Qu'est-ce qu'une attaque de phishing ?

Le phishing est un type de cyberattaque qui utilise des e-mails, des SMS, le téléphone ou les réseaux sociaux pour inciter une victime à partager des informations sensibles, comme des mots de passe ou des numéros de compte, ou à télécharger un fichier malveillant qui installera un virus sur son ordinateur ou son téléphone.

Le phishing est un phénomène très répandu. D'après une étude d'Accenture, 60 % des Américains déclarent qu'ils, ou un membre de leur famille, ont déjà été victime d'une attaque de phishing, et 15 % sont ciblés plusieurs fois par an. Le nombre d'attaques de phishing a également augmenté aux États-Unis, affichant une croissance de 65 % l'année passée.

Caractéristiques d'une attaque de phishing

De par leurs caractéristiques, les messages de phishing sont facilement reconnaissables. Ils comportent généralement un ou plusieurs des indicateurs suivants :

1. Sollicitation d'informations sensibles
2. Utilisation d'un domaine différent
3. Présence de liens dont le nom de domaine ne correspond pas au domaine légitime
4. Pièces jointes non sollicitées
5. Message non personnalisé
6. Présence de fautes d'orthographe et de grammaire
7. Volonté d'induire un sentiment de panique chez le destinataire

Types d'attaques de phishing

1. Email Phishing

Harponnage (« spear phishing »)

Le harponnage, ou spear phishing, est une tentative de phishing ciblant une personne ou un groupe de personnes en particulier. Par exemple, le groupe de cyberadversaires appelé Helix Kitten est connu pour rechercher des profils types au sein de secteurs spécifiques pour en apprendre davantage sur leurs centres d'intérêt et ensuite élaborer des messages de phishing qui aiguiseront l'attrait ou la curiosité de ces personnes. Les victimes peuvent être ciblées dans le but d'atteindre une cible de plus grande valeur. Par exemple, un spécialiste financier de niveau moyen peut être ciblé, car sa liste de contacts contient les adresses e-mail de directeurs financiers ayant un accès plus étendu à des informations sensibles. Ces responsables de niveau supérieur peuvent alors être ciblés lors de la phase suivante de l'attaque.

Whaling

Le whaling, également connu sous le nom d'attaque BEC (piratage de la messagerie en entreprise), est une forme de harponnage ou spear phishing ciblant une victime de haut rang, telle qu'un PDG ou un directeur financier. Les attaques de whaling induisent généralement un sentiment d'urgence afin de mettre la pression sur la victime. Le but est d'amener celle-ci à virer des fonds ou à partager des identifiants sur un site web malveillant.

2. SMiShing

Le SMiShing (phishing par SMS) est une campagne de phishing menée à l'aide de SMS plutôt que par e-mail. Les attaques de SMiShing ne conduisent pas directement au téléchargement d'un virus. Elles incitent plutôt le destinataire à visiter un site l'invitant à télécharger des applications ou contenus malveillants.

3. Vishing

Le vishing (phishing vocal) est une attaque de phishing menée par téléphone. Ce type d'attaque peut recourir à un faux profil d'appelant usurpant l'identité d'une entreprise, d'une agence gouvernementale ou d'une organisation caritative légitime. L'appel vise à obtenir des informations personnelles, comme des numéros de compte bancaire ou de carte de crédit.