C’est quoi… le phishing ?

Bienvenue dans notre série “C’est quoi…”
qui rend le jargon technique compréhensible par tous.

La métaphore avec la “pêche” reprend l’idée de vous attraper avec un hameçon et de vous faire remonter vers le pêcheur.

Les cybercriminels derrière ce genre de cybercrime, qui sont connus de façon familière sous le nom de phishers, utilisent habituellement un email, car il est étonnamment facile de fabriquer des messages pour qu’ils soient réalistes.

Mais les attaques de phishing peuvent également arriver via les réseaux sociaux, les SMS ou d’autres plates-formes de messagerie instantanée.

Voici quelques exemples des astuces utilisées par les phishers :

• Vous recevez une facture détaillant un achat modeste fait sur un site en ligne bien connu, agrémentée de logos volés et d’un texte recopié à partir d’une facture authentique. En bas, vous trouvez en général un lien ou un bouton qui semble officiel pour [Contester cette facture] ou [Consulter cet achat]. Vous savez que vous n’avez pas fait l’achat, donc la tendance est de cliquer et d’ouvrir une session. Mais si vous le faites, vous vous retrouvez sur une page de connexion malveillante, et votre mot de passe se retrouve entre les mains des cybercriminels.
• Vous recevez un email d’une personne qui vous envoie sa candidature pour une offre d’emploi mise en ligne sur le site web de votre entreprise. Vous trouvez en pièce jointe de l’email un fichier qui ressemble à un document contenant un CV. Vous aurez tendance à vouloir l’ouvrir, mais si vous le faites, vous lancerez par inadvertance un fichier piégé qui permettra aux cybercriminels d’installer des malwares sur votre ordinateur.
• Vous recevez un email marketing vous invitant à répondre à un sondage qui semble réaliste, en échange d’une chance de gagner un bon de réduction, un iPhone ou encore des vacances. Vous aurez tendance à y répondre, mais au cours du processus, vous serez conviés à fournir des données personnelles que normalement vous ne donnez jamais ainsi, comme par exemple votre date d’anniversaire, l’adresse de votre domicile ou les détails de votre carte de crédit.

Quoi faire ?

Le phishing peut être difficile à repérer, car les phishers ne font pas toujours des fautttes d’ortografe ou des erreurs gammatrikalles.

Les phishers peuvent connaître votre vrai nom et votre adresse, de sorte qu’ils ne commencent pas toujours par des formules comme Monsieur/Madame ou utilisent une adresse vague comme Arizona.

Voici quelques conseils pour éviter d’être piégé :

• Ne saisissez pas de mots de passe au niveau de pages de connexion qui s’affichent après avoir cliqué sur un lien dans un email. Mettez en favoris les pages de connexion officielles de vos sites habituels ou saisissez les URL de mémoire au niveau de votre navigateur.
• Évitez d’ouvrir des pièces jointes dans des emails en provenance de destinataires que vous ne connaissez pas, même si vous travaillez dans un service de ressources humaines ou en comptabilité, et que vous utilisez beaucoup de pièces jointes dans votre travail.
• Configurez une adresse électronique de type “demander aux experts” au sein de votre entreprise, par ex. security@exemple.com. Cela donne à vos utilisateurs un moyen rapide pour demander des conseils sur des emails imprévus et des pièces jointes non sollicitées.
• En cas de doute, ne donnez rien ! Vos données personnelles valent bien plus qu’une simple chance de gagner un iPad auprès d’une entreprise de marketing dont vous n’avez jamais entendu parler !

NB : Le phishing a obtenu cette curieuse orthographe suite à un crime des années 70, connu sous le nom de phreaking. Des pirates avaient découvert comment passer des appels gratuits en utilisant diverses astuces illégales pour mettre “en panique” le système téléphonique, par exemple en utilisant des tonalités musicales spéciales sur la ligne. “Freaking ” le système du téléphone s’est transformé en “phreaking”, et par analogie avec la pêche des mots de passe de l’utilisateur et d’autres données personnelles, cela est devenu une pratique connue sous le nom de “phishing“. 

Billet inspiré de What is… phishing ?, sur Sophos nakedsecurity.