Phishing - Techniques
Last updated
Last updated
Il existe un certain nombre de techniques différentes utilisées pour obtenir des informations personnelles des utilisateurs. À mesure que la technologie progresse, les techniques utilisées par les cybercriminels sont également plus avancées.
Pour prévenir l’hameçonnage sur Internet, les utilisateurs doivent savoir comment les criminels s'y prennent et connaître les techniques anti-hameçonnage pour éviter d'en être victimes.
Cette section présentera les techniques les plus répandues.
Le « Spray-and-Pray » (Traduction littéraire: Vaporiser et prier) qui est la technique par définition d'hameçonnage, consiste à envoyer le même mail au maximum d'utilisateurs en leur demandant de remplir des données personnelles.
La technique de phishing la plus courante.
Ces informations seront utilisées par les cybercriminels pour leurs activités illégales. La plupart des messages comportent une note urgente qui demande à l'utilisateur de saisir des informations d'identification pour mettre à jour, modifier ou vérifier les données du compte. Parfois, la victime peut être invité à remplir un formulaire pour accéder à un nouveau service par le biais d'un lien fourni dans l'e-mail, par exemple un nouveau compte Amazon, Netflix ou autre.
Le « spear phishing » (harponnage) est un mail ciblant une personne ou un service spécifique au sein d'une organisation et qui semble provenir d'une source fiable. Il s'agit en fait de cybercriminels qui tentent de voler des informations confidentielles de la cible en question.
Le spear phishing est une méthode de hameçonnage ultra ciblée par laquelle les cybercriminels se font passer pour une source de confiance afin de convaincre les victimes de divulguer des données confidentielles, des informations personnelles ou d'autres détails sensibles. Le cybercriminel utilisera ensuite ces informations à des fins malveillantes, notamment pour des vols d'identité ou des violations de données.
Les spécialistes du spear phishing s'attaquent souvent à leurs victimes par le biais d'e-mails ciblés, de médias sociaux, d'applications de messagerie directe et d'autres plateformes en ligne. La force de ces cyberattaques réside dans le fait qu'elles sont conçues sur mesure pour les victimes et qu'elles privilégient la qualité à la quantité contrairement au phishing (spray-and-pray).
Le « phishing via les moteurs de recherche » se produit par le biais des moteurs de recherche de sites Web en ligne. La personne peut y trouver des offres ou des messages qui l'incitent à visiter le site Web. Le processus de recherche peut être légitime, mais le site Web est en fait faux et n'existe que pour voler les informations personnelles de la personne.
Certaines escroqueries par hameçonnage impliquent des moteurs de recherche où l'utilisateur est dirigé vers des sites qui peuvent offrir des produits ou des services à bas prix par exemple. Lorsque l'utilisateur essaie d'acheter le produit en saisissant les données de sa carte de crédit, ceux-ci sont collectés par le site de phishing. Il existe de nombreux sites de fausses banques qui proposent aux utilisateurs des cartes de crédit ou des prêts à bas prix, mais il s'agit en fait de sites frauduleux.
Voici quelques-unes des ruses courantes utilisées par les sites pour attirer les victimes :
Remise exceptionnelle/offre gratuite
Ces sites semblent être des commerçant en ligne typiques, mais les produits sont faux et si vous commandez quelque chose, vous ne le recevrez jamais. Au lieu de cela, les fraudeurs en ligne prendront votre argent et probablement aussi votre identité.
Taux d'intérêt bas/carte de crédit gratuite
Méfiez-vous des institutions bancaires proposant des taux incroyablement bas. Il s'agit probablement de faux sites conçus pour vous inciter à vous inscrire ou même à transférer de l'argent provenant d'autres sources.
Offre d'emploi
Une recherche d'emploi en ligne peut faire apparaître de fausses offres d'entreprises qui n'existent pas. La candidature demandera des informations personnelles, par exemple un numéro d'assurance nationale ou des coordonnées bancaires. Aucune entreprise ne devrait avoir besoin de ces informations avant de vous embaucher.
Avertissements d'urgence
Certains sites utilisent des avertissements d'urgence pour inciter les clients à télécharger leurs produits. Des fenêtres pop-up vous indiquent que votre ordinateur a été infecté par un logiciel malveillant ou que votre abonnement à un antivirus est périmé.
Pop-up: De l'anglais "to pup up" qui signifie surgir. Une pop-up parfois appelée fenêtre intruse, fenêtre surgissante ou fenêtre publicitaire, est une fenêtre secondaire qui s'affiche, sans avoir été sollicitée par l'utilisateur, devant la fenêtre de navigation principale lorsque l'on navigue sur Internet. (Définition: Wikipédia)
Le « vishing » vient de deux mots anglais : Voice (voix) et phishing. C’est une technique de phishing qui nécessite de passer par un appel téléphonique.
Le vishing consiste à convaincre les victimes qu'elles font le bon choix en répondant à l'appelant. Souvent, la personne qui téléphone prétend qu'il s'agit d'un appel du gouvernement, du service des impôts, de la police ou de la banque de la victime.
Télémarketing
Ces cybercriminels prétendent appeler d'une entreprise légitime comme une entreprise dont vous êtes déjà client ou une entreprise qui propose des offres auxquelles vous ne pouvez pas résister.
Par exemple:
Une agence de voyage qui vous offre des vacances gratuites, tous frais payés.
Une loterie qui vous appelle pour vous annoncer que vous avez gagné un prix, même si vous n'avez jamais participé au concours.
Fraude gouvernementale
Dans ce type d'attaque par hameçonnage vocal, les escrocs prétendent appartenir à une agence gouvernementale comme le Service public fédéral Finances (SPF Finances) ou la police. Ils jouent avec votre peur et votre sentiment d'urgence, en vous disant que vous leur devez de l'argent et que vous devez les rembourser immédiatement. Sinon, vous serez condamné à une amende ou pire.
Résoudre un problème avec votre compte
Un appelant qui prétend être de votre banque ou d'une autre organisation avec laquelle vous faites affaire, explique qu'il y a un problème avec l'accès à votre compte, un paiement que vous avez récemment effectué, des transactions suspectes ou peut-être un remboursement qui vous est dû. L'appelant demande des informations, telles que votre code d'accès ou votre numéro de compte, pour résoudre le problème.
Le « smishing » vient de SMS et phishing. C'est une pratique frauduleuse qui consiste à envoyer des messages textuels prétendant provenir d'entreprises réputées afin d'inciter les personnes à révéler des informations personnelles, telles que des mots de passe ou des numéros de carte de crédit.
Hameçonnage réalisé par l'intermédiaire de SMS (Short Message Service), un service de messagerie textuelle par téléphone.
La tromperie et la fraude sont les éléments essentiels de toute attaque de phishing par SMS. Comme le cybercriminel adopte une identité à laquelle vous pourriez faire confiance, vous êtes plus susceptible de succomber à ses demandes.