Les arnaques de phishing par e-mail sont menées en ligne par des escrocs avides de technologie et des criminels du vol d’identité.
Ils utilisent les spams, les faux sites web et les e-mails pour tromper les utilisateurs en leur fournissant des informations sensibles, comme des mots de passe bancaires et des numéros de carte de crédit. Une fois que vous avez mordu à l’hameçon, ils utilisent cette information pour créer de faux comptes afin de voler votre argent ou même votre identité.
Pour les entreprises, les escroqueries par phishing peuvent mener à des atteintes à la protection des données qui entraînent la perte de données commerciales confidentielles et de renseignements sur les clients. Cela a coûté des millions à certaines entreprises.
L’entreprise américaine Scoular Co. a perdu plus de 15,5 millions d’euros en juin 2014 suite à une attaque de phishing. Même les grandes entreprises disposant de ressources considérables peuvent être ciblées avec succès par ces attaques de phishing.
En mai 2017, le fournisseur de technologie de signature numérique DocuSign a été ciblé. Un pirate informatique a accédé à un système « non central » qui a été utilisé pour envoyer des communications aux utilisateurs via la messagerie électronique et a volé les adresses électroniques de ces derniers.
Qu’est-ce que le phishing et comment fonctionne cette cyberattaque ?
Le phishing est une méthode visant à recueillir des informations personnelles via des e-mails et des sites web malveillants.
Voici ce que vous devez savoir sur cette forme d’attaque qui est de plus en plus sophistiquée.
Définition du phishing
Le phishing est une forme cybercriminalité qui utilise la messagerie électronique déguisée comme une arme.
Le but est de faire croire au destinataire de l’e-mail qu’il a besoin de ce message. Il peut par exemple s’agir d’une demande de sa banque, ou une note envoyée par quelqu’un de son entreprise. La victime est alors invitée à cliquer sur un lien ou à télécharger une pièce jointe.
Ce qui distingue vraiment le phishing, c’est la forme que prend le message. Les pirates informatiques se font passer pour une entité de confiance quelconque, souvent une personne réelle ou vraisemblablement réelle, ou bien pour une entreprise avec laquelle la victime pourrait faire des affaires. C’est l’un des plus anciens types de cyberattaques, car son origine remonte aux années 1990.
Pourtant, le phishing demeure l’une des attaques les plus répandues et des plus pernicieuses, étant donné que les messages et les techniques de phishing sont de plus en plus sophistiqués et difficiles à repérer.
Les attaques de phishing font rage
Le saviez-vous ? Environ un tiers de toutes les infractions en 2018 étaient liées au phishing.
Ce chiffre était publié dans le rapport d’enquête menée par Verizon en 2019 sur les violations de données. Pour les attaques de cybercriminalité, ce chiffre était passé à 78 %. La pire nouvelle est qu’en 2019, les auteurs des attaques s’en sont sorti beaucoup mieux grâce à des outils et des tactiques bien conçus qui sont facilement accessibles via Internet.
Il existe plusieurs façons d’augmenter les chances de réussite des attaques de phishing. Auparavant, les e-mails de phishing n’étaient pas souvent ciblés. Autrement dit, ils étaient envoyés à des millions de victimes potentielles dans le but de les inciter à se connecter à de fausses versions de sites web populaires.
Vade Secure, une société française spécialisée dans la conception et l’édition de solutions logicielles de sécurité des e-mails, a recensé les marques les plus populaires.
L’entreprise rapporte qu’actuellement, les pirates optent souvent pour des attaques de phishing en envoyant des e-mails « ciblés » à une personne ayant un rôle particulier dans une organisation. Cela peut se faire même si les pirates ne savent rien de leurs victimes. Ils préfèrent cette option, car elle leur permet de gagner des sommes conséquentes.
