Phishing 101: Comment Cela Fonctionne et Que Rechercher

Quel est le But du Phishing?

À la base, le phishing est un type de fraude qui vise à inciter la cible à interagir avec un message trompeur. Les attaques de phishing varient en complexité, mais beaucoup utilisent des techniques d’ingénierie sociale sophistiquées combinées à des informations recueillies sur le dark Web pour simuler l’authenticité et la pertinence par rapport à leurs cibles sans méfiance. Si l’attaque vise à déployer des logiciels malveillants tels que les ransomwares, il suffit souvent d’ouvrir le message pour déployer sa cargaison. Sinon, le contenu du message sera conçu pour pousser le destinataire à effectuer une action qui profite au cybercriminel et compromet la sécurité de la victime, comme visiter un site Web, ouvrir une pièce jointe, envoyer de l’argent ou des informations, télécharger un PDF ou fournir un justificatif d’identité.

L’histoire du Phishing

Les premières formes de phishing en tant que cyberattaque ont commencé sur AOL au milieu des années 1990. La première attaque de phishing connue contre une banque de détail a été rapportée par le magazine industriel The Banker en septembre 2003, et la première tentative directe connue contre un système de paiement comme une attaque contre l’or électronique en juin 2001.

Le phishing a vraiment décollé au début des années 2000, avec des attaques précoces contre les banques, les systèmes de paiement et les consommateurs. Le phishing par des acteurs de l’État-nation était répandu en 2006, alors que les experts estiment que plus de la moitié de toutes les attaques de phishing provenaient de la Russie. Dans les années 2010, le phishing était répandu et ressemblait davantage à ce que nous voyons aujourd’hui, les attaques contre les entreprises, les agences gouvernementales, les banques et les consommateurs devenant de plus en plus courantes. Cette attaque a atteint de nouveaux sommets en 2020: Google a enregistré une augmentation de plus de 600% des messages de phishing en mars 2020 alors que COVID-19 est devenu son sujet le plus phished de l’histoire.

D’où vient le Terme  » Hameçonnage  » ?

Le phishing est un terme qui a probablement été inventé à partir d’une combinaison de « leetspeak » de jeu vidéo et d’un ancien type de fraude téléphonique appelé phreaking. On pense que le terme est apparu pour la première fois dans le magazine hacker 2600 au début des années 1980. Le premier enregistrement de l’hameçonnage en tant que sujet de discussion majeur parmi les professionnels de la sécurité provient d’un article et d’une présentation livrés au Groupe international d’utilisateurs HP de 1987, Interex. La première utilisation répandue a été dans la boîte à outils de craquage AOHell créée par Koceilah Rekouche en 1995.

Les premières attaques de phishing ont été perpétrées contre les utilisateurs d’AOL dans le but d’arracher des mots de passe pour faciliter d’autres cybercrimes. Les spécialisations en hameçonnage sont apparues à l’échelle mondiale au milieu des années 2000, alors que les cybercriminels ont commencé à vendre ou à échanger des logiciels d’hameçonnage à des bandes organisées qui pourraient ensuite les utiliser pour mener des campagnes d’hameçonnage. Cette pratique était étroitement associée au piratage de logiciels et à la fraude par carte de crédit. À mesure que le monde devenait de plus en plus numérique, le phishing a évolué pour permettre aux mauvais acteurs de l’utiliser de nouvelles façons, y compris le phishing sur les réseaux sociaux. Plus de 60% des cybercriminels ont utilisé le phishing comme principale forme d’attaque en 2020.

Quels sont les Exemples concrets d’Hameçonnage?

Le phishing n’est pas discriminatoire. Des écoles primaires aux géants de la technologie, le phishing est une menace pour l’égalité des chances. Un employé qui clique sur un e-mail peut déclencher un monde de blessures sur une organisation. Voici quelques exemples des dommages que le phishing peut causer.

