7 attaques de phishing dangereuses que tout le monde devrait connaître

Le FBI estime que les Américains perdront 12,5 milliards de dollars à cause des escroqueries par e-mail en 2023. Vous pensez peut-être savoir comment repérer et éviter les e-mails frauduleux, mais ce n'est pas si simple.

Les courriers électroniques malveillants ne sont qu’une partie d’une liste croissante d’attaques de phishing que les cybercriminels utilisent de plus en plus pour voler de l’argent, exploiter des informations personnelles, voler des identités et causer du tort aux particuliers et aux entreprises.

Voici les 7 types d’attaques de phishing les plus courants et les plus dangereux que les cybercriminels utilisent souvent pour attaquer les utilisateurs.

1. Escroqueries par courrier électronique

La fraude par e-mail (ou phishing) est une forme de cyberattaque par laquelle des cybercriminels envoient de faux e-mails pour inciter leurs destinataires à effectuer des actions qui leur sont avantageuses, comme fournir des informations sensibles, cliquer sur des liens malveillants ou télécharger des logiciels malveillants. Ces e-mails sont souvent conçus pour sembler provenir d'une organisation ou d'un individu de confiance, comme une banque, une grande entreprise ou une agence gouvernementale.

Au départ, les escroqueries en ligne étaient simplement perçues comme des tentatives de vol d'informations sensibles ou d'argent par courrier électronique. Cela n'est pas surprenant, car le courrier électronique est l'un des premiers canaux d'attaque exploités par les cybercriminels pour tromper les utilisateurs.

Malgré leur ancienneté, les e-mails d'hameçonnage restent l'une des formes de fraude les plus courantes. Avec environ 3,4 milliards d'e-mails envoyés chaque jour, ils sont non seulement coûteux, mais aussi la forme de cybercriminalité la plus signalée.

Les e-mails d'hameçonnage étaient autrefois faciles à repérer en raison de leur grammaire et de leur formulation étranges, ce qui les a rapidement conduits à soupçonner d'être frauduleux. Cependant, la situation a changé avec l'avènement de technologies d'IA comme ChatGPT. Cet outil est devenu une véritable mine d'or pour les pirates informatiques, permettant même aux non-anglophones de créer des e-mails d'hameçonnage fluides et professionnels, suffisamment sophistiqués pour tromper presque n'importe qui.

Si vous avez des doutes sur l'authenticité d'un e-mail, contactez directement l'entreprise concernée, mais n'y répondez jamais. Plus important encore, si vous n'êtes pas totalement sûr de la crédibilité de l'e-mail, évitez de cliquer sur les liens ou de télécharger les pièces jointes. Cette mesure peut être essentielle pour vous protéger des cyberattaques.

2. Arnaques par SMS

La fraude par SMS (aussi appelée phishing par SMS ou smishing) est une forme de fraude qui se produit par SMS ou via des applications de messagerie comme WhatsApp et Messenger. Comme la fraude par e-mail, le smishing vise à inciter les utilisateurs à fournir des informations personnelles ou financières, ou à effectuer des actions qui profitent à l'escroc, comme cliquer sur un lien malveillant ou télécharger un logiciel malveillant.

La plupart des gens ont l'habitude de consulter leurs messages dans les 5 minutes suivant leur réception, car les SMS sont souvent perçus comme un moyen de communication plus personnel et plus fiable que les e-mails. Nous recevons souvent des messages d'amis, de membres de notre famille ou d'entreprises de confiance, ce qui facilite leur écoute et leur permet d'y répondre rapidement.

Le smishing est similaire à l'hameçonnage par e-mail, mais au lieu d'apparaître dans votre boîte de réception, il se fait par SMS. Vous avez peut-être reçu un faux SMS d'Amazon vous informant qu'une commande est en route, alors que vous n'avez rien commandé.

Ou peut-être recevez-vous un SMS d'un inconnu qui prétend l'avoir envoyé au mauvais numéro, mais qui prolonge délibérément la conversation. Dans ces situations, les cybercriminels tentent de vous inciter à cliquer sur un lien contenant un logiciel malveillant ou de vous manipuler pour vous voler votre argent et vos informations personnelles.

Le Pig Butchering est une forme d'attaque par smishing de plus en plus courante et sophistiquée dans laquelle un escroc « nourrit » patiemment une victime comme un cochon, en construisant progressivement la confiance et en la convainquant d'investir de l'argent dans quelque chose (souvent un faux échange de crypto-monnaie), afin de finalement prendre tous ses actifs.

3. Arnaques à la pêche sur les réseaux sociaux

L'arnaque à la pêche sur les réseaux sociaux (ou phishing) est une forme de cyberattaque où des cybercriminels se font passer pour des comptes de service client sur des réseaux sociaux tels que Facebook, Zalo, etc. afin d'escroquer leurs victimes. Les attaquants créent de faux sites web ou comptes, se faisant passer pour des marques célèbres ou des services client réputés, afin d'inciter les utilisateurs à leur faire confiance et à leur fournir des informations personnelles, des comptes ou de l'argent.

Nous partageons souvent de nombreuses informations personnelles sur les réseaux sociaux, dans le but de communiquer avec le plus grand nombre. Cependant, ces informations deviennent un outil précieux pour les escrocs, qui peuvent ainsi créer des attaques de phishing sophistiquées et personnalisées, pour arnaquer les utilisateurs plus efficacement.

Les attaquants analyseront vos profils de réseaux sociaux pour savoir quels produits et services vous utilisez, puis se feront passer pour des représentants du service client d'entreprises en lesquelles vous avez confiance.

