7 types d'attaques de phishing dangereuses que tout le monde doit connaître
À l'ère du numérique, les cyberattaques sont plus sophistiquées et diversifiées que jamais. L'une des formes d'attaque les plus courantes et les plus dangereuses est la fraude en ligne. Cet article présente sept des types d'attaques d'hameçonnage les plus dangereux ; il est essentiel de les connaître pour se protéger et protéger ses biens.
Le FBI estime que les Américains perdront jusqu'à 12,5 milliards de dollars à cause des arnaques par courriel en 2023. Vous pensez peut-être savoir comment repérer et éviter les courriels frauduleux, mais ce n'est pas si simple.
Les courriels malveillants ne représentent qu'une partie d'une liste croissante d'attaques d'hameçonnage de plus en plus sophistiquées que les cybercriminels utilisent non seulement pour voler de l'argent, mais aussi pour exploiter des informations personnelles, voler des identités et nuire aux particuliers et aux entreprises.
Voici les 7 types d'attaques de phishing les plus courants et les plus dangereux que les cybercriminels utilisent souvent pour attaquer les utilisateurs.
1. Arnaques par courriel
La fraude par courriel (ou hameçonnage) est une forme de cyberattaque où des cybercriminels envoient de faux courriels pour inciter les destinataires à réaliser des actions à leur avantage, comme fournir des informations sensibles, cliquer sur des liens malveillants ou télécharger des logiciels malveillants. Ces courriels sont souvent conçus pour paraître provenir d'une organisation ou d'une personne de confiance, comme une banque, une grande entreprise ou un organisme gouvernemental.
Au départ, les arnaques en ligne étaient simplement perçues comme des tentatives de vol d'informations sensibles ou d'argent par courrier électronique. Cela n'a rien d'étonnant, car le courrier électronique est l'un des premiers vecteurs d'attaque exploités par les cybercriminels pour tromper les utilisateurs.
Malgré son ancienneté, l'hameçonnage par courriel demeure l'une des formes de fraude les plus répandues aujourd'hui. Avec environ 3,4 milliards de courriels envoyés chaque jour, il est non seulement coûteux, mais aussi la forme de cybercriminalité la plus signalée.
Les courriels d'hameçonnage étaient autrefois faciles à repérer grâce à leur grammaire approximative et leur formulation étrange, ce qui les rendait rapidement suspects. Cependant, la donne a changé avec l'avènement de technologies d'intelligence artificielle comme ChatGPT. Cet outil est devenu un « assistant puissant » pour les pirates informatiques, permettant même à ceux qui ne maîtrisent pas l'anglais de créer des courriels d'hameçonnage fluides et d'apparence professionnelle, suffisamment sophistiqués pour tromper presque n'importe qui.
En cas de doute sur l'authenticité d'un courriel, prenez l'initiative de contacter directement l'entreprise concernée, mais ne répondez jamais à ce courriel. Plus important encore, si vous n'êtes pas absolument certain de sa crédibilité, évitez de cliquer sur les liens ou de télécharger les pièces jointes. Cette précaution peut vous protéger efficacement contre les cyberattaques.
2. Arnaques par SMS
La fraude par SMS (également appelée hameçonnage par SMS ou smishing) est une forme de fraude qui se produit par le biais de messages textes ou d'applications de messagerie telles que WhatsApp ou Messenger. À l'instar de la fraude par courriel, le smishing vise à inciter les utilisateurs à divulguer des informations personnelles ou financières, ou à effectuer des actions qui profitent à l'escroc, comme cliquer sur des liens malveillants ou télécharger des logiciels malveillants.
La plupart des gens ont l'habitude de consulter leurs messages dans les cinq minutes suivant leur réception, car les SMS sont souvent perçus comme un moyen de communication plus personnel et plus fiable que les courriels. Nous recevons fréquemment des messages d'amis, de proches ou d'entreprises de confiance, ce qui nous permet d'y prêter facilement attention et d'y répondre rapidement.
Le smishing est similaire aux arnaques par e-mail, mais au lieu d'apparaître dans votre boîte de réception, ces arnaques se produisent par SMS. Vous avez peut-être reçu un faux SMS d'« Amazon » vous informant qu'une commande est en route, alors que vous n'avez jamais rien commandé.
Ou peut-être recevez-vous un message d'un « inconnu » qui prétend s'être trompé de numéro, mais qui prolonge intentionnellement la conversation. Ces situations sont autant de tentatives de cybercriminels pour vous inciter à cliquer sur un lien contenant un logiciel malveillant ou pour vous manipuler afin de vous soutirer de l'argent et des informations personnelles.
Le « Pig Butchering » est une forme de plus en plus courante et sophistiquée d'attaque par smishing dans laquelle un escroc « nourrit » patiemment une victime comme un cochon, gagnant progressivement sa confiance et la convainquant d'investir de l'argent dans quelque chose (généralement une fausse plateforme d'échange de cryptomonnaies), pour finalement lui prendre tous ses actifs.
3. Arnaques à la pêche sur les réseaux sociaux
L’escroquerie par hameçonnage sur les réseaux sociaux (ou hameçonnage à l’hameçon) est une forme de cyberattaque où des cybercriminels usurpent l’identité de comptes de service client sur des réseaux sociaux tels que Facebook, Zalo, etc., afin d’escroquer leurs victimes. Les attaquants créent de faux sites web ou comptes, imitant des marques connues ou des services clients réputés, dans le but d’amener les utilisateurs à leur faire confiance et à leur fournir des informations personnelles, des comptes ou de l’argent.
