Le phishing par courriel représente depuis des années le type de cyberattaque le plus courant. D’après les derniers signalements, la tendance est au ciblage des attaques. Et à la perfidie.
L’hameçonnage ou phishing est principalement un phénomène de masse, dans le sens où les criminels envoient des quantités massives de courriels, dans l’espoir qu’une petite partie des destinataires tombera dans le piège. Or l’Office fédéral de la cybersécurité (OFCS) observe une augmentation des attaques ciblées (on parle alors de « spear phishing » ou d’harponnage en français). Caractérisées par un champ d’action plus réduit et organisées avec moins de moyens, elles enregistrent néanmoins des taux de réussite plus élevés.
Dans ce type d’attaque, les utilisateurs reçoivent un courriel apparemment inoffensif provenant d'une banque par exemple, et dans lequel on leur demande de mettre à jour leurs données personnelles. Or, après avoir cliqué sur le lien, ce n’est pas sur le site de la banque qu’ils atterrissent, mais sur une imitation parfaite. Jusque-là, rien de nouveau, car il s’agit du scénario typique d’une attaque de phishing.
Sur ce faux site, les utilisateurs ne sont pas invités à saisir leur numéro de carte bancaire ou leurs mots de passe, mais juste leur nom, prénom et numéro de téléphone. Et comme ces informations ne sont pas particulièrement sensibles, beaucoup le font sans se poser trop de questions.
Or les données ainsi obtenues ne représentent que la première étape de l’attaque. Dans un deuxième temps, les cybercriminels recontactent les victimes, par téléphone cette fois, en se faisant passer pour des opérateurs de la banque. Il arrive même parfois que le numéro affiché corresponde au numéro de téléphone de l’établissement financier (on parle alors de spoofing téléphonique ou usurpation de numéro de téléphone).
En appelant sa victime par son nom et en montrant qu’il dispose d’informations personnelles comme son adresse par exemple, l’escroc établit un climat de confiance avant d’arriver au motif prétendu de l’appel, comme par exemple un virement frauduleux. Pour annuler la transaction, la victime est censée scanner un code QR avec son appli de banque mobile ou d’e-banking. Mais en faisant cela, la personne permet en réalité à l’escroc d’accéder à son compte d’e-banking.
La méthode est simple et efficace, car la méfiance naturelle des personnes s’estompe lorsqu’elles sentent que leur interlocuteur est déjà en possession de plusieurs informations les concernant. Consultez notre article sur le Phishing pour connaître les mesures à prendre pour vous protéger contre de telles attaques.