Ils vous demanderont ensuite de fournir des informations sensibles, d'envoyer des liens malveillants ou de vous diriger vers de faux sites Web pour voler des mots de passe et d'autres données importantes, qui pourront ensuite être utilisées pour pirater vos comptes.

4. Arnaques téléphoniques

Le phishing vocal (aussi appelé vishing ou hameçonnage vocal) est une forme de fraude téléphonique dans laquelle un attaquant se fait passer pour une organisation ou une personne de confiance afin d'inciter le destinataire à fournir des informations personnelles ou financières ou à entreprendre des actions qui lui profitent. Le vishing est une combinaison d'hameçonnage et d'appel vocal, utilisant la voix plutôt que l'e-mail ou le SMS.

Récemment, de nombreuses personnes ont reçu un appel d'une personne se faisant passer pour un employé de banque, sur un ton confiant et amical. Cette personne a informé l'utilisateur qu'une transaction suspecte venait d'être effectuée sur sa carte et que la banque souhaitait vérifier son identité. L'escroc a d'abord demandé à l'utilisateur de fournir son numéro d'identification national (NIM) et d'autres informations importantes concernant sa carte bancaire.

Cette attaque par vishing réunit tous les éléments d'une attaque d'ingénierie sociale réussie. Ils insistent sur l'importance du temps, ce qui rend la victime anxieuse et presque prête à divulguer des informations sensibles. De plus, ils se font passer pour des personnes autoritaires, donnant l'impression que leur demande d'informations est tout à fait raisonnable et nécessaire.

5. Escroqueries ciblées en ligne

Le spear phishing est une forme de fraude en ligne hautement sophistiquée et personnalisée. Contrairement au phishing traditionnel, où un attaquant envoie des milliers de faux e-mails aléatoires, le spear phishing cible spécifiquement une personne ou une organisation. L'attaquant recueille des informations détaillées sur la cible, telles que ses centres d'intérêt, ses relations professionnelles ou d'autres données personnelles, afin de créer un e-mail usurpé qui semble très plausible et fiable.

Le spear phishing est une attaque beaucoup plus sophistiquée et personnelle. Imaginez recevoir un e-mail contenant votre nom et des informations sensibles. Évidemment, vous seriez plus enclin à l'ouvrir, car il semble légitime et digne de confiance.

Les attaques de phishing ne ciblent pas le grand public ; elles visent souvent des cibles que les pirates considèrent comme importantes. Un pirate peut être disposé à investir du temps et des ressources pour recueillir des informations détaillées sur sa cible, afin de créer des e-mails malveillants soigneusement personnalisés et convaincants.

Une variante sophistiquée de l’attaque de spear phishing est le « whaling », qui cible généralement des cibles de plus grande valeur, telles que les PDG et les directeurs généraux, dans le but d’obtenir d’eux des informations sensibles.

6. Arnaque au point d'eau

L'arnaque du point d'eau est empruntée au comportement naturel de la chasse, où les prédateurs tendent une embuscade aux sources d'eau fréquentées par leurs proies.

En cybersécurité, ce terme désigne une forme d'attaque par laquelle un attaquant s'infiltre dans un site web ou un service en ligne fréquemment utilisé par la cible. Il exploite la confiance de l'utilisateur dans ce site web légitime pour l'infecter avec un logiciel malveillant ou voler ses informations personnelles lors de ses visites.

Les arnaques par points d'eau se produisent lorsqu'un attaquant compromet un site web légitime et exploite ses vulnérabilités pour installer du code malveillant, tel que du code HTML ou JavaScript. L'attaquant peut prendre le contrôle de l'intégralité du site web ou en modifier une partie seulement pour rediriger les utilisateurs vers une fausse page.

Lorsque les utilisateurs font initialement confiance au site Web, ils ont tendance à cliquer sur des liens et à fournir des informations sensibles, telles que des numéros de carte de crédit, des numéros d'identification nationale ou des identifiants de connexion, créant ainsi des opportunités pour les attaquants de détourner les données.

7. Fraude par le biais de faux sites Web

L'usurpation de site web est une forme de cyberattaque par laquelle un attaquant crée un faux site web dont l'apparence et le fonctionnement sont quasiment identiques à ceux d'un site web légitime. L'objectif de ce comportement est de tromper les utilisateurs en leur faisant croire qu'ils visitent le site web authentique, et ainsi de voler des informations sensibles telles que des mots de passe, des numéros de carte bancaire ou d'autres informations personnelles.

Avez-vous déjà essayé d'accéder à Amazon.com et tapé accidentellement « Amazonn.com » ? Même si le site web que vous voyez ressemble exactement à Amazon, il pourrait s'agir d'un faux site détenu et exploité par un escroc.

Il s'agit d'une forme d'attaque appelée détournement d'URL, où les cybercriminels achètent des domaines très similaires à des sites web populaires. Ils conçoivent ces sites web pour qu'ils ressemblent à des sites authentiques, mais leur véritable objectif est de collecter vos informations sensibles, telles que vos mots de passe, vos informations de carte bancaire ou vos données personnelles.

Bien que les attaques de phishing soient de plus en plus sophistiquées et difficiles à détecter, vous pouvez vous protéger en restant vigilant. Ne cliquez jamais sur un lien et ne fournissez jamais d'informations sensibles sans avoir vérifié avec soin que la personne avec laquelle vous communiquez est bien un représentant d'une entreprise de confiance.