Phishing

Qu'est-ce que le phishing?

Le Phishing est un type de cyberattaque dans lequel les attaquants tentent de tromper les individus en les incitant à fournir des informations sensibles ou à installer des logiciels malveillants. Ils se font généralement passer pour une entité ou une personne digne de confiance dans des communications électroniques, telles que des courriels, des SMS ou même des appels téléphoniques. L'objectif est de voler des données personnelles, telles que des identifiants de connexion, des numéros de carte de crédit ou d'autres informations financières, qui peuvent ensuite être utilisées pour des activités frauduleuses.

Méthodes courantes d'phishing

phishing par courriel

Les attaquants envoient des courriels qui semblent provenir de sources légitimes, comme des banques, des sites de médias sociaux ou d'autres organisations de confiance. Ces courriels contiennent souvent des messages urgents ou des menaces, incitant le destinataire à cliquer sur un lien malveillant ou à télécharger une pièce jointe.

Indicateurs courants d'une tentative d'phishing par courrier électronique

Les tentatives d'Phishing sont des tentatives frauduleuses visant à obtenir des informations sensibles en se faisant passer pour une entité digne de confiance. Les indicateurs courants des tentatives d'phishing sont les suivants

1. Adresse de l'expéditeur suspecte

L'adresse électronique de l'expéditeur peut ressembler à une adresse légitime, mais avec de légères modifications.

Exemple : Au travail, vous recevez un courriel de ce qui semble être le service informatique de votre entreprise, vous demandant de réinitialiser votre mot de passe. L'e-mail de l'expéditeur semble presque correct, mais en y regardant de plus près, vous remarquez qu'il provient de "it-support[@]cmpany[.]com" au lieu de "it-support[@]company[.]com". Cette légère altération est une tactique courante d'phishing .

2. Salutations génériques

Les courriels de Phishing utilisent souvent des formules de politesse génériques telles que"Cher client" au lieu de s'adresser à vous par votre nom.

Exemple : Un matin, vous trouvez dans votre boîte de réception un courriel qui dit: "Cher client, votre compte a été compromis. Veuillez vérifier vos informations immédiatement." Comme vous recevez souvent des courriels personnalisés de votre banque, ce message générique vous met la puce à l'oreille.

3. Langage urgent ou menaçant

Les courriels de Phishing créent souvent un sentiment d'urgence ou de peur, affirmant qu'une action immédiate est nécessaire pour éviter des conséquences négatives.

Exemple : Juste avant une échéance importante, vous recevez un courriel de"admin[@]hrdepartment[.]com" indiquant: "Votre emploi est menacé ! Confirmez vos coordonnées dans les 24 heures ou vous serez licencié". Le ton urgent et menaçant est conçu pour vous faire paniquer et vous inciter à répondre sans réfléchir.

4. Demande d'informations personnelles

Les entreprises légitimes demandent rarement des informations sensibles (comme les mots de passe, les numéros de sécurité sociale ou les détails des cartes de crédit) par courrier électronique.

Exemple : Vous recevez un courriel de"payroll[@]companyfinance[.]com" vous demandant de confirmer votre numéro de sécurité sociale et vos coordonnées bancaires pour le traitement de votre salaire. Sachant que des demandes légitimes de la part des RH ne demanderaient jamais des informations aussi sensibles par courrier électronique, vous soupçonnez qu'il s'agit d'une tentative d'phishing .

5. Liens vers de faux sites web

Le courrier électronique peut contenir des liens qui mènent à des sites web imitant des sites légitimes. Vérifiez toujours que l'URL ne comporte pas de légères variations ou de fautes d'orthographe.

Exemple : Vous recevez un courriel de ce qui semble être votre boutique en ligne préférée, affirmant qu'il y a un problème avec votre récente commande. Le courriel contient un lien vers"www[.]amaz0n-support[.]com" (notez le zéro au lieu du "o"). En survolant le lien, vous constatez que l'URL n'est pas le site officiel d'Amazon.

6. Grammaire et orthographe médiocres

De nombreux courriels de phishing contiennent des fautes d'orthographe et de grammaire évidentes.

