in ,

06 types d’attaques de phishing les plus courants en 2021

Phising veut dire hameçonnage et depuis un certain temps, ce type d’attaques se multiplie de plus en plus, (c’est du entre autres à la multiplication du nombre de smartpones dans les monde), et toutes les composantes qui en découlent sont concernées : Spear Phising, Waling, ou Wishing, sans oublier le phising par e-mail, et le l’hameçonnage cloné.

06 types d'attaques de phishing les plus courants en 2021
06 types d'attaques de phishing les plus courants en 2021

Quelles sont les 06 types d’attaques de phishing les plus courants en 2021 ? Le phishing (hameçonnage en français) est une tentative frauduleuse qui a pour but d’obtenir des données sensibles, en se faisant passer pour une personne digne de confiance ou bien pour une source d’information fiable.

Le phishing cible aussi bien les simples particuliers comme les organisations et est considéré, au vu des statistiques, comme le type de cyberattaque le plus courant, mais aussi la plus dangereuse.

En effet, selon le rapport 2020 « State of the Phish » de Proofpoint, une entreprise américaine spécialisée dans la sécurité informatique, dans le pays, 65% des organisations américaines ont connu une attaque de phishing réussie en 2019.

Toujours selon le rapport de Proofpoint, mais publié en 2021 cette fois-ci, ce sont 57% des organisations qui ont connu une attaque de phishing réussie en 2020.

Une nette amélioration a donc été observée de 2019 à 2020. Malgré tout, le nombre d’attaques de phishing réussies reste trop nombreux aux États-Unis. Et c’est malheureusement le cas partout ailleurs dans le monde.

En Europe, même si la France s’en sort mieux, le pays compte tout de même moins d’une entreprise sur deux victimes d’une attaque Phishing réussie en 2020.

Il existe de nombreuses variantes de l’hameçonnage qu’il convient de connaître dans la mesure où quasiment personne, les simples particuliers comme les entreprises, peut aujourd’hui être la cible d’attaque de phishing.

Sans plus tarder, découvrez dans cet article les 06 types d’attaques de phishing les plus courants en 2021.

1- Le phishing par e-mail

Le phishing par e-mail est la forme de base ou traditionnel du phishing ou hameçonnage. C’est un type d’escroquerie en ligne où des criminels se font passer pour des organisations ou personnes légitimes par un moyen appropprié pour voler à leurs cibles des données sensibles comme la date de naissance, les numéros de sécurité sociale, les numéros de téléphone, les détails de la carte de crédit, l’adresse du domicile et autres.

Munis de vos informations personnelles, les cybercriminels peuvent faire de nombreuses actions qui pourraient vous nuire, comme ouvrir des comptes bancaires à votre nom et demander des prêts, accéder à vos comptes bancaires déjà existants, faire des achats en ligne avec votre compte et bien d’autres encore.

Pour augmenter l’efficacité des attaques de phishing par email qu’ils mènent, les cybercriminels envoient une très grande quantité de mails généralement avec le même contenu. Il est en effet rare que le contenu des messages envoyés soit personnalisé.

Et puis dans ce cas, il ne s’agirait plus de phishing traditionnel, mais plutôt de spear phishing, une variante plus évoluée du phishing qu’on abordera plus bas.

2 – L’hameçonnage cloné

Le phishing de base est une technique assez barbare, simpliste et aléatoire qui ne mise que sur la quantité et l’ignorance des gens pour pouvoir les tromper et voler leurs données personnelles. Mais il existe d’autres variantes de l’hameçonnage qui sont plus sophistiquées. L’hameçonnage cloné en fait partie.

Si vous avez déjà reçu un e-mail légitime d’une entreprise et que peu après, vous avez reçu un mail très similaire à ce mail, mais qui est pourtant faux, alors vous avez déjà été témoin du phishing cloné en action.

Les hameçonnages clonés, comme le nom peut déjà le suggérer, utilisent des répliques très ressemblantes des mails que vous recevrez d’habitude. Pour cette raison, ils sont plus difficiles à identifier contrairement aux hameçonnages de base. Souvent, il n’y a que l’adresse e-mail qui change. Autre différence, tous les liens ou pièces jointes de l’e-mail d’origine sont aussi remplacés par des éléments malveillants.

3- Le Spear phishing

Si la méthode de phishing traditionnel mise essentiellement sur le nombre (de mails envoyés) pour faire le maximum de victimes, celle du spear phishing en revanche se focalise sur un nombre limité d’utilisateurs avec des messages fortement personnalisés.

Les pirates commencent par rassembler un maximum d’informations sur leurs cibles. Ces dernières ne sont donc plus choisies de façon aléatoire, comme c’est le cas avec le phishing traditionnel. Les informations recueillies permettent ensuite aux arnaqueurs de concevoir des messages d’hameçonnage personnalisés.

Les attaques de spear phishing sont en comparaison plus réussies et plus rentables que les attaques de phishing traditionnels, car elles ciblent spécifiquement les personnes et les organisations de grande valeur avec d’excellents arguments pour tromper.

4- Le whaling ou l’hameçonnage qui cible les « gros poissons »

Le whaling, littéralement chasse à la baleine en français, possède le même mode opératoire de phishing traditionnel. Mais au lieu de s’attaquer à des cibles choisies aléatoirement, le whaling ne vise que les « gros poissons », comme les PDG d’entreprise, les directeurs financiers, les responsables de sécurité et bien d’autres encore.

