Comment reconnaître et contrer une campagne de phishing ?

L’hameçonnage est une stratégie de cybercriminalité visant à tromper une victime pour lui soutirer des informations sensibles ou l’inciter à effectuer une action malveillante. L’objectif du hameçonnage est de chercher à abuser de la confiance des utilisateurs afin de les amener à faire des actions ou à dévoiler des secrets pouvant profiter à un attaquant. Une attaque d’hameçonnage peut prendre plusieurs formes : phishing, vishing, smishing, etc. La plus courante des menaces est celle dite de phishing où les cybercriminels utilisent des courriels frauduleux en imitant des organisations de confiance (banques, administrations, entreprises, etc.).

Après avoir décrit différentes techniques d’une campagne d’hameçonnage, cet article s’attachera à présenter quelques astuces pour reconnaître et se protéger d’une campagne de type phishing qui est la forme la plus courante d’hameçonnage.

Qu’est-ce qu’une campagne de phishing ?

Par campagne d’hameçonnage, on entend une forme d’opération organisée basée sur du social engineering qui consiste à tromper un grand nombre d’utilisateurs en usant différentes techniques et différents leviers tels que la peur, la pitié, la curiosité, l’avidité, etc.

Tout d’abord, il convient de rappeler qu’une campagne peut être plus efficace sur des périodes clés. Par exemple, les “black friday”, les soldes, les déclarations d’impôts, la période de Noël, etc., sont autant de périodes propices pour des attaques de type phishing.

Quelles sont les différentes formes d’hameçonnage ?

1) Phishing (ou campagnes par e-mail)

Il s’agit de la plus répandue des attaques d’hameçonnage. Le phishing peut être de masse ou ciblé. L’attaquant envoie un e-mail frauduleux en imitant une entité légitime et de confiance, pour inciter la personne à cliquer sur un lien malveillant ou à fournir des données sensibles.

Pour plus de réalisme, les cybercriminels sont toujours en recherche de fiabilité et de légitimité. Certains usurpent l’identité visuelle des vraies organisations (logos, charte graphique), utilisent des adresses e-mail ou des domaines ressemblant aux originaux (technique du typosquatting). D’autres reproduisent le style de communication officiel de l’entité.

2) Smishing

Le smishing est une forme de phishing semblable à celle par e-mail, à la seule différence près que les SMS sont les vecteurs d’attaque. Ce moyen de communication est également plus propice aux réponses rapides, dans le sens où une personne est encline à consulter et à répondre plus promptement à un SMS qu’à un courriel.

Cette stratégie a déjà fait de nombreuses victimes. Plus de 75% des entreprises dans le monde ont été confrontés à des SMS de smishing sur le premier semestre 2024 (à titre comparatif, 30% des utilisateurs sont ciblés chaque trimestre par des attaques de phishing).

3) Quishing

Le quishing est une attaque de hameçonnage par QR-Code. De plus en plus répandu et dangereux d’un point de vue de la sécurité, le quishing séduit les attaquants pour sa simplicité et sa méconnaissance par le grand public. Ils déploient un code QR frauduleux, qu’ils collent sur un autre déjà existant ou qu’ils envoient par e-mail, qui, une fois scanné, redirige l’utilisateur vers un site spécialement conçu pour voler des informations personnelles.

Cette forme d’attaque est dangereuse car les QR Codes sont devenus omniprésents dans notre quotidien. Ils sont dans la rue, les restaurants, le métro, et sont vus comme inoffensifs. D’où le fait que le quishing est une méthode de plus en plus plébiscitée par les hackers.

4) Vishing

Le vishing, contraction de « voice phishing », est une technique d’attaque qui passe par la voix, en règle générale via le téléphone. Le hacker se fait passer pour une entité légitime (banques, services gouvernementaux, assurances) pour obtenir des informations sensibles.

Pour réussir leur attaque et manipuler leurs victimes, les escrocs utilisent la persuasion, l’urgence, voire l’intimidation.

5) Whaling

Les campagnes de phishing ont aussi pour cible les dirigeants et chefs d’entreprises, c’est le « whaling ». Cette forme de phishing pose de gros enjeux de sécurité. D’une part pour sa faible notoriété dans les milieux dirigeants. D’autre part pour son insidiosité et pour ses gains en cas d’attaque réussie. Selon une étude menée par GetApp, 72 % des cadres se sont retrouvés dans la ligne de mire des cybercriminels.

Dans le cas du whaling, l’attaquant exploite les informations rendues publiques, notamment celles disponibles sur les réseaux sociaux de l’entreprise visée. Il établit ensuite une relation avec sa cible en s’appuyant sur des éléments de sa vie personnelle et en se faisant passer pour une personne digne de confiance. Ce processus de manipulation et de construction de la confiance souvent long peut durer des semaines, voire plusieurs mois.