• Twitter était sur la sellette après que les comptes d’utilisateurs extrêmement importants comme Donald Trump et Elon Musk ont été repris par des cybercriminels et utilisés pour diffuser des messages attirant les gens dans une arnaque à la crypto-monnaie. L’enquête a révélé que l’ensemble de l’incident provenait d’un cybercriminel qui a hameçonné un seul mot de passe administrateur d’un employé de Twitter en prétendant être un sous-traitant.
• Fin 2020, le phishing entendu dans le monde entier a déclenché une cascade de cauchemars en matière de cybersécurité aux plus hauts niveaux du gouvernement, des entreprises et de la finance après que les cybercriminels russes ont eu accès aux systèmes SolarWinds. Ce mot de passe leur a permis de mettre en place des portes dérobées dans certains des systèmes les plus sensibles des États-Unis, atteignant des cibles de sécurité nationale, envahissant les agences gouvernementales et arrachant des informations sensibles aux entreprises. L’impact complet peut ne jamais être mesuré.
• Une escroquerie complexe de phishing perpétrée par des pirates informatiques présumés de l’État-Nation contre des employés du fabricant de médicaments AstraZeneca a été conçue pour inhiber sa recherche et son développement d’un vaccin contre le COVID-19. Les acteurs de la menace ont utilisé de fausses offres d’emploi envoyées via les médias sociaux tels que LinkedIn et WhatsApp pour inciter les employés à fournir des informations personnelles qui pourraient être utilisées pour alimenter le spear phishing ou télécharger des pièces jointes contenant des logiciels malveillants.

À Quelle Fréquence Le Phishing Se Produit-Il?

Le phishing est la cyberattaque la plus routinière à gérer pour les équipes informatiques. Les experts de l’Université du Maryland estiment qu’une nouvelle attaque est lancée toutes les 39 secondes. La pandémie et le chaos qui l’a accompagnée ont été une énorme aubaine pour les cybercriminels, sur lesquels ils ont rapidement capitalisé. En mars 2020, Google a annoncé avoir enregistré un bond de 667% des tentatives de phishing au cours de la même période en 2019, estimant qu’il bloquait environ 18 millions d’e-mails frauduleux COVID-19 par jour de ses 1,5 milliard d’utilisateurs. À la mi-2020, les chercheurs sur Internet ont constaté que le nombre de menaces quotidiennes de phishing dépassait les 25 000 par jour, soit une augmentation de 30% par rapport aux chiffres de 2019. À l’automne, le nombre était passé à 35 000 par jour et à 50 000 par jour en décembre 2020. 75% des organisations dans le monde ont subi une sorte d’attaque de phishing en 2020.

Le Phishing est-il illégal?

Cela fait une vague de cybercriminalité. Le phishing est une forme de fraude et de vol d’identité, passible d’amendes et même de prison. Aux États-Unis, il existe des lois fédérales, étatiques et locales contre le phishing et ses styles associés. L’hameçonnage est parfois poursuivi en vertu des lois fédérales sur la fraude électronique parce qu’il est transmis par Internet. Le Royaume-Uni, l’Union européenne et d’autres pays ont également des lois contre le phishing.

Fonctionnement du phishing

Dans son sens le plus large, le phishing vise à inciter la cible à fournir des informations, des informations d’identification ou un accès permettant à l’expéditeur d’accéder frauduleusement aux systèmes, aux données et à d’autres ressources. Les cybercriminels utilisent l’ingénierie sociale, la psychologie, le stress et les perturbations pour créer des leurres puissamment tentants. Souvent, les mauvais acteurs obtiendront des informations spécifiques sur leurs cibles à partir du dark Web. Des milliards d’enregistrements remplis d’informations sur les personnes et les entreprises sont disponibles sur les marchés et les décharges de données du dark Web, et d’autres sont ajoutés quotidiennement — 22 millions ont été ajoutés rien qu’en 2020. Vous n’avez même pas besoin de compétences techniques pour mener une opération de phishing. Tout, des « kits de phishing » plug-and-play complets à l’externalisation complète par des opérateurs indépendants, est disponible à un prix.

Que se Passe-t-Il Lors d’une Attaque de Phishing ?