Les différents types de phishing
En menant des attaques de phishing, les pirates tentent souvent d’obtenir des informations de connexion ou d’infecter les ordinateurs de leurs victimes. Mais les attaques les plus fréquentes sont les suivantes :
Le spear phishing
Lors d’une telle attaque, les pirates tentent de créer un message pour attirer un individu en particulier à mordre à l’hameçon.
Vous pouvez considérer cela comme un pêcheur qui vise un poisson spécifique, plutôt que de choisir de lancer simplement un hameçon appâté dans l’eau et d’attendre qu’un poisson mord.
Les attaquants identifient leurs cibles en utilisant parfois des informations sur des sites comme LinkedIn. Ils utilisent des adresses usurpées et envoient des e-mails qui pourraient sembler provenir de leurs collègues de travail.
Par exemple, le cybercriminel peut utiliser le spear phishing pour cibler quelqu’un qui travaille dans le département des finances et se faire passer pour le manager de la victime.
Ainsi, il peut demander à ce dernier d’effectuer un virement bancaire important dans un court délai.
Le whaling
Le whaling est aussi une forme d’attaque de phishing courante.
Elle vise les personnes travaillant dans un poste de haute responsabilité, telle qu’un PDG ou les membres du conseil d’administration d’une entreprise. Ces personnes sont considérées comme particulièrement vulnérables, car ils disposent d’une grande autorité au sein de l’entreprise.
Comme ils ne travaillent pas souvent à plein temps, ils peuvent communiquer avec leurs employés via leurs adresses électroniques personnelles. Le problème est que les protections offertes par certains services de messagerie électronique d’entreprise font souvent l’objet d’une attaque.
Bien entendu, il sera difficile pour les pirates de recueillir suffisamment d’informations concernant ces personnes pour tromper leurs victimes, mais s’ils parviennent à le faire, cela peut s’avérer étonnamment payant.
En 2008, des cybercriminels ont ciblé des PDG d’entreprises en leur envoyant des e-mails auxquels étaient jointes des citations à comparaître du FBI.
Suite à cela, ils ont téléchargé des keyloggers – des programmes ou dispositifs pouvant enregistrer les frappes au clavier – ce qui a permis aux pirates d’obtenir les mots de passe sur les ordinateurs de plusieurs dirigeants d’entreprise.
Le taux de réussite des escrocs était de 10 %, et l’attaque a fait près de 2 000 victimes.
Voici quelques signes révélateurs pour repérer une tentative de phishing
Il est souvent difficile de distinguer un e-mail légitime d’un e-mail conçu pour vous extorquer des informations sensibles comme votre login, votre mot de passe ou le numéro de votre carte bancaire, entre autres.
Les cybercriminels sont de plus en plus rusés et imitent des contenus, marques, identifiants de connexions que vous connaissez très bien. De cette manière, ils peuvent vous piéger et voler par exemple votre mot de passe et utiliser votre compte de messagerie pour envoyer des e-mails de phishing à vos contacts. Ainsi, même un collaborateur sensibilisée et attentif pourrait se faire avoir.
Pour ne pas tomber dans le piège, voici quelques signes révélateurs qui vous permettront de détecter un e-mail de phishing.
1. Sans ouvrir l’e-mail, regardez le nom de l’expéditeur
Est-ce qu’il correspond EXACTEMENT à d’autres e-mails provenant de la même personne ?
Si ce n’est pas le cas, il pourrait s’agir d’un logiciel malveillant (malware).
2. Vérifiez le nom de domaine de l’-mail
Il est important de vérifier le nom de la personne, mais ce n’est pas suffisant. Vérifiez également le nom de domaine via lequel le message a été envoyé.
Pour vérifier son adresse électronique, il suffit de passer votre souris sur l’adresse d’origine et assurez-vous qu’aucune modification (comme des lettres ou des chiffres supplémentaires) n’a été effectuée. Comparez les deux adresses électroniques et si vous constatez que celui qui vous a envoyé l’e-mail a été modifié (par exemple arielle@paypal23.com au lieu de arielle@paypal.com), considérez ce message comme du spam.
