Le 23 août 2019

Cybersécurité : qu’est-ce que le phishing ou hameçonnage ?

Le phishing est une cyberattaque qui touche de plus en plus de particuliers et d’entreprises. On estime que le nombre de tentatives de phishing a doublé en 2018*. Ce procédé repose sur des méthodes anciennes, simples mais toujours aussi efficaces.

Le phishing, c’est quoi ?

Le phishing, hameçonnage ou filoutage en français, est un type de cyberattaque très répandu. Il peut se présenter sous différentes formes et est souvent envoyé par e-mail.

Typiquement, un e-mail de phishing se présente à première vue comme un e-mail émanant d’une entreprise de confiance (site de vente en ligne, banque, CAF, téléphonie ou autre). Il est demandé au receveur de communiquer des informations personnelles ou d’ouvrir une pièce jointe.

Par exemple, il peut être demandé au receveur de mettre à jour des coordonnées bancaires urgemment sur une boutique en ligne, sans quoi son compte risque d’être clôturé. Si la personne clique sur le lien, elle est alors redirigée vers un site qui ressemble à s’y méprendre avec le site de confiance. Elle entre alors ses coordonnées bancaires. Le fraudeur a réussi son attaque, et dispose à présent de données hautement confidentielles.

Dans les cas les plus sérieux, le fraudeur peut aller jusqu’à tenter d’usurper l’identité d’une personne, afin de compromettre son entreprise ou d’hameçonner son entourage.

 

  • Le saviez-vous ? Le spear-phishing, contrairement au phishing traditionnel qui est envoyé en masse à de nombreux utilisateurs, est personnalisé et est envoyé à un petit nombre, voire à un seul receveur.

La vigilance est donc de mise pour ce type de cyberattaque très fréquente.

Comment se prémunir du phishing ?

Heureusement, il existe des astuces et des logiciels qui permettent de se prémunir du phishing.

Tout d’abord, il faut savoir que les organismes officiels comme la CAF, la Sécurité Sociale ou le Centre des Impôts ne demandent jamais par e-mail des coordonnées. Le courrier postal est préféré. Dans le doute, il vaut mieux éviter de répondre à l’e-mail suspect et tenter de contacter l’organisme en question par un autre biais (téléphone, site officiel).

Ensuite, la plupart des tentatives de phishing sont assez génériques et impersonnels. Un simple « Cher Monsieur » est affiché à la place du nom. Il n’y a pas d’informations concernant le receveur, tout est très vague. Il faut toutefois faire attention au spear-phishing, car dans ce cas, le nom peut être indiqué.

Dans un e-mail frauduleux, en plus de l’anonymat, la demande sera souvent urgente. Ceci afin de déconcerter l’utilisateur et de l’empêcher d’avoir des doutes sur la provenance de l’e-mail. Attention donc quand les informations demandées comportent un délai alarmiste. Par exemple : “Votre compte risque d’être clôturé définitivement si vous ne nous rappelez pas vos coordonnées personnelles.”

Il ne faut pas cliquer sur les liens ou ouvrir les pièces jointes provenant d’un e-mail suspect.

Les liens peuvent mener à des sites frauduleux et les pièces jointes peuvent contenir des malwares, des chevaux de troie ou des virus.

Opter pour une solution professionnelle

Les professionnels reçoivent un nombre conséquent d’e-mails et il arrive souvent qu’une cyberattaque se propage via un collaborateur mal informé ou piégé.

Dans cette optique, les astuces énoncées ci-dessus peuvent ne pas suffire. Il existe des solutions professionnelles anti-spam et anti-phishing, qui grâce à des bases de données sur les e-mails frauduleux, peuvent détecter les tentatives de phishing.

Pour obtenir une solution professionnelle adaptée aux besoins et aux enjeux de votre structure, n’hésitez pas à contacter un expert en cybersécurité.