7 types d'attaques de phishing dangereuses que tout le monde doit connaître

Le FBI estime que les Américains perdront jusqu'à 12,5 milliards de dollars à cause des escroqueries par e-mail en 2023. Vous pensez peut-être savoir comment repérer et éviter les e-mails frauduleux, mais ce n'est pas si simple.

Les courriers électroniques malveillants ne sont qu’une partie d’une liste croissante d’attaques de phishing de plus en plus sophistiquées que les cybercriminels utilisent non seulement pour voler de l’argent, mais également pour exploiter des informations personnelles, voler des identités et causer du tort aux particuliers et aux entreprises.

Voici les 7 types d’attaques de phishing les plus courantes et les plus dangereuses que les cybercriminels utilisent souvent pour attaquer les utilisateurs.

1. Escroqueries par courrier électronique

La fraude par e-mail (ou hameçonnage par e-mail) est une forme de cyberattaque par laquelle des cybercriminels envoient de faux e-mails pour inciter leurs destinataires à effectuer des actions qui leur sont avantageuses, comme fournir des informations sensibles, cliquer sur des liens malveillants ou télécharger des logiciels malveillants. Ces e-mails sont souvent conçus pour sembler provenir d'une organisation ou d'un individu digne de confiance, comme une banque, une grande entreprise ou un organisme gouvernemental.

Au départ, les escroqueries en ligne étaient simplement perçues comme des tentatives de vol d'informations sensibles ou d'argent par courrier électronique. Cela n'est pas surprenant, car le courrier électronique est l'un des premiers canaux d'attaque exploités par les cybercriminels pour tromper les utilisateurs.

Malgré son ancienneté, le phishing par e-mail reste l'une des formes de fraude les plus répandues aujourd'hui. Avec environ 3,4 milliards d'e-mails envoyés chaque jour, il est non seulement coûteux, mais aussi la forme de cybercriminalité la plus signalée.

Les e-mails d'hameçonnage étaient autrefois faciles à repérer grâce à leur grammaire approximative et à leur formulation étrange, ce qui les a rapidement conduits à être soupçonnés d'être frauduleux. Cependant, la situation a changé avec l'avènement de technologies d'IA comme ChatGPT. Cet outil est devenu un « assistant puissant » pour les pirates, permettant même aux non-anglophones de créer des e-mails d'hameçonnage fluides et professionnels, suffisamment sophistiqués pour tromper presque n'importe qui.

Si vous avez des doutes sur l'authenticité d'un e-mail, contactez directement l'entreprise concernée, mais n'y répondez jamais. Plus important encore, si vous n'êtes pas totalement certain de la crédibilité de l'e-mail, évitez de cliquer sur les liens ou de télécharger les pièces jointes. Cette mesure peut être essentielle pour vous protéger des cyberattaques.

2. Arnaques par SMS

La fraude par SMS (aussi appelée phishing ou smishing) est une forme de fraude qui se produit par SMS ou via des applications de messagerie comme WhatsApp et Messenger. Comme la fraude par e-mail, le smishing vise à inciter les utilisateurs à fournir des informations personnelles ou financières, ou à effectuer des actions qui profitent à l'escroc, comme cliquer sur des liens malveillants ou télécharger des logiciels malveillants.

La plupart des gens ont l'habitude de consulter leurs messages dans les 5 minutes suivant leur réception, car les SMS sont souvent perçus comme un moyen de communication plus personnel et plus fiable que les e-mails. Nous recevons souvent des messages d'amis, de membres de notre famille ou d'entreprises de confiance, ce qui facilite leur écoute et leur permet d'y répondre rapidement.

Le smishing est similaire aux arnaques par e-mail, mais au lieu d'apparaître dans votre boîte de réception, ces arnaques se font par SMS. Vous avez peut-être reçu un faux SMS d'Amazon vous informant qu'une commande est en route, alors que vous n'avez rien commandé.

Ou peut-être recevez-vous un message d'un inconnu qui prétend l'avoir envoyé au mauvais numéro, mais qui prolonge intentionnellement la conversation. Dans ces situations, les cybercriminels tentent de vous inciter à cliquer sur un lien contenant un logiciel malveillant ou de vous manipuler pour vous voler de l'argent et des informations personnelles.

Le Pig Butchering est une forme d'attaque par smishing de plus en plus courante et sophistiquée dans laquelle un escroc « nourrit » patiemment une victime comme un cochon, en créant progressivement une relation de confiance et en la convainquant d'investir de l'argent dans quelque chose (généralement un faux échange de crypto-monnaie), pour finalement prendre tous ses actifs.

3. Arnaques à la pêche sur les réseaux sociaux

L'arnaque à la pêche aux réseaux sociaux (ou phishing) est une forme de cyberattaque où des cybercriminels se font passer pour des comptes de service client sur des réseaux sociaux tels que Facebook, Zalo, etc. afin d'escroquer leurs victimes. Les attaquants créent de faux sites web ou comptes, se faisant passer pour des marques célèbres ou des services client réputés, afin d'inciter les utilisateurs à leur faire confiance et à leur fournir des informations personnelles, des comptes ou de l'argent.

Nous partageons souvent de nombreuses informations personnelles sur les réseaux sociaux, dans le but de communiquer avec le plus grand nombre. Cependant, ces informations deviennent un outil précieux pour les escrocs, leur permettant de créer des attaques d'hameçonnage sophistiquées et personnalisées, afin d'arnaquer les utilisateurs plus efficacement.