Les cibles privilégiées sont des personnes occupant des postes élevés dans l’entreprise ou ayant accès aux finances de celle-ci (les assistants de direction, les responsables des ressources humaines, les gestionnaires de paie, les directeurs financiers, etc.).

Quels sont les risques d’une campagne d’hameçonnage pour une organisation ?

Les risques sont multiples :

• Vol de données sensibles : en cas d’attaque réussie, les données clients, les documents confidentiels, ou encore les contrats, peuvent être récupérés par les hackers.
• Pertes financières directes et indirectes : Sony a, par exemple, subi des pertes estimées à plus de 100 millions de dollars suite à une attaque de phishing réussie en 2014.
• Virement frauduleux : comme ce fût le cas pour une multinationale basée à Hong Kong le 5 février 2024 où environ 26 millions de dollars américains ont été détournés grâce à un deepfake créé à partir de vidéos et d’enregistrements audio publics des employés de l’entreprise.
• Atteinte à la réputation de l’organisation : une attaque de phishing réussie peut fortement et gravement nuire à l’image et à la réputation de votre entreprise. En effet, cela pourrait influer sur la confiance de vos clients, de vos partenaires et serait une publicité négative. Par exemple, en 2020, Twitter a vu son cours chuter de 4% en bourse, suite à une attaque de type phishing.

A l’ère de l’Intelligence Artificielle, chacune des méthodes employées peuvent être optimisées. Un mail ou un SMS de phishing peuvent être rédigés par Chat GPT et ne contenir aucune faute d’orthographe. Ce qui était jusqu’alors l’un des moyens les plus rapides et efficaces pour détecter un contenu frauduleux. Même un appel téléphonique peut être détourné à l’aide de l’IA. Cette technologie peut transposer la voix d’un tiers de confiance, sur celle du cybercriminel, qui pourra escroquer sa victime en se faisant passer pour son banquier, son assureur, etc. Les enjeux de sécurité sous l’ère de l’IA sont nombreux et de plus en plus présents dans notre quotidien.

Comprendre l’importance de l’ingénierie sociale

Pour réussir leurs campagnes, les attaquants exploitent différents leviers psychologiques de l’être humain. Cette approche, que l’on appelle l’ingénierie sociale, repose sur trois grands biais cognitifs.

L’urgence

Le premier est le sentiment d’urgence. Les cybercriminels cherchent à créer un sentiment d’urgence chez l’utilisateur ciblé. En d’autres termes, ils cherchent à court-circuiter notre capacité de réflexion critique en nous poussant à agir vite. Sous pression, l’utilisateur ne prendra pas le temps de vérifier la légitimité et la crédibilité du message.

Concrètement, cela peut prendre la forme de courriels reposant sur le sentiment d’urgence. Les e-mails ressemblent à : « Votre compte sera définitivement supprimé dans les prochaines 24 heures si vous ne confirmez pas vos informations. Pour le faire, veuillez cliquer sur ce lien. ». Ou à : « Offre exceptionnelle : -70% sur les Iphone 15 Pro. Plus que 2 heures pour en profiter ! Pour visualiser notre boutique en ligne, cliquez sur ce lien ».

La peur

Le deuxième levier est celui de la peur. Les attaquants créent des scénarios alarmants pour pousser l’utilisateur à chercher une solution rapide, même si elle comporte des risques. Par exemple, cliquer sur un lien frauduleux pour espérer résoudre un problème. Le message le plus répandu est celui-ci : « Alerte sécurité : nous avons détecté une tentative d’intrusion sur votre compte bancaire. Cliquez ici pour vérifier vos dernières transactions. »

A la réception de ce message, la victime souhaite au plus vite consulter ses dernières transactions et l’état de son compte bancaire. Il clique alors sur le lien, rentre ses coordonnées bancaires sur une fausse page de sa banque et confirme ses identifiants. Une autre page s’ouvre, mais ce n’est pas son compte qui apparaît. L’utilisateur a donné, sans le savoir, ses données bancaires à des hackers.

La peur provoque une réaction de stress qui altère le jugement. Dans cet état, nous sommes plus enclins à suivre les instructions qui nous sont données, même si elles proviennent d’une source non vérifiée.

L’appât du gain

La curiosité et l’appât du gain constituent le troisième biais cognitif du cerveau humain. Elle joue sur notre envie de découverte et notre désir de nouveauté. Sachant cela, les hackers créent des scénarios qui nous poussent à agir rapidement.

L’élément commun à tous ces biais cognitifs est la rapidité. Plusieurs stratégies doivent être mises en place, mais la plus efficace reste celle-ci : prenez le temps de vérifier l’information et de se questionner. Voici quelques techniques pour ne plus tomber dans le piège du phishing :

• Former les utilisateurs à reconnaître ces leviers psychologiques ;
• Encourager les collaborateurs à prendre le temps de vérifier l’origine d’une sollicitation inattendue : « D’où vient ce mail ? » ; « Qui l’a envoyé ? » ; « Est-ce que la situation décrite dans ce mail correspond vraiment à la mienne ? » ;
• Mettre en place des procédures de vérification pour les demandes sensibles ;
• Mettre en place un protocole pour remonter les e-mails de phishing à l’équipe IT de votre entreprise ;

Comment reconnaître une campagne de phishing et s’en protéger ?