Exemple : Après une réunion d'équipe, vous recevez un courriel de"ceo[@]companyy[.]com" indiquant: "Veuillez lire la pièce jointe pour obtenir des informations importantes concernant votre évaluation de performance". Les fautes de grammaire et d'orthographe indiquent qu'il ne s'agit pas d'un message de votre PDG.

7. Pièces jointes inattendues

Les courriels non sollicités contenant des pièces jointes peuvent constituer un signal d'alarme. Ces pièces jointes peuvent contenir des malware.

Exemple : Juste après avoir envoyé un rapport, vous recevez un courriel de"support[@]techservices[.]com" avec une pièce jointe nommée "invoice_12345[.]zip". Comme vous n'avez demandé aucun service, cette pièce jointe non sollicitée éveille les soupçons.

8. Offres trop belles pour être vraies

Méfiez-vous des offres qui semblent trop belles pour être vraies, comme celle de gagner une loterie à laquelle vous n'avez jamais participé.

Exemple : Vous recevez un courriel de"reward[@]employeeappreciation[.]com" vous annonçant que vous avez gagné une carte-cadeau de 1000 $ pour vos excellentes performances. Le problème ? Vous devez fournir les informations relatives à votre carte de crédit pour réclamer le prix. L'offre semble trop belle pour être vraie et il s'agit probablement d'une escroquerie par phishing .

9. Formatage incohérent des courriels

Soyez attentif à une mise en forme inhabituelle, notamment à des polices de caractères, des logos ou des couleurs incohérents.

Exemple : Un courriel provenant de"info[@]bankingservice[.]com" présente des polices de caractères incohérentes, des logos mal assortis et des couleurs qui ne correspondent pas à l'image de marque officielle à laquelle vous êtes habitué. Ces incohérences sont un signe révélateur d'une tentative d'phishing .

10. URL usurpés

Survolez les liens pour voir l'URL réelle. Les tentatives d'Phishing utilisent souvent des URL qui semblent légitimes mais qui présentent des écarts mineurs.

Exemple : En consultant des courriels, vous en recevez un de"support[@]softwareupdate[.]com" vous invitant à télécharger la dernière mise à jour. Le lien ressemble à"www[.]update-software[.]com", mais lorsque vous le survolez, vous voyez que l'URL réelle est"www[.]malicious-site[.]com/update". Cette usurpation d'URL est un signe évident d'phishing.

11. Demandes inhabituelles

Les courriels demandant des actions inhabituelles, comme virer de l'argent ou acheter des cartes-cadeaux, sont souvent des tentatives d'phishing .

Exemple : Après une longue journée, vous trouvez un courriel de"manager[@]companyprojects[.]com" vous demandant d'acheter plusieurs cartes-cadeaux pour une réunion avec un client et de renvoyer les codes. Cette demande inhabituelle, surtout si elle est envoyée par courrier électronique, est un scénario classique d'phishing .

La connaissance de ces indicateurs peut vous aider à identifier et à éviter les tentatives d'phishing .

Spear phishing

Il s'agit d'une forme plus ciblée d'phishing dans laquelle l'attaquant personnalise l'e-mail en fonction des informations spécifiques du destinataire, en le faisant paraître plus légitime. Par exemple, il peut utiliser le nom du destinataire, son poste ou d'autres détails pour créer un message plus convaincant.

Indicateurs courants d'une tentative de spear phishing

1. La personnalisation

‍Lecourriel est hautement personnalisé, utilisant votre nom, votre titre de poste, ou des détails spécifiques sur votre rôle ou vos activités récentes.

Exemple : "Bonjour [Votre nom], j'ai remarqué que vous avez assisté à la récente conférence sur le marketing. Pourriez-vous revoir la présentation ci-jointe pour notre prochaine réunion ?"

2. Pertinence contextuelle

Le message est adapté au contexte et fait souvent référence à des événements, des projets ou des communications récents.

Exemple : "Pour faire suite à notre réunion de la semaine dernière, veuillez examiner le document ci-joint".

3. Expéditeur crédible

‍Lecourriel semble provenir d'un collègue, d'un supérieur ou d'une personne avec laquelle vous êtes fréquemment en contact.

