Le phishing rime avec cybercriminalité, supercherie et tromperie. Mais de quoi s’agit-il exactement ? Cette technique frauduleuse vise particulièrement les données sensibles, dont les informations personnelles. Il convient donc de repérer et de bloquer ce genre d’arnaque en usant de solutions spécifiques.
Sommaire :
La solution Saas, pour une simulation pratique contre le phishing
Le phishing, plus connu sous le nom d’hameçonnage, consiste à leurrer l’internaute. Ne se doutant de rien, celui-ci communique ses données personnelles ainsi que les éléments clés comme les comptes d’accès bancaires ainsi que les mots de passe. Pour inciter leurs victimes, les cybercriminels ont recours à de faux SMS, de faux messages, emails… Ils peuvent même vous solliciter par appel téléphonique ou via les réseaux sociaux. Pire, ils induisent en erreur en se faisant passer par un représentant d’opérateur de téléphone ou encore de fournisseur d’énergie.
Fort heureusement, il existe des solutions éprouvées permettant de déceler les tentatives de phishing. C’est le cas notamment de la SaaS (Software-as-a-Service) d’Arsen, une startup de cybersécurité française. Celle-ci développe en effet des outils visant à entraîner les employés d’une entreprise contre l’ingénierie sociale. Vous serez ainsi à même d’anticiper le comportement de vos collaborateurs en cas d’attaque. Le but est de lancer des simulations de phishing afin de préparer les employés à parer à toutes les éventualités. Les entraînements se feront sur la base de scénarios préconfigurés et personnalisables. Comptez aussi sur une interface optimisée qui permet de lancer une campagne en quelques clics.
Tentatives de phishing : les mesures préventives
Dans un premier temps, il s’avère essentiel de repérer les tentatives de phishing. Pour s’en protéger, évitez de transmettre vos données bancaires et vos mots de passe par téléphone ou message électronique. Évitez autant que possible de cliquer sur les liens d’apparence douteuse. Pour en être sûr, placez votre curseur sur le lien en question sans pour autant cliquer. Attendez quelques secondes. Normalement, l’adresse vers laquelle il pointe s’affiche systématiquement. Vérifiez la fiabilité du site avant d’aller plus loin.
Une astuce consiste aussi à recourir à des mots de passe complexes afin de ne pas compromettre les comptes personnels. Nous vous recommandons également l’usage de coffres-forts numériques pour stocker les données sensibles. Et pour repérer les accès illégitimes, vérifiez systématiquement la date ainsi que l’heure de votre dernière connexion. Si besoin, mieux vaut recourir à une double authentification.
Les principaux vecteurs de phishing
Les tentatives d’hameçonnage se présentent sous différentes formes. Elles peuvent ainsi se dissimuler sous les emails. Ces derniers contiennent des liens de redirection vers les sites malveillants. Faites également attention aux pièces jointes qui intègrent des programmes nocifs.
Les tentatives de phishing prennent aussi la forme de sites web. Les cybercriminels usent en effet de copies de sites web connus pour vous inciter à cliquer sur les liens, à y communiquer vos identifiants de connexion. Faites aussi attention aux fenêtres contextuelles ou pop-ups.
Avez-vous déjà entendu parler du smishing ? Il s’agit tout simplement d’une tentative de phishing en version SMS. En pratique, vous réceptionnez un SMS avec un lien ou un onglet de téléchargement. Une fois que vous cliquez dessus, vous activez le téléchargement de logiciels malveillants. Ces derniers vont ainsi détourner les données personnelles enregistrées dans votre téléphone.
N’oublions pas que les réseaux sociaux sont les principaux vecteurs de phishing. Faites aussi attention aux liens malveillants envoyés par vos éventuels amis. Les cybercriminels usent de faux profils et de fausses identités pour vous induire en erreur.
Phishing : que dit la loi ?
Dans le cadre d’une tentative de phishing, le Code pénal retient les infractions comme l’usurpation d’identité (article 226-4-1). Celle-ci est assortie d’une peine d’un an de prison et d’une amende de 15 000 euros. La collecte de données personnelles par le biais d’un moyen frauduleux, illicite et déloyal est aussi passible d’une peine de prison de 5 ans et de 300 000 euros d’amende (article 226-18).
Le tribunal considère aussi le phishing comme une escroquerie (article 313-1). De ce fait, tout usage d’un faux nom en vue de tromper une personne en vue de soustraire des valeurs ou des biens est passible de 5 ans d’emprisonnement et de 375 000 euros d’amende. La loi punit également l’accès frauduleux à un système de traitement de données (article 323-1). Ce genre de délit est passible de 3 ans d’emprisonnement assorti d’une amende de 100 000 euros.
Les attaques de phishing les plus mémorables
Pour que vous puissiez repérer au préalable les tentatives de phishing, voici les procédés les plus aboutis.
L’euphorie de phishing durant la Coupe du monde 2018
Profitant de la Coupe du monde de la FIFA qui s’est déroulée à Moscou, les cybercriminels ont proposé des billets gratuits, des offres d’hébergement ainsi que des produits aux couleurs des équipes. Pour ce faire, ils se sont servis des bases de données des hôtels inscrits sur des sites de réservation. La campagne d’hameçonnage a pris une telle ampleur que la FTC (Federal Trade Commission) a dû publier un avertissement officiel.
La violation des données de Target en 2013
Le géant de la vente au détail fut également victime d’hameçonnage. La violation de données a touché 110 millions de consommateurs. L’opération malveillante a d’ailleurs commencé par un email de phishing à un fournisseur de l’enseigne. Peu avant le Black Friday, les cybercriminels ont extirpé 11 Go de données de cartes bancaires via les lecteurs de cartes situés dans les points de vente de Target.
Le « Phish Phry » ou l’opération Coup de filet de 2007
On se souvient encore de l’opération Phish Phry qui est à l’origine d’une enquête internationale initiée par le FBI. Cette opération fut lancée en vue de démanteler un réseau de phishing. Les cybercriminels incitaient les particuliers à fournir leurs numéros de compte, leurs mots de passe ainsi que leurs codes PIN.
Malgré l’enquête opérée par le FBI, les malfrats ont réussi à transférer 1,5 million de dollars vers des comptes aux USA. Les autorités ont tout de même inculpé une centaine de suspects agissant depuis l’Égypte et les États-Unis.
Pour éviter le phishing, faites ainsi attention aux emails provenant (soi-disant) du gouvernement, les appels à l’aide, les avertissements de la banque. Évitez également de cliquer sur les mails faisant de vous un grand gagnant d’un jeu dont vous ignorez totalement l’existence.
Sources :
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042193593#:~:text=Le%20fait%20d’usurper%20l,15%20000%20%E2%82%AC%20d’amende.
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006417968
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000006418192/
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030939438/#:~:text=Le%20fait%20d’acc%C3%A9der%20ou,60%20000%20%E2%82%AC%20d’amende.