Le but d’une attaque de phishing (ou hameçonnage en français), est de dérober les identifiants de connexion à des utilisateurs de comptes d’e-banking par exemple ou de différents sites marchands. Les hackers exploitent alors la crédibilité de leurs victimes en se présentant à elles sous une fausse identité.
Pour vous protéger contre le phishing …
- ne cliquez jamais sur un lien reçu par email ou par message court, ou que vous auriez obtenu après avoir scanné un code QR, pour vous connecter à un service de banque en ligne.
- ne remplissez jamais de formulaires envoyés par courriel ou par message court et dans lesquels on vous demande d'indiquer vos identifiants de connexion.
- soyez méfiants à l’égard des pièces jointes de vos courriels et message court.
- ne révélez aucune information confidentielle au téléphone (p. ex. vos mots de passe) et n’autorisez jamais personne à accéder à vos comptes personnels à distance.
- tapez toujours manuellement l’adresse de la page d’accueil du site du fournisseur de services ou de la banque dans la barre d’adresse de votre navigateur (par ex. www.ebas.ch).
- lorsque la page d’accueil s’affiche, vérifiez que la connexion est bien sécurisée (symbole du cadenas) et contrôlez l’adresse web dans la barre d’adresse du navigateur pour vous assurer que vous êtes bien sur le bon site.
- Examinez toujours avec attention les notifications que vous recevez, comme par exemple les confirmations de paiement ou de modification de vos paramètres.
- Si vous avez l’impression que la procédure d’authentification ne se passe pas comme d’habitude ou si vous vous avez un sentiment d’insécurité, contactez immédiatement votre institut financier.
Voici comment se déroule généralement une attaque par phishing
1. Prise de contact
Les hameçonneurs envoient une série de faux courriels ou par messages courts (par ex. SMS) se faisant passer pour des collaborateurs de prestataires de services en ligne ou d’instituts financiers. Le contenu du message peut faire référence par exemple au fait que les informations concernant le compte ou les données d’accès (par ex. identifiant et mot de passe) sont obsolètes, invitant les destinataires à cliquer sur un lien pour leur permettre de les actualiser.
2. Interception des données personnelles
Or le lien en question ne conduit pas sur le site officiel du fournisseur de services mais sur un site piraté, ressemblant comme deux gouttes d’eau à l’original. Tous les identifiants et mots de passe tapés sur la page de connexion contrefaite finissent directement entre les mains des malfaiteurs.
3. Enrichissement
Grâce aux informations volées, les criminels peuvent par exemple effectuer des virements sur leurs propres comptes, faire des achats en ligne ou faire des offres sur les sites de ventes aux enchères, au nom et aux frais de la victime.
Si vous recevez des courriels d’hameçonnage, c’est que les escrocs connaissent votre adresse de messagerie électronique. Pour diminuer ce risque et plus généralement pour réduire la quantité de spam dans votre boîte de réception, il convient de suivre quelques règles simples que nous avons regroupées dans notre article consacré au spam.
Pour aller plus loin
Le phishing ou hameçonnage classique
Lors d'une attaque de phishing classique, les assaillants tentent d’attirer leurs victimes sur des sites Internet piratés au moyen de faux courriels, dans le but de leur voler leurs identifiants (p. ex. numéro de contrat, mot de passe, etc.).
À la place ou en complément de cela, ils ajoutent souvent des pièces jointes contenant un cheval de Troie qui, à l'ouverture du fichier, va discrètement s’installer sur le dispositif de la victime et, à partir de là, enregistrer les identifiants de connexion aux comptes de l’internaute ou l’amener à se connecter sur des sites piratés.
Bon à savoir : les instituts financiers n'envoient jamais ce genre d'email.
Spear phishing (harponnage) et Dynamite phishing
Contrairement au phishing classique, qui consiste à envoyer au hasard de grandes quantités d’emails à un large public, les destinataires du spear phishing sont ciblés et reçoivent des courriels personnalisés et rédigés sur mesure.
L’expéditeur se fait alors passer pour une personne de confiance, un membre de l’entourage, un collaborateur ou un interlocuteur connu de la victime. Conçu sur mesure, le contenu du courriel apparaît plausible et authentique, si bien qu'il n’est souvent pas reconnu par les filtres anti-spam.
Lorsque ces emails personnalisés sont rédigés de manière automatique et envoyés en masse, on parle alors de « Dynamite phishing ».
Smishing ou phishing par SMS
Les SMS sont de plus en plus utilisés pour les attaques de phishing. Le problème du « smishing », c’est que la plupart des critères servant à reconnaître les mails de hameçonnage ne s’appliquent pas dans le cas des SMS où le nom du destinataire n’est pratiquement jamais mentionné. La langue et l’organisation de ces messages courts sont par ailleurs trop simples et trop succinctes pour permettre de tirer des conclusions sur l’authenticité du message. Enfin, la plupart des dispositifs mobiles ne permettent pas de vérifier facilement le lien contenu dans le message ou l'identité du véritable émetteur. N’oublions pas non plus que beaucoup d'utilisateurs ont l’habitude de recevoir des SMS de vérification lorsqu’ils ouvrent une session d’e-banking ou effectuent des transactions financières.
Vishing ou phishing par téléphone
Le vishing est une variante du phishing basée sur la communication vocale par téléphone. Comme dans le hameçonnage classique, l'utilisateur est incité, après s'être entendu raconter une histoire bien ficelée, à révéler des informations confidentielles comme par exemple ses identifiants de connexion à son espace e-banking.
Phishing par QR Code
Le principe de cette variante consiste à recouvrir des QR Codes (Quick Response Codes) authentiques présents dans des lieux particulièrement fréquentés par des mosaïques du même type, conçues par des cybercriminels pour diriger les utilisateurs vers de fausses adresses URL. Ce système permet ensuite aux hackers de démarrer immédiatement des téléchargements, en particulier sur les dispositifs mobiles, mais aussi d’exécuter des scripts ou d’afficher une fausse page d'ouverture de session d'e-banking.
Phishing avec page web en pièce jointe
Dans ce genre de hameçonnage, le courriel reçu par la victime ne contient pas de lien ni de document, mais une page web frauduleuse au format HTM- ou HTML- en pièce jointe. En l’absence de lien à cliquer, la victime se sent plutôt en confiance au premier abord, d’autant plus que le fichier joint n’est pas un document (Word, Excel, etc.) pouvant contenir par exemple des macros malveillantes.
Mais le danger est bien là, car les fichiers HTM- et HTML- peuvent renvoyer directement au serveur d’un hameçonneur qui n’aura plus qu’à récolter les identifiants éventuellement saisis par la victime. Mais de tels fichiers peuvent également contenir des scripts susceptibles de provoquer d’autres dégâts.
De fait, les programmes de messagerie électronique modernes bloquent systématiquement ces renvois et scripts pour des raisons de sécurité. Mais si vous décidez d'ouvrir une pièce jointe HTM- ou HTML-, celle-ci échappe aux paramètres de sécurité de votre programme de messagerie. Cette méthode est particulièrement perfide dans la mesure où elle peut tromper même les utilisateurs déjà sensibilisés, car la barre d’adresse du navigateur contient « uniquement » un chemin d’accès local et non une URL douteuse comme dans le cas du phishing classique.