Quelles sont les 3 méthodes d’hameçonnage principales et comment s’en prémunir ?
27 août 2020
Le piratage en ligne n’a pas pris de vacances cet été et n’a pas été mis sur pause pendant la pandémie de COVID-19. Bien au contraire. Pour ne pas vous faire piéger, l’expert Simon Fontaine, président de ARS Solutions et auteur d’un rapport sur la cybercriminalité, vous sensibilise à cet enjeu régulièrement sur Isarta Infos.
75 % des incidents de sécurité sont causés par l’erreur humaine. Comme les attaques par hameçonnage sont en pleine explosion et très dommageables financièrement pour les entreprises, la mise en place d’un programme de simulation et de formation continue est une protection à prévoir au budget. Les attaques par hameçonnage se raffinent et peuvent en effet être difficiles à détecter pour des employés mal sensibilisés.
Qu’est-ce que l’hameçonnage?
L’hameçonnage est une forme d’ingénierie sociale qui utilise des courriels ou des sites Internet malicieux (entre autres moyens) pour solliciter les informations personnelles d’un individu ou d’une société en se présentant en tant qu’organisation ou entité digne de confiance.
Les attaques par hameçonnage utilisent très souvent le courriel comme véhicule, en envoyant des courriels aux utilisateurs, messages qui semblent appartenir à une institution ou société en relation avec l’individu, telle qu’une institution financière, ou un service Internet sur lequel l’utilisateur possède un compte.
Le but d’une tentative d’hameçonnage est de tromper le destinataire en lui faisant exécuter l’action que l’assaillant désire, par exemple en fournissant les informations d’identification ou en exécutant un fichier malicieux.
Voici 3 méthodes d’attaques par hameçonnage :
- Hameçonnage de masse
L’hameçonnage de masse est une méthode d’attaque par laquelle les fraudeurs lancent un réseau d’attaques qui ne sont pas ciblées. C’est la forme d’attaque la plus répandue, car elle ne requiert pas de cible spécifique et cette technique est souvent envoyée à un très grand nombre de personnes.
Donc, la tentative d’hameçonnage ne nécessite pas de collecte d’informations avant l’attaque, car le cybercriminel déguise son message comme provenant d’une entité utilisée par beaucoup de monde.Â
- Harponnage
Le harponnage cible une victime ou un groupe de victimes spécifique, en utilisant des détails personnels. Il s’agit du risque principal concernant les fichiers attachés reçus par courriel.
Le but est de tromper les cibles en déguisant un fichier attaché malicieux sous un fichier avec une extension que la victime ne va pas ouvrir en tant qu’entreprise.
De plus, les auteurs montent souvent leurs messages comme provenant de l’entité à laquelle ils veulent accéder, qui est aussi l’endroit où la cible travaille.
- Whaling
Le whaling est un type de harponnage spécialisé qui cible les « gros poissons » à l’intérieur d’une société, soient les utilisateurs finaux haut placés, tels que les cadres exécutifs de haut niveau, les politiciens et les célébrités.
Comme dans toute tentative d’hameçonnage, le but du whaling est de tromper quelqu’un et l’amener à dévoiler des informations personnelles ou d’entreprise, à travers l’ingénierie sociale, l’usurpation d’adresses électroniques et de contenu.
L’assaillant peut envoyer à sa cible un courriel qui semble être d’une source digne de confiance ou attirer la cible sur un site Internet qui a été spécialement conçu pour l’attaque. Les courriels et les sites Internet de whaling sont hautement personnalisés, contenant souvent le nom, la position et d’autres informations sur la cible obtenues de sources diverses.
Prudence donc !
Voici pourquoi vous devriez effectuer des tests d’hameçonnage dans votre entreprise comme arme de défense et pour évaluer votre degré de vulnérabilité.
Considérant qu’il y a eu une hausse de 65 % des attaques par rapport à l’année précédente, selon Cofense et que 80 % des utilisateurs ne détectent pas un courriel malveillant (source : Intel Security), ce type de programme est un incontournable. En étant bien informés, vos employés seront plus alertes et sauront comment aborder une menace.