Attention toutefois, cette méthode n’est pas infaillible, car certaines entreprises utilisent peuvent utiliser des domaines uniques ou variés.
Il se peut également que l’adresse e-mail de l’expéditeur ne semble pas correspondre au contenu du message. Est-il logique qu’un e-mail d’UPS provienne d’une adresse telle que j.shi@jung.com? Probablement pas. Que diriez-vous de no.reply@up.s.com ? Faites attention aux points dans les adresses e-mail. L’adresse « de » dans un e-mail peut être falsifiée. Ne présumez pas qu’un e-mail provenant d’une adresse connue est nécessairement légitime.
Autre chose : Si le message provient du domaine public, vous devez bien vérifier le message avant de l’ouvrir, aucune organisation légitime n’enverra de message électronique en utilisant un domaine public. C’est par exemple le cas lorsque vous recevez un e-mail se terminant par @gmail.com. En réalité, chaque organisation a son domaine de messagerie et ses comptes d’entreprise, sauf les travailleurs indépendants.
La meilleure façon de connaître le nom de domaine de l’organisation est de taper le nom de l’entreprise dans un moteur de recherche.
3. L’e-mail utilise des salutations génériques
Si vous ouvrez le message et que vous trouvez des termes génériques du type « Cher membre estimé », « Cher titulaire de compte » ou « Cher client », alors méfiez-vous, car il peut s’agir d’un e-mail de phishing.
Si une entreprise dans au sein de laquelle vous travaillez ou ou avec laquelle vous traitez a besoin d’informations sur vous, elle devrait vous appeler par votre nom et vous demander probablement de la contacter par téléphone.
4. Le contenu du message est mal écrit
Les entreprises légitimes disposent généralement d’un personnel formé pour la rédaction des e-mails et chaque fois qu’elle envoient des messages à leur personnel, il faut faire une double vérification, en tenant compte des risques du phishing.
Toutefois, il peut toujours y avoir des employés qui sont des écrivains en herbe et qui travaillent pour des entreprises légitimes. Si l’e-mail semble particulièrement amateur ; s’il y a des erreurs de grammaire évidentes et si la structure des phrases est maladroite, comme si elle avait été écrite par un programme informatique, alors regardez de plus près.
Le contenu semble-t-il être rédigé dans un français correct (ou une autre langue) ?
Vérifiez le ton et la grammaire. Est-ce que l’e-mail a l’air d’avoir été traduit d’une langue étrangère ? Alors ça pourrait venir d’un hacker non natif.
5. On vous demande de répondre avec des données confidentielles
Même si le courrier électronique est bien écrit et qu’il vous semble légitime, il y a une autre chose à ne pas négliger. Que ce courriel corresponde au style utilisé par votre organisation ou à celui d’une entreprise externe que vous connaissez très bien, telle qu’une banque, les cybercriminels peuvent se donner beaucoup de mal pour s’assurer qu’il imite l’e-mail légitime.
Cependant, lorsque le message à l’aspect authentique contient des demandes auxquelles vous ne vous attendriez pas normalement, cela constitue un signe révélateur qu’il ne provienne peut-être pas d’une source fiable.
Gardez un œil sur les messages qui vous demande de confirmer des informations personnelles que vous n’auriez jamais fournies en temps normal, comme vos coordonnées bancaires ou vos identifiants de connexion. Il ne faut pas répondre à ce genre de message et cliquer sur aucun lien.
Une entreprise légitime ne vous demandera pas de fournir votre nom d’utilisateur et/ou votre mot de passe ou de cliquer sur un lien pour changer votre mot de passe. Si un courriel vous demande de tels renseignements, méfiez-vous. Ne vous laissez pas avoir.
6. On vous offre quelque chose de précieux à peu de frais ou gratuitement
Les e-mails trop beaux pour être vrais sont ceux qui incitent leurs destinataires à cliquer sur un lien ou à ouvrir une pièce jointe en prétendant qu’ils auront une récompense de quelque nature que ce soit.
