Tous les différents types d'attaques de phishing

Publié: 2022-07-27

L'hameçonnage est l'une des cybermenaces les plus courantes auxquelles sont confrontées les entreprises aujourd'hui.

Étant si courant, il est plutôt surprenant de savoir que tant de personnes ignorent précisément ce qu'est et signifie le phishing, ainsi que toutes les différentes variantes d'attaques de phishing qui existent.

Même ceux qui savent ce qu'est le phishing sont toujours pris au dépourvu. Selon un récent rapport de 2021, plus de 80 % des organisations ont été victimes d'attaques de phishing l'année dernière.

C'est pourquoi l'équipe de Data Connect aide à sensibiliser à certains des différents types d'attaques de phishing avec ce guide utile.

Vous trouverez ci-dessous quelques-uns des types les plus courants.

L'impact des attaques de phishing

quiz sur l'hameçonnage de google
Image : Google

Les organisations doivent faire face à de nombreuses conséquences après avoir été victimes d'une attaque de phishing.

Alors que les cyberattaques se multiplient chaque année, avec des approches beaucoup plus complexes, les membres d'une organisation doivent être conscients des risques et des impacts des attaques de phishing non seulement sur leur cybersécurité mais sur l'entreprise dans son ensemble.

Selon les données de Tessian, les résultats les plus courants d'une attaque de phishing incluent :

  • Perte de données
  • Identifiants et/ou comptes compromis
  • Organisations infectées par des ransomwares
  • Infection par un logiciel malveillant
  • Pertes financières

Non seulement les attaques de phishing créent des scénarios compliqués à surmonter pour les organisations, mais elles exposent également une entreprise à des amendes, des interruptions, des pertes d'activité et des revenus.

De plus, le coût de réparation des dommages causés par une attaque peut souvent être extrêmement coûteux. Par conséquent, il est important de comprendre les attaques de phishing et d'être conscient de leurs différents types.

Voici six des techniques de phishing les plus courantes des cybercriminels cette année.

Hameçonnage par e-mail

logo gmail
Image : KnowTechie

Le style de phishing le plus courant et le plus prolifique est le phishing par e-mail. Si vous ne savez que peu de choses sur les attaques de phishing, vous rencontrerez certainement une attaque par e-mail.

L'attaque se produit lorsqu'un e-mail malveillant est envoyé à des individus, se faisant souvent passer pour une organisation authentique.

D'un simple clic sur un lien, les cybercriminels peuvent infecter votre appareil avec des logiciels malveillants ou vous manipuler davantage pour divulguer vos informations personnelles.

Un récent rapport sur la cybersécurité de Cisco a révélé qu'au moins une personne avait cliqué sur un lien de phishing dans environ 86 % des organisations en 2021. Cela montre à quel point ces attaques sont réellement répandues et le risque qu'elles présentent.

Hameçonnage

Le spear phishing est le terme utilisé pour décrire un type d'attaque de phishing où le cybercriminel cible un individu plutôt qu'une base générique d'utilisateurs de masse.

En ce qui concerne le taux de "réussite", ces attaques fonctionnent grâce à l'usurpation de contenu légitime (imitant de vrais e-mails).

L'e-mail peut contenir le nom du destinataire et des détails spécifiques, tels que son rôle, son numéro de téléphone et d'autres détails pour le rendre aussi crédible que possible.

Cela peut également inclure des marques de confiance avec lesquelles l'attaquant sait que l'individu s'engage. C'est l'une des raisons les plus courantes pour lesquelles les gens sont victimes d'escroqueries par hameçonnage chaque année.

Pêche à la baleine

La chasse à la baleine est un type spécifique d'attaque de phishing utilisée pour cibler des individus de haut niveau, le plus souvent des PDG et des directeurs d'organisations.

Le coupable de l'attaque trompera l'individu avec de faux e-mails pour accéder à ses informations d'identification, installera des logiciels malveillants sur ses machines ou le contraindra à transférer de l'argent.

Les administrateurs sont souvent ciblés en raison de leur autorité au sein d'une entreprise et de la probabilité qu'ils aient accès à des informations plus sensibles.

Un exemple de cela est l'envoi d'e-mails de leur part à d'autres membres de l'organisation pour gagner leur confiance et accéder davantage aux données de l'entreprise.

Smishing et vishing

exemple d'attaque par smishing
Image : KnowTechie

Ce sont deux styles d'attaques de phishing utilisant des formes de communication alternatives, s'éloignant des e-mails.

Le smishing fait référence au phishing par SMS, l'envoi d'un SMS pour attirer les victimes.

Souvent, les criminels usurpent des entreprises légitimes et utilisent des techniques d'ingénierie sociale telles que l'exigence d'urgence pour manipuler les victimes afin qu'elles s'engagent.

Selon Tessian, 56 % des employés ont reçu un SMS frauduleux, dont 32 % se sont conformés aux demandes.

Souvent, ces textes encourageront un destinataire à suivre l'une des étapes suivantes, notamment :

  • Ouvrir un lien vers un site frauduleux
  • Contacter une personne
  • Télécharger une pièce jointe ou une application

Les statistiques suggèrent que ce type d'attaque par hameçonnage est en augmentation, le nombre de SMS reçus ayant presque triplé entre 2019 et 2020.

Vous avez peut-être reçu un message texte frauduleux à la suite de la pandémie de COVID-19, où les criminels ont profité de la situation actuelle pour cibler les personnes vulnérables.

Vishing signifie « phishing vocal » et est transmis par téléphone pour contraindre les victimes à partager des informations sensibles. La plupart des gens sont déjà au courant de ce type de phishing.

Cela signifie qu'il est devenu plus sophistiqué et qu'il ne s'agit souvent pas de la première étape d'une attaque (par exemple, rechercher d'abord la victime ou l'entreprise).

Hameçonnage sur les réseaux sociaux

Image : bandt.com.au

Le phishing sur les réseaux sociaux est exactement comme son nom l'indique, une attaque exécutée via les plateformes de réseaux sociaux. Cela inclut les plates-formes populaires telles que Facebook, Twitter, LinkedIn et Instagram.

Habituellement, cela sera utilisé pour prendre le contrôle d'un compte de médias sociaux, cependant, pour les entreprises, cette méthode peut également permettre à des acteurs malveillants d'obtenir des données et des informations d'identification via les profils d'employés individuels.

Avec l'utilisation de LinkedIn, il est désormais encore plus facile pour les criminels de trouver les informations dont ils ont besoin pour mener de telles attaques.

Lorsqu'il s'agit de vous protéger, vous et votre organisation, contre les attaques de phishing, voici quelques étapes importantes à suivre :

  • Formez vos équipes à reconnaître les e-mails de phishing avec des simulations et des formations de phishing
  • Aidez à créer une culture où les employés se sentent les bienvenus pour poser des questions de sécurité et signaler des activités suspectes ou des erreurs
  • Limitez la quantité de dommages pouvant être causés par les logiciels malveillants en limitant l'accès administrateur à ceux qui en ont besoin pour leur rôle
  • Utiliser l'authentification multifacteur (MFA) pour tous les comptes

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

  • OpenSea avertit les utilisateurs des tentatives de phishing NFT après une fuite de courrier électronique
  • Protégez votre petite entreprise contre les attaques de phishing
  • Types d'attaques de phishing contre lesquelles se protéger
  • Solutions anti-hameçonnage - en avez-vous besoin ?