresse mail.

L’absence d’information doit vous alerter

La très grande majorité des mails officiels de marques, services et autres institutions sont très longs, car ils affichent des informations sur le traitement des données, une description de l’entreprise, voire des informations de contact. Si ce n’est pas le cas, posez-vous les bonnes questions. L’absence du logo de l’expéditeur doit également vous mettre la puce à l’oreille, comme c’est le cas dans l’exemple ci-dessous.

Identifiez les URL particuliers

Si malgré tout, le mail parait authentique et que vous avez cliqué sur l’un des liens affichés, vérifiez l’URL du site sur lequel il vous a renvoyé, et ce, même si là encore le site parait authentique. Certains pirates informatiques ne lésinent pas sur les efforts pour proposer des copies parfaites, mais les adresses URL ne mentent pas. De façon générale, mieux vaut prévenir que guérir toutefois : cliquer sur un lien dans un mail vous expose déjà à des virus ou fuites de données. Ne cliquez donc que si vous estimez qu’il y a des chances que l’expéditeur soit sérieux.

GEEKO

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.