Toutes ces arnaques à base de princes nigérians viennent à l’esprit. Ou toutes les fois où vous remportez un concours auquel vous n’avez jamais participé.
Si l’expéditeur du courriel n’est pas connu ou si le destinataire n’a pas initié le contact, il est probable qu’il s’agisse d’un courriel de phishing. Et même si vous connaissez l’expéditeur, son carnet d’adresses pourrait avoir été piraté et utilisé pour diffuser des e-mails de phishing.
7. L’e-mail vous menace de conséquences désastreuses si vous ne vous y conformez pas
- « Votre ordinateur a un virus »
Il s’agit d’une astuce dans les e-mails et les publicités pop-up du site Web. Il vous est demandé de télécharger un « package de sécurité » pour lutter contre le virus.
Malheureusement, les programmes de sécurité malveillants sont l’une des sources les plus courantes d’infection par des malwares. Ignorez les avertissements concernant les malwares provenant de toute source autre que votre programme antimalware vérifié.
- L’e-mail demande une action « urgente » ou « immédiate », particulièrement en ce qui concerne les transactions financières
C’est ainsi que The Scoular Co. a perdu 17,2 millions $. Confirmez ces demandes par téléphone ou, mieux encore, en personne. Vérifiez auprès des responsables de votre entreprise avant de cliquer sur ou de répondre à de tels e-mails.
8. L’e-mail prétend être une demande « Confidentielle » ou « Privée »
L’expéditeur essaie de vous empêcher de vérifier l’e-mail auprès d’un tiers. Ne le croyez pas.
9. Un e-mail contient une pièce jointe qui prétend être une confirmation de commande ou une réception
Cette approche est également utilisée pour les documents d’expédition de colis supposés. Pensez : avez-vous commandé quelque chose à cette entreprise ?
Si oui, les e-mails antérieurs ont-ils le même format et la même apparence ?
Il est généralement préférable d’accéder à l’information sur un site web officiel plutôt que de cliquer sur des liens dans un courriel ou de télécharger une pièce jointe à un courriel. Dans la plupart des cas, il est possible d’aller sur un site web officiel pour vérifier le contenu des e-mails et obtenir de plus amples informations.
10. L’e-mail a une pièce jointe avec une extension de document non standard
Les pièces jointes sont une source majeure d’infection.
Une extension de document standard pour Microsoft Office serait une extension se terminant par.docx, xlsx ou.pptx. Celles-ci devraient être OK. Mais si l’extension se termine par « m » (pour macro), le document contient du code intégré qui peut s’exécuter lorsque vous ouvrez le document.
Tout document Adobe Reader.pdf ou fichier zip.zip peut contenir des liens vers des sites web malveillants ou des fichiers JavaScript malveillants qui pourraient déclencher une infection par un malware.
Le meilleur conseil est de vérifier avec l’expéditeur avant de télécharger une pièce jointe.
Deux astuces bonus pour détecter les e-mails de phishing
1. Est-ce la saison des impôts ?
Pendant la saison des impôts, les « autorités fiscales » demandent des renseignements financiers ou fournissent des « reçus » aux fins de l’impôt qui sont des malwares déguisés en phishing et escroqueries téléphoniques.
Depuis janvier, au moins 68 entreprises américaines ont annoncé qu’elles avaient été victimes d’une attaque de spear-phishing responsable du vol des dossiers fiscaux W-2 de leurs travailleurs aux États-Unis. Un ou plusieurs employés reçoivent un e-mail semblant provenir du chef de la direction avec des lignes d’objet telles que : « Demande de W2 pour tous les employés. »
Si l’employé tombe dans le piège de l’arnaque, l’attaquant tente de produire des déclarations de revenus pour tous les travailleurs avant eux. Puis l’agresseur vole les remboursements d’impôts des victimes.