Au niveau de la stratégie à adopter, le whaling a également une certaine ressemblance au Spear phishing, une autre variante du phishing déjà évoquée plus haut, dans la mesure où les pirates s’investissent pour créer des messages hautement personnalisés à leurs cibles.

Seulement avec le whaling, ce qui n’est pas le cas du spear phishing, au lieu de choisir un groupe de personnes spécifiques, une seule personne sera vraiment ciblée : le gros poisson, ou le directeur général d’une entreprise.

Dans une entreprise ou une organisation, ceux considérées comme des « gros poissons » sont les personnes les plus susceptibles d’avoir accès aux informations les plus sensibles et donc les plus intéressantes pour les pirates.

Les attaques whaling réussies causent souvent des dommages à la réputation importants à une entreprise. Pour les clients, il est généralement inacceptable qu’une personne occupant un poste clé dans une entreprise qui prenne le sujet de la sécurité au sérieux puisse être victime de piratage informatique quel qu’il soit.

C’est la raison pour laquelle les entreprises qui ont vu leurs dirigeants se faire pirater perdent souvent une bonne partie de leur clientèle à la suite de cela.

5- Vishing ou hameçonnage vocal

Le Vishing est une arnaque par hameçonnage par lequel un fraudeur utilise des messages vocaux qui fonctionnent grâce au service VOIP (Voice Over Internet Protocol ou service de téléphonie Internet) ou des appels téléphoniques pour convaincre ses victimes de donner leurs identités ou des informations sensibles leur concernant, comme leurs informations financières telles que le code PIN, numéro de carte bancaire…

Puisque les fraudeurs communiquent avec la voix, ils peuvent tirer profit des sentiments humains naturels tels que la confiance, la peur, la cupidité ou le désir d’aider son prochain ainsi que les émotions pour convaincre et manipuler leurs victimes.

Si le vishing marche, c’est aussi parce que par téléphone, les méthodes de vérification de l’identité de l’appelant se limitent qu’à ce qu’il dit, contrairement à une discussion en face-à-face.

6- le Smishing ou hameçonnage par SMS

De toutes les variantes du phishing, le smishing est sans aucun doute celle qui fait le plus de victimes et donc la plus dangereuse, notamment à cause du fait que les canaux SMS sont moins fréquents aux arnaques, alors les gens ont tendance à se dire qu’un petit message ne peut pas représenter une réelle menace.

Qu’est-ce que le smishing ?

Smishing est un mot-valise pour « SMS » et « phishing », désignant le phishing ou l’hameçonnage par SMS. Il s’agit d’une forme de phishing par laquelle les cybercriminels envoient des messages SMS au contenu prétendument fiable afin d’amener leurs cibles à cliquer sur un lien malveillant ou à donner leurs données personnelles.

Ceux qui sont victimes d’attaques par smishing ou « hameçonnage SMS » peuvent se faire voler leur identité, voir leur compte bancaire vidé ou encore se retrouver avec des logiciels malveillants comme des logiciels espions installés sur leur téléphone.

Comment fonctionne le smishing ?

Le smishing est souvent effectué en envoyant un message texte avec un message et un lien vers qui redirige vers site Web trompeur. Quand les cibles cliquent sur le lien indiqué, ils atterrissent sur un site Web où ils sont invités à entrer des données personnelles ou à télécharger un fichier ou un programme qui cache en réalité un programme malveillant

Les messages envoyés tirent souvent parti de la confiance ou de la peur d’une personne afin d’obtenir des informations. Par exemple, le message dira que si vous ne cliquez pas sur un lien et ne saisissez pas vos coordonnées, vous serez facturé par jour pour l’utilisation d’un service.

Le sms peut aussi contenir des mots rassurants qui vous inviteront à effectuer des actions qui s’avèreront en réalité très dangereuses.

Pourquoi le smishing est-il de plus en plus courant ces dernières années ?

Aujourd’hui, la plupart des adultes de plus en plus d’enfants portent un smartphone en tout temps. Il y a donc maintenant une énorme quantité d’appareils mobiles à cibler. Voilà pourquoi les arnaqueurs s’intéressent au SMS pour arnaquer les gens.

A cela s’ajoute aussi le fait que le SMS est un excellent canal de communication, bien meilleur que l’e-mail ou autres, en termes de taux d’ouverture en tout cas. Pour information, le taux d’ouverture moyen des SMS est de 98 %, contre seulement 20 % pour les e-mails. Ils sont aussi plus rapides et faciles à envoyer, surtout avec l’apparition des logiciels d’envoi de sms en masse.

Des avantages que malheureusement profitent aussi aux cyber-escrocs !

 

Auteur Antonio Rodriguez, Directeur Clever Technologies

Written by Antoine

Informaticien depuis des lustres, ancien directeur de Banque (Informatique, Comptabilité, Communication, Refonte Informatique), Antoine est un passionné par les nouvelles technologies, et les innovations liées à l'informatique. Une de ses passions est d'écrire des articles, sur les sujets les plus variés et les plus divers, mais en relation avec le monde du SMS ou de la communication, de la supervision, et de la gestion des astreintes.

Top 4 des fournitures de bureau indispensables pour une entreprise

Multiplications des Arnaques sur les différentes plates formes

Multiplications des Arnaques sur les différentes plates formes