On ne le dira jamais assez, il faut se méfier de ce qui est trop beau pour être vrai sur internet. Malgré les campagnes de sensibilisation lancées depuis plusieurs années déjà, bon nombre d’internautes tombent encore dans le panneau dès qu’on leur parle de cadeaux de noël avant l’heure.

 

Difficilement croyable mais vrai, le phising et le spear-phising font encore des ravages en 2018. Ces deux types de cyberattaque, que l’on traduit respectivement par « hameçonnage » et « harponnage » dans la langue de Molière, consistent à piéger la ou les victimes en se faisant passer pour autrui.

Phising : attaque de masse, basique et automatisée

Pour le phishing, le pirate envoie un mail à des centaines de destinataires en se faisant passer généralement pour une société ou une institution fiable (banque, administration, …). Les propositions plus qu’alléchantes contenues dans ces mails redirigent la victime vers une page sur laquelle il devra fournir des données personnelles et bancaires. Ces pages copient de manière assez fidèle celle de la société dont l’identité est usurpée.

Spear phising : attaque ciblée, bien construite et préparée

Contrairement à la technique de volume utilisée pour le phising, pour le spear-phishing le cybercriminel exécute une attaque ciblée : une personne en particulier est préalablement identifiée et visée. Il s’agit dans la plupart des cas d’une personne haut-placée dans une organisation et qui est habileté à ordonner des virements bancaires ou autres transactions. En résumé, il suffit d’ajouter une dose d’ingénierie sociale au modèle d’attaque par hameçonnage. 

Lors d’une attaque « au faux président », par exemple, le pirate se fait passer pour le supérieur hiérarchique de la victime et lui ordonne l’exécution d’une opération financière. Grâce aux réseaux sociaux, les informations professionnelles et personnelles des victimes sont facilement accessibles depuis leurs profils, facilitant ainsi la construction d’un discours suffisamment cohérent pour mettre la victime en confiance.

Il faudra probablement opérer de manière différente dans la mise en garde des utilisateurs d’internet afin d’éviter ces types de leurre. Les formations sur la SSI sont à prioriser au sein des entreprises et les campagnes de sensibilisation de masse lancées par Cybermalveillance.gouv sont à renouveler et largement diffuser.

Articles récents

Cybersécurité et espace

Cybersécurité et espace

Il y a encore quelques années, les réseaux terrestres et satellites étaient rarement liés. Les choses ont changé avec le temps et les deux sont devenus interdépendants. La plupart des réseaux reposent actuellement sur des communications satellites, plus stables et...

lire plus

Pour toute demande d’informations : 0805 03 1000 (appel gratuit)

Pour toute demande d’informations :
0805 03 1000 (appel gratuit)

Bâtiment des Hautes Technologies
20 rue Benoît Lauras
F-42000 Saint-Étienne

Tous droits réservés Sunbren 2020 - webdesign laurentholdrinet.com