Jetez un coup d’œil à un aperçu de base d’une attaque de phishing standard.

1. Les mauvais acteurs génèrent une liste de cibles et recueillent les informations nécessaires pour atteindre leurs victimes visées.
2. La préparation à ce stade peut inclure l’achat d’informations personnelles identifiables (PII), l’obtention d’une base de données volée d’enregistrements pour d’autres comptes en ligne que la cible conserve ou les détails nécessaires pour usurper l’identité d’une marque de confiance.
3. Ensuite, les mauvais acteurs fabriquent un e-mail conçu pour attirer au maximum la victime prévue pour les inciter à l’ouvrir ou à terminer une action.
4. L’e-mail comprendra souvent des détails personnalisés recueillis à partir de marchés et de décharges de données du dark Web.
5. Le message pourrait passer pour quelque chose qui semble inoffensif et routinier, comme une communication de l’association des anciens de la victime ou d’un organisme de bienfaisance privilégié.
6. Parfois, le message contient une pièce jointe, comme un PDF, qui contient des logiciels malveillants.
7. Un autre leurre courant consiste à inclure un lien demandant à la victime de réinitialiser son mot de passe à l’aide d’un lien inclus.
8. Si le but de l’attaque est de fournir un logiciel malveillant, la charge utile se déploiera lorsque la victime aura terminé une interaction cible, par exemple en téléchargeant un fichier ou en cliquant sur un lien.
9. Ou, si la compromission des informations d’identification est l’objectif, la victime est généralement dirigée vers une page Web falsifiée et fleecedée de ses informations d’identification.
10. Les cybercriminels sont alors libres de capturer des données, de déployer des logiciels malveillants ou de faire des ravages sur la victime ou l’entreprise de la victime.

À Quoi Peut Conduire Le Phishing?

Quel genre de ravages? Le genre qui ferme les entreprises et détruit les rêves. Les experts estiment que 60% des entreprises font faillite après une cyberattaque. Les dépenses liées à l’intervention en cas d’incident, à l’enquête, à l’assainissement et au rétablissement peuvent être catastrophiques. De plus, les entreprises ne finissent pas par payer pour un incident comme un ransomware juste au moment où cela se produit. Il peut prendre des années pour déterminer l’étendue complète des dommages et payer les factures. Parallèlement à ce coup de budget géant, les entreprises touchées par une cyberattaque dommageable perdent de la productivité et souffrent d’une entorse à leur réputation. Le phishing est particulièrement dévastateur lorsque les entreprises perdent des informations précieuses telles que des secrets commerciaux ou des enregistrements hautement sensibles, en particulier lorsque cette perte entraîne également de lourdes sanctions réglementaires en vertu de lois telles que HIPAA ou GDPR.

Comment repérer les tentatives d’hameçonnage

Les cybercriminels peuvent produire des messages et des pièces jointes frauduleux extrêmement convaincants qui peuvent être un défi à détecter même pour les professionnels de la cybersécurité. Cependant, il existe quelques signes communs que les cibles potentielles peuvent rechercher pour repérer un message de phishing potentiel et éviter les catastrophes. Une procédure pas à pas détaillée pour enquêter et juger un message d’hameçonnage potentiel en toute sécurité est disponible dans l’infographie, Le chemin sécurisé vers l’e-mail.

Quels sont les signes courants d’un e-mail de Phishing?

Voici quelques signes révélateurs qu’un message est probablement du phishing ::

• Si la langue est désactivée ou si le message ne semble pas avoir été râpé par quelqu’un qui est un locuteur natif de la langue cible, y compris des fautes d’orthographe et une mauvaise grammaire ou un mauvais usage
• Si le message prétend provenir d’une marque de confiance, mais qu’il contient des choses qui ne semblent pas familières comme des couleurs, des formats ou des polices pas tout à fait corrects
• S’il semble très « non professionnel » mais qu’il est présenté comme une communication d’un cadre exécutif ou une autre personne puissante.
• Si c’est un U.S. agence fédérale vous demandant de fournir des informations personnelles par e-mail
• Si l’expéditeur vous demande votre numéro d’identification fiscale ou de sécurité sociale à l’improviste
• Si l’adresse, le nom ou l’adresse e-mail de l’expéditeur vous semblent étranges
• Si quelqu’un que vous ne connaissez pas bien vous demande des cartes-cadeaux, des transferts d’argent, des informations bancaires ou de carte de crédit
• S’il existe un lien sur lequel cliquer ou une pièce jointe à télécharger, mais que l’adresse ou le nom du fichier semblent inhabituel

