On ne le dira jamais assez, il faut se méfier de ce qui est trop beau pour être vrai sur internet. Malgré les campagnes de sensibilisation lancées depuis plusieurs années déjà, bon nombre d’internautes tombent encore dans le panneau dès qu’on leur parle de cadeaux de noël avant l’heure.
Difficilement croyable mais vrai, le phising et le spear-phising font encore des ravages en 2018. Ces deux types de cyberattaque, que l’on traduit respectivement par « hameçonnage » et « harponnage » dans la langue de Molière, consistent à piéger la ou les victimes en se faisant passer pour autrui.
Phising : attaque de masse, basique et automatisée
Pour le phishing, le pirate envoie un mail à des centaines de destinataires en se faisant passer généralement pour une société ou une institution fiable (banque, administration, …). Les propositions plus qu’alléchantes contenues dans ces mails redirigent la victime vers une page sur laquelle il devra fournir des données personnelles et bancaires. Ces pages copient de manière assez fidèle celle de la société dont l’identité est usurpée.
Spear phising : attaque ciblée, bien construite et préparée
Contrairement à la technique de volume utilisée pour le phising, pour le spear-phishing le cybercriminel exécute une attaque ciblée : une personne en particulier est préalablement identifiée et visée. Il s’agit dans la plupart des cas d’une personne haut-placée dans une organisation et qui est habileté à ordonner des virements bancaires ou autres transactions. En résumé, il suffit d’ajouter une dose d’ingénierie sociale au modèle d’attaque par hameçonnage.
Lors d’une attaque « au faux président », par exemple, le pirate se fait passer pour le supérieur hiérarchique de la victime et lui ordonne l’exécution d’une opération financière. Grâce aux réseaux sociaux, les informations professionnelles et personnelles des victimes sont facilement accessibles depuis leurs profils, facilitant ainsi la construction d’un discours suffisamment cohérent pour mettre la victime en confiance.
Il faudra probablement opérer de manière différente dans la mise en garde des utilisateurs d’internet afin d’éviter ces types de leurre. Les formations sur la SSI sont à prioriser au sein des entreprises et les campagnes de sensibilisation de masse lancées par Cybermalveillance.gouv sont à renouveler et largement diffuser.
Articles récents
Hacker éthique, pirate pour la bonne cause
À chaque fin d’exercice, le bilan des incidents de cybersécurité semble toujours plus catastrophique qu’il ne l’était l’année précédente, et ce malgré les efforts fournis par les gouvernements, les entités étatiques et les entreprises. Les cybercriminels semblent...
L’ANSSI aide les services publics avec MonServiceSécurisé
Ces dernières années, les cyberattaques perpétrées à l’encontre des administrations publiques, des entités étatiques et des collectivités territoriales se sont multipliées. Afin de renforcer la cybersécurité des services publics en ligne, l’Agence nationale pour la...
Netflix investit le secteur du cloud gaming
Non content de dominer le marché du streaming vidéo, Netflix pourrait également devenir un grand nom du cloud gaming. Bien que l’offre gaming de Netflix se cherche depuis son lancement en 2021, la firme envisage d’avancer plus sérieusement dans le cloud gaming. Le 19...