Exemple : Un courriel qui semble provenir de votre supérieur direct ou d'un membre de l'équipe avec lequel vous travaillez régulièrement.

4. L'urgence

‍Lemessage crée un sentiment d'urgence ou d'importance qui incite à agir rapidement sans examen approfondi.

Exemple :"Veuillez accomplir la tâche ci-jointe avant la fin de la journée".

Chasse à la baleine

Il s'agit d'un type de spear phishing qui cible les personnes les plus en vue au sein d'une organisation, telles que les cadres ou les dirigeants. Les messages sont adaptés à leurs rôles et responsabilités spécifiques.

Indicateurs communs d'une tentative de chasse à la baleine

1. Ciblé sur les cadres

Le message s'adresse à des personnes de premier plan au sein de l'organisation, telles que des cadres ou des dirigeants.

Exemple : Un courriel adressé au PDG demandant des informations sensibles sur l'entreprise.

2. Langage de haut niveau

Le ton et la langue sont professionnels et correspondent à l'ancienneté de la cible.

Exemple : "Cher PDG, veuillez prendre connaissance de ce rapport financier confidentiel".

3. Recours de l'autorité

‍Lecourriel fait souvent appel à l'autorité ou à l'urgence, en s'appuyant sur le pouvoir de décision du dirigeant.

Exemple :"Une action immédiate est requise pour le décret ci-joint".

4. Usurpation d'identité d'entités de confiance

‍L'expéditeur est généralement une personne de l'organisation ou un partenaire de confiance.

Exemple : Un courriel qui semble provenir d'un membre du conseil d'administration ou d'un client important.

Smishing et Vishing

Le smishing consiste à phishing par le biais de messages SMS, tandis que le vishing consiste à passer des appels vocaux. Les deux méthodes visent à inciter le destinataire à fournir des informations personnelles ou à transférer des fonds.

Indicateurs courants d'une tentative de smishing

1. Messages inattendus

‍Recevoirdes SMS non sollicités provenant de numéros inconnus.

Exemple : Un message provenant d'un numéro que vous ne reconnaissez pas et qui prétend être votre banque.

2. URL raccourcis

‍Lemessage contient des URL raccourcis qui masquent la véritable destination.

Exemple : "Cliquez ici pour vérifier votre compte : bit[.]ly/12345":"Cliquez ici pour vérifier votre compte : bit[.]ly/12345."

3. Langue urgente

‍Lemessage crée un sentiment d'urgence ou de menace.

Exemple:"Votre compte a été compromis. Agissez maintenant pour le sécuriser".

4. Demande d'informations personnelles

‍Letexte demande des informations personnelles telles que les mots de passe, les codes PIN ou les détails de la carte de crédit.

Exemple : "Vérifiez votre identité en fournissant votre numéro de sécurité sociale" :"Vérifiez votre identité en fournissant votre numéro de sécurité sociale".

Indicateurs courants d'une tentative de vishing

1. Appels non sollicités

Recevoir des appels inattendus de numéros inconnus ou usurpés.

Exemple : Un appel provenant d'un numéro prétendant être celui de votre banque, mais l'identification de l'appelant indique un numéro local.

2. Demandes urgentes

L'appelant crée un sentiment d'urgence, en menaçant souvent de conséquences négatives.

Exemple : "Votre compte sera verrouillé si vous ne vérifiez pas votre identité maintenant :"Votre compte sera verrouillé si vous ne vérifiez pas votre identité maintenant".

3. Demande d'informations sensibles

L'appelant demande des informations sensibles telles que des mots de passe, des numéros de compte ou des numéros de sécurité sociale.

Exemple :"Veuillez indiquer votre code PIN pour confirmer votre identité".

4. Usurpation d'identité d'entités de confiance

L'appelant se fait passer pour une institution ou une personne de confiance.

Exemple : Quelqu'un prétendant appartenir au service des fraudes de votre banque et vous demandant des informations de vérification.

Phishing par clonage

Les attaquants créent une réplique quasi identique d'un courriel légitime envoyé précédemment par une entité de confiance. Ils remplacent la pièce jointe ou le lien par un lien malveillant, en espérant que le destinataire cliquera dessus, croyant qu'il s'agit du message original.