Les attaquants analyseront vos profils de réseaux sociaux pour découvrir quels produits et services vous utilisez, puis se feront passer pour des représentants du service client d'entreprises en lesquelles vous avez confiance.

Ils vous demanderont ensuite de fournir des informations sensibles, d'envoyer des liens malveillants ou de vous diriger vers de faux sites Web pour voler des mots de passe et d'autres données importantes, qui peuvent ensuite pirater votre compte.

4. Arnaques téléphoniques

L'hameçonnage vocal (aussi appelé vishing ou hameçonnage vocal) est une forme de fraude téléphonique dans laquelle un attaquant se fait passer pour une organisation ou une personne de confiance afin d'inciter le destinataire à fournir des informations personnelles ou financières ou à entreprendre des actions qui lui profitent. L'hameçonnage vocal est une combinaison d'hameçonnage et d'appel vocal, utilisant la voix plutôt que les e-mails ou les SMS.

Récemment, de nombreuses personnes ont reçu un appel d'une personne se faisant passer pour un employé de banque, sur un ton confiant et amical. Cette personne a informé l'utilisateur qu'une transaction suspecte venait d'être effectuée sur sa carte et que la banque souhaitait vérifier son identité. L'escroc a d'abord demandé à l'utilisateur son numéro d'identification et d'autres informations importantes concernant sa carte bancaire.

Cette attaque par hameçonnage vocal a tout d'une attaque d'ingénierie sociale réussie. Ils insistent sur le fait que le temps est un facteur essentiel, ce qui rend la victime nerveuse et presque prête à divulguer des informations sensibles. De plus, ils se font passer pour une personne d'autorité, donnant l'impression que leur demande d'informations est tout à fait raisonnable et nécessaire.

5. Escroqueries ciblées en ligne

L'hameçonnage ciblé est une forme de fraude en ligne hautement sophistiquée et personnalisée. Contrairement à l'hameçonnage traditionnel, où un attaquant envoie des milliers de faux e-mails aléatoires, l'hameçonnage ciblé cible spécifiquement une personne ou une organisation. L'attaquant recueille des informations détaillées sur la cible, telles que ses centres d'intérêt, ses relations professionnelles ou d'autres données personnelles, afin de créer un e-mail usurpé qui semble très plausible et fiable.

L'hameçonnage ciblé est une attaque beaucoup plus sophistiquée et personnelle. Imaginez recevoir un e-mail contenant votre nom et des informations sensibles. Vous seriez évidemment plus enclin à l'ouvrir, car il semble légitime et fiable.

Les attaques d'hameçonnage ne ciblent pas le grand public ; elles visent souvent des cibles que les pirates considèrent comme hautement sensibles. Un pirate peut être disposé à investir du temps et des ressources pour recueillir des informations détaillées sur sa cible afin de créer des e-mails malveillants soigneusement personnalisés et convaincants.

Une variante sophistiquée de l’attaque de spear phishing est le « whaling », qui cible généralement des cibles de plus grande valeur, telles que les PDG et les directeurs généraux, dans le but d’obtenir d’eux des informations sensibles.

6. Arnaque au point d'eau

L’arnaque du point d’eau est empruntée au comportement naturel de la chasse, où les prédateurs tendent des embuscades aux sources d’eau fréquentées par leurs proies.

En cybersécurité, ce terme désigne une forme d'attaque par laquelle un attaquant s'introduit dans un site web ou un service en ligne fréquemment utilisé par la cible. Il exploite la confiance de l'utilisateur envers ce site web légitime pour l'infecter avec un logiciel malveillant ou voler ses informations personnelles lors de ses visites.

Les arnaques par points d'eau se produisent lorsqu'un attaquant compromet un site web légitime et exploite ses vulnérabilités pour installer du code malveillant, tel que du code HTML ou JavaScript. L'attaquant peut prendre le contrôle de l'intégralité du site web ou en modifier une partie seulement pour rediriger les utilisateurs vers une fausse page.

Lorsque les utilisateurs font initialement confiance à un site Web, ils ont tendance à cliquer sur des liens et à fournir des informations sensibles, telles que des numéros de carte de crédit, des numéros d’identification nationale ou des identifiants de connexion, créant ainsi une opportunité pour les attaquants de détourner les données.

7. Fraude par le biais de faux sites Web

L'usurpation de site web est une forme de cyberattaque par laquelle un attaquant crée un faux site web dont l'apparence et le fonctionnement sont quasiment identiques à ceux d'un site web légitime. L'objectif est de tromper les utilisateurs en leur faisant croire qu'ils visitent le site web authentique, et ainsi de voler des informations sensibles telles que des mots de passe, des numéros de carte bancaire ou d'autres informations personnelles.

Avez-vous déjà essayé d'accéder à Amazon.com et tapé accidentellement « Amazonn.com » ? Même si le site web que vous voyez ressemble exactement à Amazon, il pourrait s'agir d'un faux site détenu et exploité par un escroc.

Il s'agit d'une forme d'attaque appelée détournement d'URL, où les cybercriminels achètent des domaines très similaires à des sites web populaires. Ils conçoivent ces sites web pour qu'ils ressemblent à des sites authentiques, mais leur véritable objectif est de collecter vos informations sensibles, telles que vos mots de passe, vos informations de carte bancaire ou vos données personnelles.

Bien que les attaques d'hameçonnage soient de plus en plus sophistiquées et difficiles à détecter, vous pouvez toujours vous protéger en restant vigilant. Ne cliquez jamais sur un lien et ne fournissez jamais d'informations sensibles sans avoir vérifié avec soin que la personne avec laquelle vous communiquez est bien un représentant d'une entreprise de confiance.