Catégorie
Levio
Levio
Cybersecurité
25 March 2021

Hameçonnage : à un clic de mordre à l’hameçon

L’hameçonnage est le principal vecteur de la cybercriminalité comme en témoigne le rapport d’activité 2019 de la plateforme gouvernementale française.

Ceci s’explique en grande partie par la simplicité de mise en œuvre. En effet, un simple courriel et une reproduction de site internet suffisent à accomplir cette attaque reposant sur l’ingénierie sociale.

Qu’est-ce qu’une attaque par hameçonnage ?

Une tentative d’hameçonnage a pour but d’obtenir du destinataire d’un courriel d’apparence légitime, qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion à des services financiers. Pour cela, le destinataire du courriel sera par exemple informé que son compte a été bloqué et qu’il doit cliquer sur un lien menant à un faux site bancaire, puis entrer ses identifiants.

Ceci avec pour finalité de permettre aux pirates informatiques d’effectuer des actes frauduleux en utilisant les données recueillies. Par exemple, en réalisant des achats en ligne ou des virements bancaires.

L’hameçonnage peut aussi être réalisé par des appels téléphoniques ou par l’envoi de sms.

Dans ce cas, l’appelant peut se faire passer pour une autorité gouvernementale et demander des documents d’identité afin d’usurper ensuite l’identité de la victime. Mais cette technique peut aussi prendre la forme d’un appel ou d’un sms demandant une réponse du destinataire vers un numéro surtaxé.

Qu’est-ce qu’une attaque par hameçonnage ?

Une tentative d’hameçonnage a pour but d’obtenir du destinataire d’un courriel d’apparence légitime, qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion à des services financiers. Pour cela, le destinataire du courriel sera par exemple informé que son compte a été bloqué et qu’il doit cliquer sur un lien menant à un faux site bancaire, puis entrer ses identifiants.

Ceci avec pour finalité de permettre aux pirates informatiques d’effectuer des actes frauduleux en utilisant les données recueillies. Par exemple, en réalisant des achats en ligne ou des virements bancaires.

L’hameçonnage peut aussi être réalisé par des appels téléphoniques ou par l’envoi de sms.

Dans ce cas, l’appelant peut se faire passer pour une autorité gouvernementale et demander des documents d’identité afin d’usurper ensuite l’identité de la victime. Mais cette technique peut aussi prendre la forme d’un appel ou d’un sms demandant une réponse du destinataire vers un numéro surtaxé.

Comment réduire le risque et l’impact d’une attaque par hameçonnage ?

1. Vérifier l’adresse courriel de l’expéditeur

Par exemple, pour s’assurer qu’un courriel provient bien de votre banque, vérifier les points suivants :

  • L’adresse courriel ne correspond pas au nom de votre banque.
  • Un ou des caractères ont été ajoutés, enlevés, ou sont similaires (exemple : un zéro au lieu de la lettre O).

Un seul caractère différent dans une adresse courriel que l’on croit légitime, peut en réalité vous mettre en contact avec un fraudeur.

2. Vérifier l’adresse URL des liens contenus dans le courriel

Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer) ce qui affichera alors l’adresse URL vers laquelle il pointe réellement.

3. Méfiez-vous des offres trop belles pour être vraies, et de tout courriel, appel ou texto vous mettant dans une situation d’urgence.

4. Ne jamais effectuer des transferts d’argent à quelqu’un que vous ne connaissez pas. Si une personne qui vous connait sollicite de l’argent par courriel, la contacter par un autre moyen (téléphone ou réseau social) pour valider que la demande provient vraiment d’elle.

5. Lors d’un contact non sollicité, que ce soit par courriel, téléphone, texto, ou sur les réseaux sociaux, ne communiquez jamais vos renseignements personnels ou vos informations bancaires.

6. Activer l’authentification à 2 facteurs (2FA)

Si ce service est proposé, ce mode d’authentification permet de se connecter à votre adresse courriel ou à votre compte bancaire en utilisant deux moyens. Ce qui renforce considérablement la sécurité de votre compte, car même si votre mot de passe est piraté, le mot de passe seul ne sera pas suffisant aux pirates pour se connecter à votre compte.

Il existe plusieurs type de 2FA :

  • Mot de passe + code aléatoire variable (généré via une application)
  • Mot de passe + clé de sécurité USB
  • Mot de passe + SMS

Remarque : Bien que toutes les formes de validation en deux étapes renforcent la sécurité de votre compte, les codes de validation envoyés par SMS ou par téléphone peuvent être détournés. Privilégiez donc lorsque c’est possible les deux premières méthodes.

Si vous souhaitez aller plus loin dans la prévention contre l’hameçonnage et les risques de cybersécurité, n’hésitez pas à contacter notre équipe d’experts en Cybersérurité.

Articles associés

Les 10 commandements pour une bonne hygiène numérique
Les 10 commandements pour une bonne hygiène numérique
1. Tu dupliqueras tes données régulièrement Dupliquer ses données régulièrement sur un deuxième support permet de retrouver ses données en [...]