L'objectif des attaques de phishing est de vous amener à fournir accidentellement des informations sensibles, à donner accès à un réseau ou à télécharger des logiciels malveillants.
Au départ, les attaques de phishing étaient assez rudimentaires et utilisaient un e-mail contenant un lien intégré sur lequel la personne non avertie cliquait. Aujourd'hui, elles sont beaucoup plus sophistiquées, elles peuvent même inclure des sites Web HTTPS. Par exemple, le protocole HTTPS peut empêcher le vol de données, mais il peut aussi permettre de dissimuler du trafic malveillant derrière le cryptage. Étant donné que la passerelle sécurisée ne peut pas inspecter les données chiffrées, elle laisse tout passer, y compris le code malveillant. Les rapports du FBI sur les attaques HTTPS remontent à 2019.
Un exemple d'attaque de phishing moderne et sophistiquée est l'utilisation de noms de domaine usurpés par faute de frappe. Bien que cela semble très technique, c'est en réalité assez simple. Les criminels mettent en place un site Web se faisant passer pour Adobe, mais leur adresse Web utilise le caractère latin « ḅ » au lieu du « b » normal, ce qui donne « adoḅe.com »; notez le point sous le b.
À partir de là, l'attaquant peut faire d'« adoḅe.com » un site HTTPS et créer de nombreux autres sous-sites. Un site tel que « get.adoḅe.com » pourrait être créé et envoyé par courriel aux comptes ciblés sous forme de lien. Et bien sûr, les hyperlinks comportent un soulignement qui masque le faux caractère, ce qui fait que le lien semble 100% légitime. Comme dans l'exemple ci-dessous, le point sous le « b » ne peut pas être vu car le soulignement de l'hyperlien l'a recouvert :
Il ne s'agit là que d'un exemple, et il existe de nombreuses façons dont les attaques de phishing peuvent se produire. Cependant, il existe des étapes pratiques pour combattre les attaques de phishing et atténuer le risque :
- Formez vos employés sur la manière d'identifier les courriels malveillants et de savoir quoi en faire. Menez des campagnes de phishing simulées et des tests anti-phishing. Assurez-vous que les employés utilisent des mots de passe robustes et uniques, et d’une communication afin que les mots de passe pour les comptes professionnels soient différents de leurs comptes personnels.
- Utilisez l'authentification multifacteur (MFA) pour réduire le risque de prises de contrôle non autorisées.
- Sensibilisez votre personnel aux risques de l'ingénierie sociale (social engineering). Rappelez-leur de ne pas publier d'informations liées au travail sur des plateformes de médias sociaux publiques qui pourraient être utilisées pour identifier leur employeur, leur poste et leurs responsabilités, etc., et ainsi être utilisées pour une attaque de phishing ciblée.
- Installez une passerelle de courriel sécurisée avec des fonctionnalités anti-spam, anti-logiciels malveillants et de filtrage basée sur des politiques. Cela pourrait également inclure SPF (Sender Policy Framework), DMARC (Domain-Based Message Authentication, Reporting & Conformance) et DKIM (Domain Keys Identified Mail), ainsi que la détection d'anomalies pour les courriels entrants et sortants.
- Si vous avez le moindre doute concernant un courriel ou si vous avez des soupçons sur les liens, signalez-le immédiatement à votre Équipe de Sécurité. Ils peuvent vérifier le courriel et faire ouvrir tout lien ou site suspect dans un environnement adéquat. Ils vous diront alors si le courriel est authentique.
- Passez en revue les mesures d'atténuation et assurez-vous que les mises à jour du système ont lieu périodiquement.
Le phishing peut être effectué par courriel, SMS, sur les médias sociaux ou par téléphone. Les attaques de phishing devenant de plus en plus sophistiquées et difficiles à détecter, il est crucial de rester vigilant et informé pour les prévenir. L'équipe Ebury est là pour aider ses clients à adopter les meilleures pratiques pour protéger leurs informations sensibles.
📩 Si vous avez besoin de conseils sur toute question liée à la fraude, contactez-nous à : fraud@ebury.com.