2. Révision de la signature
L’absence de détails sur le signataire dans le contenu de l’e-mail ou l’absence d’un moyen de contacter l’entreprise qui a envoyé l’e-mail suggère fortement l’existence d’un phishing. D’une manière générale, les entreprises légitimes fournissent toujours leurs coordonnées. Alors, vérifiez-les !
Que devriez-vous faire si un e-mail vous semble suspect ?
Si le message est suspect, vous pouvez prendre certaines mesures :
- Ne cliquez sur aucun lien dans l’e-mail.
- Passez votre souris sur n’importe quel lien de l’e-mail. Si vous savez quels devraient être les liens réels, par exemple pour un client ou un fournisseur fréquent, comparez le lien réel au lien dans l’e-mail.
- Cherchez sur Google les entreprises, les particuliers, les adresses et les numéros de téléphone figurant dans le message. Regardez plus que le site web officiel de l’entreprise ; les faux sites web peuvent être mis en place rapidement.
- N’utilisez pas « répondre » pour répondre à un courriel suspect provenant d’une entité connue. Créez plutôt un nouvel e-mail et utilisez l’adresse de votre carnet d’adresses, et non celle du message reçu.
- Parlez à d’autres personnes de votre entreprise de l’e-mail de phishing que vous avez reçu. La connaissance, c’est le pouvoir !
- Quelle est la façon la plus simple de vérifier si un courriel est une tentative de phishing ? Utilisez un autre moyen de communication comme le téléphone ou le courrier. Mais n’utilisez pas l’adresse ou les numéros de téléphone indiqués dans l’e-mail. Faites une recherche sur Google concernant le site web réel de l’entreprise ou cherchez le vrai numéro de téléphone à partir des pages blanches ou des pages jaunes en ligne. Sinon, vous pourriez contacter directement les criminels.
Bien que les techniques de phishing soient de plus en plus sophistiquées, il y a beaucoup de choses que les utilisateurs peuvent faire pour éviter d’être victimes.
Les professionnels de l’informatique doivent s’assurer que leur entreprise déploie un filtre anti-spam puissant qui analyse les e-mails entrants et sortants, fournit un blocage RBL et un filtrage des modèles.
L’efficacité des filtres anti-spam varie et ne constitue qu’une partie de la solution pour prévenir les attaques intentionnellement malveillantes, en particulier les e-mails de phishing.
SpamTitan, le filtre antiphishing de TitanHQ
La meilleure solution pour contrer les attaques de phishing et d’adopter des solutions avancées de filtrage du spam. C’est ce qui vous permet de bloquer les e-mails de phishing sur le serveur avant qu’ils n’arrivent dans les boîtes de réception de vos employés ou dans leurs dossiers de spam.
Le filtre anti-spam avancé de TitanHQ peut bloquer plus de 99,9 % des spams et des e-mails malveillants. Il constitue à lui seul la solution la plus importante que vous devriez mettre en œuvre pour éviter les attaques de phishing.
SpamTitan est une solution anti-phishing idéale pour les MSP. Cette solution est basée dans le cloud et prend en charge un nombre illimité de domaines. Ces noms de domaines peuvent être protégés par une interface facile à utiliser.
Par ailleurs, SpamTitan permet aux administrateurs d’appliquer des politiques d’utilisations acceptables, par utilisateur, par groupe d’utilisateur ou par domaine. Chacune de ces solutions peut être mise en œuvre sur votre service de messagerie électronique.
Enfin, SpamTitan dispose d’un service permettant de fournir des rapports générés par domaine qui peuvent être envoyés automatiquement aux clients. La solution peut être entièrement personnalisée pour accueillir les logos et les couleurs des fournisseurs de services gérés, et elle peut être hébergée dans le cloud privé.
Même si vous parvenez à bloquer la majorité des e-mails malveillants à la source, un très faible pourcentage peut encore se glisser sur votre réseau. C’est pour cette raison qu’on insiste sur l’importance de la formation de vos employés sur les attaques de phishing. Ainsi, votre entreprise disposera d’une meilleure protection.
