Le phishing n'est pas un phénomène nouveau et presque tout le monde en connaît les dangers. Pourtant, en 2021, plus de 40 % des Belges ont été victimes de phishing. Pourquoi cette technique connaît-elle toujours un tel succès ?
L'objectif du phishing reste d'inciter les victimes à cliquer sur de faux liens pour se connecter à de faux portails web qui ressemblent, par exemple, à l'intranet de leur entreprise, à une plateforme bancaire en ligne ou à un site de réseau social. Lorsque la victime clique sur le faux lien envoyé par l'attaquant, elle est redirigée vers le faux site web de l'attaquant. Lorsque la victime s'y connecte, elle transmet des informations sensibles à l'attaquant.
Cibles spécifiques
Nous avons remarqué un changement récent dans la méthodologie des mails de phishing. Nous constatons que les attaquants ciblent plus souvent les cadres supérieurs ou les cadres de niveau C. C'est ce qu'on appelle le whaling. Les cas de spear phishing sont également en augmentation. Dans ce cadre, les attaquants envoient des e-mails de phishing hautement personnalisés à des individus. Ce sont souvent des profils financiers, des profils de sécurité informatique ou de nouveaux collaborateurs qui sont visés.
Aujourd'hui, la couche de sécurité supplémentaire que de nombreux utilisateurs activent sous la forme d'une authentification multifactorielle (MFA) est également la cible des pirates informatiques. Par exemple, les cybercriminels tentent de récupérer les mots de passe à usage unique (et à durée déterminée générés, par exemple, par une application de vérification) en imitant un écran MFA sur de faux sites web où il est demandé aux utilisateurs, peu méfiants, de saisir leur mot de passe à usage unique.
Nous voyons également des attaques où les cybercriminels créent de faux QR codes. Lorsque ces QR codes sont scannés, les victimes se voient prétendument proposer une réduction importante dans des restaurants, des supermarchés ou une autre marque en échange – bien sûr – d'un paiement en ligne. Ce paiement est ensuite logiquement versé sur le compte de l'attaquant.
Phishing par messages textes ou appels téléphoniques
Outre l'e-mail de phishing classique, il existe d'autres formes de phishing. Les deux formes les plus courantes sont le smishing et le vishing. Dans le cas du smishing, la victime reçoit un SMS, souvent d'une banque, d'un courrier ou d'un proche qui aurait changé de numéro de téléphone. En général, le SMS contient également un faux lien. Le vishing consiste à appeler la victime, souvent par une voix d'ordinateur, en lui disant qu'il y a un problème avec son ordinateur ou qu'elle est recherchée par la police. Les attaquants attendent de la victime qu'elle suive les instructions de cette voix, ce qui conduit généralement à un transfert d'argent pour « obtenir de l'aide ».
Formez vos collaborateurs
Comme le paysage du phishing évolue très rapidement, il reste le premier vecteur d'attaque. Les pirates informatiques ne cessent de trouver de nouveaux moyens de rendre plus difficile la distinction entre les messages authentiques et les faux. Ce n'est qu'en sensibilisant les utilisateurs finaux et en les formant correctement que l'on peut lutter de manière proactive contre le phishing.
Voici quelques ressources intéressantes qui peuvent vous aider à former vos collaborateurs :
- Le module de formation « Regarde où tu vas ! », première partie de la série Surfer sans soucis, une série de formations en ligne simples et accessibles sur la cybersécurité développées par le Centre pour la Cybersécurité Belgique (CCB) et la Cyber Security Coalition (CSC).
- Le test du phishing sur Safeonweb et les conseils qui l'accompagnent.
- Le Cyber Security Kit développé par le CCB et la CSC, qui comprend un certain nombre d'outils utiles pour les petites et moyennes organisations.
- Les vidéos « No Phish » de Secuso (en anglais).
Raf Gillisjans a étudié l'informatique appliquée à Bruges et fait partie de l'équipe de sécurité de Belnet depuis près de deux ans. Il teste de nouvelles solutions pour rendre l'environnement Belnet plus sûr et fait également partie de l'équipe de sensibilisation à la sécurité. En dehors de Belnet, vous pouvez le retrouver dans un studio de radio, derrière une caméra ou derrière son ordinateur en train de jouer à un jeu.