On ne le dira jamais assez, il faut se méfier de ce qui est trop beau pour être vrai sur internet. Malgré les campagnes de sensibilisation lancées depuis plusieurs années déjà, bon nombre d’internautes tombent encore dans le panneau dès qu’on leur parle de cadeaux de noël avant l’heure.
Difficilement croyable mais vrai, le phising et le spear-phising font encore des ravages en 2018. Ces deux types de cyberattaque, que l’on traduit respectivement par « hameçonnage » et « harponnage » dans la langue de Molière, consistent à piéger la ou les victimes en se faisant passer pour autrui.
Phising : attaque de masse, basique et automatisée
Pour le phishing, le pirate envoie un mail à des centaines de destinataires en se faisant passer généralement pour une société ou une institution fiable (banque, administration, …). Les propositions plus qu’alléchantes contenues dans ces mails redirigent la victime vers une page sur laquelle il devra fournir des données personnelles et bancaires. Ces pages copient de manière assez fidèle celle de la société dont l’identité est usurpée.
Spear phising : attaque ciblée, bien construite et préparée
Contrairement à la technique de volume utilisée pour le phising, pour le spear-phishing le cybercriminel exécute une attaque ciblée : une personne en particulier est préalablement identifiée et visée. Il s’agit dans la plupart des cas d’une personne haut-placée dans une organisation et qui est habileté à ordonner des virements bancaires ou autres transactions. En résumé, il suffit d’ajouter une dose d’ingénierie sociale au modèle d’attaque par hameçonnage.
Lors d’une attaque « au faux président », par exemple, le pirate se fait passer pour le supérieur hiérarchique de la victime et lui ordonne l’exécution d’une opération financière. Grâce aux réseaux sociaux, les informations professionnelles et personnelles des victimes sont facilement accessibles depuis leurs profils, facilitant ainsi la construction d’un discours suffisamment cohérent pour mettre la victime en confiance.
Il faudra probablement opérer de manière différente dans la mise en garde des utilisateurs d’internet afin d’éviter ces types de leurre. Les formations sur la SSI sont à prioriser au sein des entreprises et les campagnes de sensibilisation de masse lancées par Cybermalveillance.gouv sont à renouveler et largement diffuser.
Articles récents
Retour sur l’incident CrowdStrike
L'affaire CrowdStrike a récemment fait les gros titres après une panne informatique mondiale qui a paralysé plusieurs secteurs, dont l'aviation, en juillet 2024. Cette panne a été provoquée par une mise à jour défectueuse d'un logiciel de cybersécurité développé par...
Le quishing, une nouvelle arnaque à surveiller
Le quishing est une nouvelle arnaque qui utilise des codes QR pour tromper les gens et les inciter à visiter de faux sites Web. Ces faux sites Web ressemblent à de vrais sites Web de banques, d'agences gouvernementales ou d'autres entreprises. Une fois sur le faux...
Cyberattaques et élections européennes : Une menace persistante et en évolution
Alors que les élections européennes approchent à grands pas, les cyberattaques se profilent comme une menace majeure pour l'intégrité du processus démocratique. Les récentes actualités mettent en lumière l'impossibilité de garantir un risque zéro en matière de...