Analyser la forme…

Vous venez de recevoir un mail inattendu, d’un expéditeur inconnu. Voici le mail :

« Objet : Mise à jour importante de votre compte bancaire – Action requise immédiatement

De : service.client@banque-securise.com

Nous vous informons qu’une activité inhabituelle a été détectée sur votre compte bancaire. Pour protéger vos informations personnelles et éviter tout accès non autorisé, nous avons temporairement suspendu votre compte.

Veuillez suivre les étapes ci-dessous pour réactiver votre compte :

1. Cliquez sur le lien sécurisé suivant : [https://banque-securise.com/verification]
2. Connectez-vous avec vos identifiants habituels.
3. Vérifiez vos informations personnelles et effectuez la mise à jour demandée.

Important : Si vous ne réactivez pas votre compte dans les 24 heures, il sera définitivement suspendu pour des raisons de sécurité.

Nous vous remercions de votre compréhension et restons à votre disposition pour toute question.

Cordialement,« 

Par chance, vous êtes sensibilisés au phishing et vous savez quels sont les éléments à vérifier pour reconnaître une campagne de phishing.

Les premières vérifications portent sur la forme du mail. Examinez l’adresse mail de l’expéditeur. Vous pouvez utiliser un service WHOIS pour vérifier les informations d’enregistrement du domaine. Grâce à ça, vous pourrez déterminer si l’adresse mail est existante, authentique, et digne de confiance.

De plus , survolez les liens, sans cliquer dessus, pour révéler l’URL réelle. Cela vous donnera une idée précise de s’il s’agit d’un lien frauduleux ou non. Ensuite, vérifiez les logos, les images ou la mise en page du mail. S’il s’agit de phishing, les éléments seront de mauvaise qualité, flous ou pixellisés, ou bien, plus simplement, la mise en page sera différente des communications habituelles de l’entreprise.

… Et analyser le fond

Une fois que vous avez vérifié la forme, vous pouvez ne pas encore être sûr de s’il s’agit d’un e-mail de phishing ou pas. Cela peut arriver, notamment quand chacun des éléments mentionnés précédemment sont crédibles et bien réalisés par les hackers.

Vous devez donc analyser le fond du mail. Relisez le corps du message et regardez s’il y a des fautes d’orthographe ou des erreurs grammaticales. Ces fautes de français peuvent vous mettre la puce à l’oreille. S’il en contient, cela peut indiquer qu’il a été traduit automatiquement, et qu’il s’agit peut-être d’un e-mail de phishing.

En outre, méfiez-vous des demandes urgentes qui incitent à agir rapidement, qui plus est lors de demandes soudaines de données sensibles. Aucune entreprise légitime ne vous demandera des coordonnées confidentielles (mots de passe, données bancaires) par email.

Bonnes pratiques

Voici une liste non exhaustive des bonnes pratiques à appliquer pour éviter de tomber dans le piège d’un phishing réussi.

• N’ayez pas une confiance aveugle dans le nom de l’expéditeur et méfiez-vous des pièces jointes.
• Ne cliquez jamais sur les liens ou boutons dans un e-mail suspect, il vaut mieux être prudent et ne pas prendre de risque plutôt que de voir ses identifiants volés.
• Utilisez un antivirus et un filtre anti-spam pour votre messagerie.
• En cas de doute, contactez directement votre service sécurité ou l’entreprise concernée, mais via ses canaux officiels.
• Formez vos collaborateurs, collègues à reconnaître le phishing.
• Déployez en interne des e-mails tests pour mener des simulations de phishing et sensibiliser vos collaborateurs au phishing de manière concrète.

Quelques liens utiles pour aller plus loin :

• MOOC de l’ANSSI afin de s’initier à la cybersécurité : https://secnumacademie.gouv.fr
• Tests Google de sensibilisation et d’entraînement : https://phishingquiz.withgoogle.com
• Analyses de liens :
  • https://transparencyreport.google.com/safe-browsing/search : module d’analyse via IA de Google
  • https://checkphish.ai : analyse via Deep Learning
• Analyses de pièces jointes (sauf si la pièce jointe est un document sensible interne) :
  • https://www.virustotal.com : analyse via plusieurs dizaines de services et anti-virus
  • https://any.run (plus poussé) : permet de visualiser ce qui se passe lors du clic sur le lien, ainsi que ce qu’il se passe au niveau système

Pour finir, gardez en tête que ces analyses ne sont pas infaillibles et ne doivent pas être la seule vérification que vous ferez sur les liens et pièces jointes.