Nous avons tous déjà reçu ces e-mails sommaires – ceux qui prétendent provenir de votre banque vous demandant de « valider les détails de votre compte immédiatement ! » ou prétendre que vous avez gagné un iPhone lors d’un tirage au sort aléatoire auquel vous n’avez jamais participé. Tout cela dans le but de vous inciter à cliquer sur un lien malveillant. Supprimer, supprimer, supprimer. Le phishing évident est… évident, n’est-ce pas ?
Malheureusement, les attaques de phishing ont évolué bien au-delà de ces vieilles escroqueries flagrantes. Le phishing d’aujourd’hui constitue une menace sérieuse : 84% des entreprises les personnes interrogées déclarent que le phishing est le vecteur d’attaque le plus courant auquel elles sont confrontées. Il s’agit d’attaques sophistiquées et hautement ciblées conçues pour tromper même les professionnels chevronnés grâce à des techniques d’ingénierie sociale personnalisées.
La vérité est que le phishing moderne utilise des tactiques incroyablement intelligentes pour nous inciter à transmettre des informations d’identification ou des données sensibles sans arrière-pensée – et les conséquences peuvent être dévastatrices. Dans cet article, nous plongerons en profondeur dans le monde en constante évolution du phishing, en explorant les derniers stratagèmes utilisés par ces pickpockets numériques, pourquoi leurs escroqueries ont connu un tel succès et, plus important encore, comment vous pouvez mieux vous identifier et vous protéger ( ou votre entreprise auprès d’eux).
L’anatomie d’une attaque de phishing moderne
Hameçonnage était assez grossier – des explosions d’e-mails sommaires remplis de fautes de frappe, d’erreurs grammaticales et de compétences rédactionnelles généralement médiocres. Mais les attaques de phishing modernes ? Il est devenu très difficile de les distinguer de la réalité, et désormais, des personnes de tous âges (et pas seulement celles qui ne sont pas natives du numérique) en sont victimes. Décrivons ce qui les rend si dangereusement convaincants :
Au-delà du courrier électronique, à tous les coins de votre vie numérique
Oubliez simplement les e-mails : alors que les gens passent tellement de temps sur les réseaux sociaux, les applications de messagerie et même les sites de jeux, le phishing moderne étend son réseau partout dans le paysage numérique. Les escroqueries vous parviennent désormais via :
- Messages texte (smishing)
- Appels téléphoniques (vishing)
- Plateformes sociales comme Facebook et LinkedIn
- Communautés de jeu
Pratiquement aucun canal de communication numérique n’est plus sûr simplement en raison de sa plateforme.
Messagerie hyper-personnalisée
L’un des principaux effets secondaires des violations de données généralisées que nous voyons partout dans l’actualité (ainsi que de la tendance au partage excessif sur les réseaux sociaux) est que les pirates peuvent facilement obtenir nos informations personnelles pour rendre leurs escroqueries plus convaincantes. À partir de là, les cybercriminels ne feront preuve d’aucune pitié en utilisant ces pépites d’informations personnelles pour créer des messages ciblés qui trouvent un profond écho chez nous en tant que véritables individus.
Imaginez des e-mails soigneusement rédigés provenant de votre banque faisant référence à votre ville natale, à vos récentes vacances en famille, à vos collègues, aux noms de vos enfants, à votre équipe sportive préférée ou à l’organisation à but non lucratif que vous soutenez. Ou des SMS de votre opérateur téléphonique signalant une activité suspecte sur votre compte lors de votre voyage à l’étranger le mois dernier. Ces informations personnelles précises renforcent intrinsèquement la confiance et attirent rapidement votre attention. Et c’est exactement pourquoi le phishing hyper-personnalisé fonctionne de manière si alarmante, trompant même les professionnels de la cybersécurité.
Tactiques d’ingénierie sociale de niveau supérieur
Les escrocs modernes sont très doués en psychologie et en persuasion, ciblant les émotions humaines innées comme la curiosité, la peur, l’urgence et l’avidité. Ils testent soigneusement les récits pour trouver les bons déclencheurs émotionnels qui contournent la logique et incitent les gens à cliquer sur des liens malveillants sans y réfléchir. Et ces tactiques évoluent constamment grâce aux tests A/B et aux analyses sur les performances des campagnes de phishing, laissant les données dicter la manière d’améliorer leur manipulation.
Astuces techniques sournoises
URL raccourcies, usurpation d’e-mails, personnages similaires : les phishers ont toutes sortes d’astuces dans leur sac pour échapper à la sécurité et vous convaincre de cliquer là où vous ne devriez pas. Il est de plus en plus difficile que jamais de se fier uniquement à ses yeux et à sa technologie pour repérer les contrefaçons.
La montée des attaques ciblées – La lutte contre les gros poissons
Comme si les tactiques de phishing surpuissantes n’étaient pas assez mauvaises, les attaquants savent désormais plus intelligemment qui ils ciblent avec des attaques spécialisées. Des cibles privilégiées ? Dirigeants et personnels clés des entreprises. Pourquoi s’adresser aux utilisateurs ordinaires quand vous pouvez compromettre les gros canons protégeant des données précieuses ? Les attaques de phishing ciblées courantes incluent :
Pêche à la baleine
Vous avez peut-être entendu parler du spearphishing, une attaque de phishing ciblant une entreprise ou un individu spécifique. Whaling va encore plus loin en ciblant exclusivement les cadres supérieurs, les politiciens, les célébrités et autres personnalités de premier plan. En accédant à des données d’entreprise sensibles ou à des comptes bancaires importants, un seul dirigeant compromis peut porter un coup dévastateur à une entreprise, un bureau de direction ou une organisation à but non lucratif.