Indicateurs courants d'une tentative d'phishing par clone

1. Adresse de l'expéditeur similaire mais légèrement modifiée

Le courriel semble provenir d'une source fiable, mais l'adresse de l'expéditeur est légèrement différente.

Exemple :"support[@]paypa1[.]com" au lieu de"support[@]paypal[.]com".

2. Contenu dupliqué des courriels

‍Lecontenu de l'e-mail est presque identique à celui d'un message légitime que vous avez reçu auparavant, mais il contient un lien ou une pièce jointe malveillante.

Exemple: Un courriel qui ressemble exactement à un précédent courriel de votre service des ressources humaines, mais avec une pièce jointe différente.

3. Liens ou pièces jointes modifiés

L'e-mail cloné contient des liens ou des pièces jointes qui mènent à des sites web ou des fichiers malveillants.

Exemple : Un courriel qui contenait auparavant une pièce jointe au format PDF contient désormais un fichier ZIP.

4. Suivi inattendu

Réception d'un courriel de suivi pour une action que vous avez déjà effectuée, vous invitant à cliquer sur un nouveau lien.

Exemple:"Nous avons remarqué que vous n'aviez pas rempli le formulaire dans notre précédent courriel. Veuillez trouver le lien mis à jour ici."

Pourquoi les pirates utilisent-ils des techniques d'phishing ?

Les pirates utilisent les techniques d'phishing parce qu'elles exploitent les vulnérabilités humaines plutôt que les faiblesses technologiques. L'Phishing s'appuie sur l'ingénierie sociale, manipulant les individus pour qu'ils divulguent des informations sensibles ou effectuent des actions qui compromettent la sécurité. Contrairement au piratage traditionnel, qui nécessite souvent des compétences techniques importantes pour pénétrer directement dans les systèmes, l'phishing peut être exécuté avec relativement peu d'efforts. En créant des messages trompeurs qui semblent légitimes, les pirates peuvent inciter les individus à fournir des mots de passe, des numéros de carte de crédit ou d'autres informations personnelles. Cette méthode est très efficace parce qu'elle contourne de nombreuses mesures de sécurité techniques, en ciblant plutôt l'élément humain.

En outre, le phishing est évolutif et adaptable, ce qui en fait un outil polyvalent pour les pirates. Ils peuvent facilement envoyer des milliers de courriels ou de messages d'phishing avec un coût et un effort minimes, ce qui augmente considérablement les chances de succès. À mesure que les cyberdéfenses s'améliorent, les pirates font évoluer leurs tactiques d'phishing pour paraître plus crédibles et plus sophistiquées. Ils adaptent leurs attaques à des personnes ou à des organisations spécifiques (spear phishing et whaling), ce qui augmente les chances de succès. La disponibilité généralisée d'informations personnelles sur les médias sociaux et d'autres plateformes aide les pirates à concevoir des tentatives d'phishing convaincantes et personnalisées. Cette adaptabilité et cette portée font de l'phishing une menace persistante et dangereuse dans le paysage de la cybersécurité.

Exemple d'une attaque qui a commencé par un phishing

L'image ci-dessous illustre une attaque de spear phishing simulée dans laquelle l'attaquant cible d'abord un employé sur LinkedIn pour recueillir des informations et utilise WhatsApp pour contourner la sécurité, compromettant ainsi un ordinateur portable de l'entreprise.

L'attaquant navigue ensuite à travers l'architecture de réseau de Zero Trust (ZTNA), pivotant vers le centre de données à l'aide d'un service de commande à distance, et installe le Command and Control (C2) pour un accès persistant afin de mener des opérations de reconnaissance.

L'attaquant vole les identifiants d'administration du serveur et les utilise pour se déplacer latéralement et accéder à d'autres serveurs.

Tout au long de ce processus, Vectra AI détecte diverses activités suspectes, notamment des tunnels HTTPS cachés, l'énumération de partages de fichiers, des balayages de ports et des anomalies d'accès privilégié. Les analystes suggèrent d'exploiter les données agrégées des enquêtes, d'examiner les données des journaux pour obtenir des informations plus approfondies et de verrouiller les comptes infectés pour mettre fin à l'attaque.