Le terme phishing (hameçonnage en français) est une variante orthographique du mot anglais fishing (pêcher en français)
Pour faire simple, le but, comme à la pêche, est d’envoyer sa ligne et d’attendre qu’un poisson morde. Sauf que dans ce cas le poisson c'est vous...
Pouvoir identifier si l’on vous prend pour une carpe et savoir comment réagir pourrait vous empêcher de divulguer des informations privées telles que votre nom d’utilisateur, vos mots de passe et bien d’autres informations.
Qu’est-ce qu’une attaque de phishing ?
Si vous avez reçu un email… avec pour objet « ACTION REQUISE ! » sur un sujet dont vous n’avez jamais entendu parler, alors vous avez reçu une attaque de phishing.
Le phishing est le type de cyberattaque le plus utilisé en 2021 et pour cause, c’est l’un des plus simple ! C’est une cyberattaque utilisant l’ingénierie sociale.
c’est une cyberattaque utilisant l‘ingénierie sociale. Je vois déjà vos grands yeux : « mais tu avais dit pas de mots barbares… »
Je fais donc un petit laïus, dans le contexte de la sécurité de l’information, l’ingénierie sociale, est une pratique de manipulation psychologique à des fins d’escroquerie. Les termes plus appropriés à utiliser sont le piratage psychologique ou la fraude psychologique.
Prenons un cas concret d’ingénierie sociale (maintenant que vous savez ce que c’est) :
Je suis un cyber attaquant et je veux pirater quelqu’un se nommant Romain Fessard. Je vais commencer par regarder sur les réseaux, Facebook, Instagram, Twitter et ensuite sur Google image.
En moins de 5 minutes, nous nous rendons compte que Romain Fessard est en couple, il a des enfants et travaille entre autre chez NEOMA. En suivant son Instagram je me rends compte qu’il aime faire de la course à pied.
Maintenant que j’ai ses informations, je vais pouvoir jouer sur la psychologie afin d’essayer de le duper en lui envoyant un mail ou autre (on en parle plus bas, patience) qui pourrait très bien être :
Bonjour Romain,
Viens voir sur mon site : https://nomdunsitebidon.fr, les dernières photos de la course de la semaine dernière.
Bien à toi,
Albert
En cliquant sur le lien, plusieurs possibilités que nous allons voir ci-dessous 🙂
Qui ciblent les attaques de phishing ?
Nous avons vu que nous pouvons faire du phishing personnalisé, mais si nous voulons pirater tout un organisme, il est difficile de chercher des informations sur 300 personnes ou plus…
Ce que nous pouvons donc faire c’est tenter quelque chose de plus généraliste. En 2017, Facebook a été victime de phishing et a dû payer plus de 100 millions de dollars. Imaginez vous bossez chez Facebook et vous recevez un mail de type :
Bonjour Pierre,
Vu les résultats de Facebook cette année, la direction a décidé de vous octroyer une prime de 1 000 euros.
Pouvez vous mettre vos informations à jour en allant ici : https://facebbook.com/maprime
Bonne journée,
Le service RH
Avez vous remarqué ? Non ? Toujours pas ? regardez mon lien.. Ce n’est pas FACEBOOK mais FACEBBOOK avec 2 B. Vous vous dites : jamais je me ferais avoir avec un truc aussi simple ? Détrompez-vous, si on cumule : la fatigue, le stress, le peu de temps que l’on a pour ouvrir un mail et l’excitation, une personne sur six se fera avoir.. et sur 300 personnes ça en fait du monde..
Comment éviter d’être victime de phishing ?
Les attaques de phishing varient dans leur niveau de crédibilité, mais si vous avez le moindre doute sur un e-mail, il est préférable de ne pas lui faire confiance.
Vous allez forcément recevoir un e-mail de phishing un jour ou l’autre, c’est à ce moment qu’il ne faudra pas être le poisson.
Si vous avez des doutes sur un e-mail, vous devez :
- Évitez de l’ouvrir et de cliquer sur des liens ou des fichiers inconnus.
- Informez vos pairs de l’arnaque.
- Le supprimer immédiatement.
Je vous prépare un article entier sur les manières de reconnaitre un mail de phishing 🙂
N’hésitez pas à commenter si vous avez des critiques, qu’elles soient positives ou négatives.
Et comme je dis toujours : la plus grosse faille de sécurité se trouve entre la chaise et l’écran…