En cas de doute, faites toujours preuve de prudence. Votre équipe informatique vous en remerciera.

Comment savoir si un Lien est Malveillant ?

Les liens malveillants sont un outil extrêmement populaire pour les attaques de phishing en raison de la sensibilisation accrue que la plupart des utilisateurs ont développée au fil des ans autour des pièces jointes. Cependant, un faux lien peut être aussi méchant qu’un attachement infectieux – et parfois pire. Vérifiez toujours un lien avant de cliquer dessus pour voir s’il va réellement où il dit qu’il va. Les faux liens peuvent avoir des orthographes étranges, des suffixes inattendus, des mashups étranges du nom d’une entreprise et des détails similaires qui ne sont tout simplement pas tout à fait corrects. Google a enregistré 2 145 013 sites de phishing au 17 janvier 2021. Il s’agit d’une hausse par rapport à 1 690 000 au 19 janvier 2020 (en hausse de 27 % sur 12 mois).

Comment Puis-je Identifier une Pièce Jointe Malveillante ?

Les pièces jointes malveillantes sont ce à quoi les utilisateurs ont tendance à penser lorsqu’ils pensent au phishing, en particulier en ce qui concerne les logiciels malveillants. Les experts ont estimé dans une étude récente que 94% des e-mails de phishing utilisent des pièces jointes de fichiers malveillants comme charge utile ou source d’infection pour l’attaque. Ils ont en outre noté que les principaux types de pièces jointes malveillantes qu’ils voient sont.doc et.dot à 37% de la tarte, avec.exe arrivant à 19,5% et d’autres noms de fichiers inférieurs. Les pièces jointes malveillantes peuvent également être des fichiers PDF. Les cybercriminels audacieux ont eu une journée sur le terrain pour envoyer des cartes toxiques de COVID-19 dans ce format à partir de sources telles que l’Organisation mondiale de la santé au début de 2020. Les pièces jointes inattendues ou les fichiers avec des noms inhabituels ou inconnus sont des caractéristiques des pièces jointes malveillantes.

Minimisez les dangers d’hameçonnage grâce à une Posture Défensive solide Comprenant Une Sauvegarde SaaS

La capture de messages d’hameçonnage peut être difficile. Les entreprises qui suivent une formation régulière de sensibilisation à la sécurité comprenant une résistance au phishing pour chaque employé au moins tous les trimestres ont jusqu’à 70% moins d’incidents de sécurité. Les solutions de sécurité de messagerie classiques telles que les filtres ou les outils intégrés dans les applications de messagerie ne sont pas à la hauteur des menaces de phishing sophistiquées d’aujourd’hui – plus de 40% des e—mails de phishing envoyés lors d’un test de 2020 n’ont pas été interceptés par la sécurité de messagerie traditionnelle.

L’autre moitié de la pièce dans la construction d’une défense solide contre le phishing est également essentielle pour renforcer la cyber-résilience: la sauvegarde SaaS. On estime que 60% des entreprises touchées par une attaque de phishing perdent des données irrécupérables, ce qui peut créer une cascade de dégâts de plus en plus dévastatrice.

C’est pourquoi des solutions telles que Spanning 360 avec des capacités de défense anti-hameçonnage intégrées sont indispensables dans tout plan de cybersécurité. Plus de 70 % des organisations aux États-Unis ont été touchées par une attaque de phishing réussie au cours des 12 derniers mois. L’objectif de chaque entreprise devrait être de rayer cette liste en 2021.

En savoir Plus Sur Spanning 360