Compromis de messagerie professionnelle (BEC)
Grâce à l’usurpation d’identité et à l’ingénierie sociale, les attaquants BEC convainquent les employés de transférer volontairement des fonds ou des données sensibles à des tiers qu’ils considèrent comme des destinataires légitimes. Un faux e-mail du PDG demandant à l’équipe financière de virer des fonds pour une acquisition secrète. Une demande urgente de paiement d’un fournisseur a incité les cadres intermédiaires à agir immédiatement. BEC exploite la confiance avec un effet dévastateur.
Attaques de la chaîne d’approvisionnement
De plus en plus de phishers ciblent les maillons faibles (fournisseurs tiers, vendeurs, partenaires) qui disposent probablement d’un accès ou d’une intégration privilégiés aux réseaux et systèmes d’une organisation. Une fois qu’un élément de la chaîne est compromis, les attaquants se frayent un chemin vers l’intérieur, obtenant ainsi un terrain de préparation pour voler des données ou implanter des logiciels malveillants également sur les systèmes clients.
Briser la psychologie derrière le phishing efficace
Nous aimons tous penser que nous ne tomberons jamais dans le piège d’un faux appel du « IRS » nous menaçant d’arrestation ou d’un e-mail d’un prince déchu cherchant à transférer 10 millions de dollars sur notre compte bancaire. Mais comprendre les véritables motivations psychologiques qui poussent les gens à se laisser prendre au phishing – même les experts en sécurité sceptiques – révèle que nous sommes TOUS vulnérables dans le bon scénario. Voici trois principaux déclencheurs psychologiques sur lesquels s’appuient les experts en phishing.
Armer la confiance
Nous sommes programmés pour trouver des raccourcis afin de déterminer à qui et à quoi faire confiance : titres, logos, adresses e-mail. Les phishers exploitent cette tendance en se faisant passer pour des marques ou des collègues de confiance, sachant que notre garde baissera une fois que nous penserons qu’une entité est légitime. L’e-mail semble correct… mais notre intuition semble toujours fausse. La plupart du temps, il est sage d’écouter votre instinct !
Attiser la curiosité tue plus que les chats
La curiosité est un trait humain fondamental, mais elle peut aussi nous mettre involontairement en danger. Les phishers nous appâtent avec des titres alléchants, des offres limitées dans le temps et des appels à l’action alléchants qui court-circuitent nos défenses rationnelles. Si quelque chose ne semble pas correct, faites une pause et évaluez avant de cliquer ou de répondre.
La familiarité engendre la tromperie
Vous vous souvenez de ces messages de phishing effrayants et hyper-personnalisés du début ? En recherchant diligemment des informations personnelles sur la ville natale, les intérêts, l’employeur, la famille, les événements ou les voyages récents d’une victime, les phishers les transforment en escroqueries en ligne. Cette familiarité fabriquée amène les cibles à baisser inconsciemment leur garde.
Plutôt que de poser les questions minutieuses que nous poserions normalement lorsque les demandes émanant de « contacts de confiance » semblent un peu étranges, cette familiarité nous aveugle. Nous ne parvenons pas à examiner pourquoi un dirigeant d’entreprise a besoin de nous pour partager des fichiers sur une application cloud non reconnue ou pourquoi notre client de longue date souhaite changer de plateforme de paiement sans préavis.
Se défendre contre le phishing moderne aux enjeux élevés
Maintenant que vous comprenez l’ampleur du phishing moderne et de ses stratégies à plusieurs niveaux, se fier simplement à la détection d’une mauvaise orthographe pour identifier les escroqueries semble insensé et totalement inadéquat compte tenu des menaces auxquelles sont désormais confrontés les individus, les entreprises et les entités gouvernementales. Voici quelques conseils pour mieux vous protéger :
Informez-vous (ou vos employés)
La défense n°1 consiste sans conteste à comprendre les règles du jeu : les dernières tactiques et stratégies de phishing. Lisez les dernières nouvelles et planifiez régulièrement une formation de simulation de phishing pour garder la sécurité en tête. Une main-d’œuvre instruite est une main-d’œuvre sûre.
Adaptez vos garanties techniques
Ajoutez un filtrage robuste des e-mails, un anti-malware, une sécurité des points de terminaison et des protections Web pour détecter les tentatives malveillantes avant qu’elles ne compromettent les systèmes. Mettez régulièrement à jour le logiciel et mettez en œuvre une authentification multifacteur pour une protection supplémentaire contre les accès non autorisés.
Vérifiez avant de faire confiance
Formez tout le monde à vérifier les demandes avant d’agir : vérifiez les identités sur un autre canal, examinez les URL dans les liens, remettez en question les comportements inhabituels. Confirmez les demandes de paiement ou de données via un processus fiable, et pas seulement par e-mail.
Élaborer un plan de réponse aux incidents
Préparez un plan d’action au cas où les choses tourneraient mal. Définissez les rôles, les réponses et les plans de communication pour contenir, enquêter et récupérer rapidement des attaques de phishing réussies. Être préparé minimisera les dégâts.
Dernier mot
Grâce à des attaques d’ingénierie sociale hyper-personnalisées et à des astuces techniques astucieuses, les phishers parviennent plus que jamais à nous tromper. Les humains seront probablement toujours vulnérables aux projets qui suscitent la curiosité, tirent parti de la familiarité et exploitent la confiance. Mais en étant vigilants, nous pouvons protéger de manière significative à la fois les actifs de l’entreprise et la sécurité personnelle contre les tactiques de phishing modernes, même les plus sophistiquées.
Crédit image en vedette : Freepik