Coût d’une attaque de phishing
Il y a de fortes chances que vous ou votre entreprise soit la cible d’une attaque de phishing, mais la question est de savoir combien cela va vous coûter ?
Selon les statistiques récentes, votre entreprise a 27 % de chances de subir une violation grave des données au cours des deux prochaines années.
Il est possible que vous ayez déjà reçu des e-mails de phishing, mais ce que vous ne savez pas, c’est le coût que qu’une attaque réussie représenterait pour votre entreprise.
Une attaque de phishing réussie coûte environ 3,45 millions d’euros
Sur la base des attaques signalées dans le passé – selon un rapport publié par le Ponemon Institute et par IBM – nous pouvons vous donner un aperçu du coût d’une attaque de phishing.
En réalité, il est difficile de donner des chiffres exacts d’une attaque réussie, car il faut prendre en considération le coût financier direct réel, celui lié à l’atteinte à la réputation de l’entreprise, les frais généraux liés à la réparation des dommages, etc.
Dommages financiers réels causés par le phishing
Le moyen le plus évident de connaître l’impact financier d’un e-mail de phishing est le montant qui demandé par les pirates.
Si on considère les attaques les plus récentes, le montant des sommes volées varie de plus de 272 000 à plus de 10 millions d’euros.
D’autres études rapportent également certaines des plus grandes attaques de phishing en 2018, où les montants volés ont atteint des milliards d’euros. Selon le magazine Forbes, une attaque typique de spear phishing a récemment coûté plus de 18 millions d’euros à une chaîne de cinéma néerlandaise.
Un autre cas typique est celui de l’entreprise technologique Ubiquiti Networks. Elle s’est fait voler plus de 41 millions d’euros dans le cadre d’une attaque de phishing.
Bien entendu, il y a d’autres coûts qui devraient être pris en compte en plus du montant d’argent qui a été réellement volé par les pirates. Selon IBM, une attaque de phishing réussie coûte en moyenne 3,5 millions d’euros à une entreprise. Pour les entreprises basées aux États-Unis, ce montant peut facilement passer à plus de 7,2 millions d’euros.
Une « méga brèche » peut coûter plus de 318 millions d’euros, et les dommages qui y sont liés se chiffreraient en milliards d’euros.
Comme nous l’avons susmentionné, il existe d’autres facteurs que vous devriez prendre en compte.
Il y a d’abord le coût lié aux clients qui quittent votre entreprise à la suite d’une brèche, Selon encore IBM, si une organisation a subi une violation de données, elle risque de perdre jusqu’à 1 % de ses clients, dont le coût total pourrait s’élever à plus de 2,5 millions d’euros. Si vous perdez plus de 4 % de vos clients, ce coût pourrait aller jusqu’à plus de 5,4 millions d’euros.
Il faut également prendre en compte la perte de confiance des consommateurs. La raison est qu’il faut souvent plus de 200 jours pour vous rendre compte qu’il y a eu une atteinte à la protection des données. Et sachez que les coûts de notification d’une violation de données peuvent aller jusqu’à plus de 673 000 euros.
Il ne faut pas non plus négliger le coût généré par les interventions après une infraction, lequel est estimé à plus de 1,6 millions d’euros. Cela intègre non seulement les frais liés à l’indemnisation des victimes, mais aussi, ceux inhérents aux enquêtes, à la remise de la production après l’attaque, etc.
Autres conséquences du phishing
Après une attaque de phishing, votre organisation devra encore engager des dépenses supplémentaires pour mener des analyses dans le but de déterminer la cause profonde de la violation de données, organiser l’équipe pour répondre aux éventuels incidents, mener des actions de communication et de relations publiques, mettre en place des procédures de centre d’appel et des formations spécialisées, etc.
Pour éviter les éventuels dommages, il est donc important que vous et vos employés sachent détecter les e-mails de phishing.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que vos données et vos appareils sont protégés ? Parlez à un spécialiste ou envoyez-nous un courriel à info@titanhq.com pour toute question.