Nous partageons souvent beaucoup d'informations personnelles sur les réseaux sociaux, animés par le désir de communiquer et d'échanger avec tous. Cependant, ces informations deviennent un outil pour les escrocs, leur permettant de concevoir des attaques de phishing sophistiquées et personnalisées afin d'escroquer les utilisateurs plus efficacement.
Les pirates informatiques analyseront vos profils sur les réseaux sociaux pour découvrir les produits et services que vous utilisez, puis usurperont l'identité de représentants du service client d'entreprises auxquelles vous faites confiance.
Ils vous demanderont ensuite de fournir des informations sensibles, vous enverront des liens malveillants ou vous redirigeront vers de faux sites web pour voler vos mots de passe et autres données importantes, ce qui leur permettra ensuite de pirater votre compte.
4. Arnaques téléphoniques
L'hameçonnage vocal (également appelé vishing ou phishing par téléphone) est une forme de fraude téléphonique où un escroc se fait passer pour une organisation ou une personne de confiance afin d'inciter la victime à divulguer des informations personnelles ou financières, ou à entreprendre des actions à son avantage. Le vishing combine hameçonnage et appels vocaux, utilisant la voix plutôt que les courriels ou les SMS.
Récemment, de nombreuses personnes ont reçu un appel d'une personne se faisant passer pour un employé de banque, au ton assuré et amical. Cette personne les informait qu'une transaction suspecte avait été effectuée sur leur carte et que la banque devait vérifier leur identité. La première chose que l'escroc a faite a été de demander à la victime son numéro d'identification et d'autres informations importantes concernant sa carte bancaire.
Cette attaque de vishing présente tous les signes d'une tentative d'ingénierie sociale réussie. Les escrocs insistent sur l'urgence de la situation, ce qui rend la victime nerveuse et presque encline à divulguer des informations sensibles. De plus, ils se font passer pour une personne en position d'autorité, faisant croire que leur demande d'informations est parfaitement raisonnable et nécessaire.
5. Arnaques en ligne ciblées
Le spear phishing est une forme de fraude en ligne très sophistiquée et personnalisée. Contrairement au phishing classique, où un attaquant envoie des milliers de courriels frauduleux aléatoires, le spear phishing cible spécifiquement une personne ou une organisation. L'attaquant recueille des informations détaillées sur sa cible, telles que ses centres d'intérêt, ses relations professionnelles ou d'autres données personnelles, afin de créer un courriel falsifié qui paraît très plausible et digne de confiance.
Le spear phishing est une attaque beaucoup plus sophistiquée et personnelle. Imaginez recevoir un courriel contenant votre nom et des informations sensibles. Vous seriez évidemment plus enclin à l'ouvrir, car il paraît tout à fait légitime et digne de confiance.
Les attaques de phishing ne visent pas les particuliers ; elles ciblent plutôt des personnes que les pirates considèrent comme précieuses. Un pirate peut investir du temps et des ressources pour recueillir des informations détaillées sur sa cible, afin de créer des courriels malveillants soigneusement personnalisés et convaincants.
Une variante sophistiquée de l'attaque de spear phishing est le « whaling », qui cible généralement des personnes de grande valeur, comme les PDG et les directeurs généraux, dans le but d'obtenir d'elles des informations sensibles.
6. Arnaque au point d'eau
L'arnaque du point d'eau s'inspire du comportement de chasse naturel, où les prédateurs tendent des embuscades aux points d'eau fréquentés par leurs proies.
En cybersécurité, ce terme désigne une forme d'attaque où un pirate s'introduit dans un site web ou un service en ligne fréquemment utilisé par sa victime. Il exploite la confiance de l'utilisateur envers ce site légitime pour l'infecter avec un logiciel malveillant ou dérober des informations personnelles lors de ses visites.
Les arnaques par point d'eau se produisent lorsqu'un pirate informatique compromet un site web légitime et exploite ses failles de sécurité pour y installer du code malveillant, comme du code HTML ou JavaScript. Le pirate peut alors prendre le contrôle de l'intégralité du site ou n'en modifier qu'une partie afin de rediriger les utilisateurs vers une fausse page.
Lorsque les utilisateurs font initialement confiance au site web, ils ont tendance à cliquer sur des liens et à fournir des informations sensibles, telles que des numéros de carte de crédit, des numéros d'identification nationaux ou des identifiants de connexion, créant ainsi des opportunités pour les attaquants de détourner des données.
7. Fraude via de faux sites web
L'usurpation d'identité de site web est une forme de cyberattaque où un pirate crée un faux site web dont l'apparence et le fonctionnement sont quasi identiques à ceux d'un site légitime. Le but est de tromper les utilisateurs en leur faisant croire qu'ils visitent le vrai site, afin de dérober des informations sensibles telles que des mots de passe, des numéros de carte bancaire ou d'autres données personnelles.
Vous est-il déjà arrivé d'essayer d'accéder à Amazon.com et de taper par erreur Amazonn.com ? Même si le site web que vous voyez ressemble trait pour trait à Amazon, il pourrait s'agir d'un faux site appartenant à un escroc et géré par lui.
Il s'agit d'une forme d'attaque appelée détournement d'URL, où des cybercriminels achètent des noms de domaine très similaires à des sites web populaires. Ils conçoivent ces sites pour qu'ils ressemblent aux sites légitimes, mais leur véritable objectif est de collecter vos informations sensibles, telles que vos mots de passe, vos informations de carte bancaire ou vos données personnelles.
Bien que les attaques d'hameçonnage soient de plus en plus sophistiquées et difficiles à détecter, vous pouvez vous protéger en restant vigilant. Ne cliquez jamais sur un lien et ne communiquez jamais d'informations sensibles sans avoir vérifié au préalable que votre interlocuteur est bien un représentant d'une entreprise de confiance.
