L’actualité au “service” du phishing
Le phishing est une technique de cyberattaque utilisée par les cybercriminels. Celle-ci consiste à envoyer un e-mail composé d’une ou plusieurs pièces jointes et/ou de liens frauduleux, derrière lesquels se cachent souvent un logiciel malveillant. (Malware : cheval de troie, virus, ver, ransomware…). Pour ce faire, le fraudeur ne manque pas d’imagination. Il peut, par exemple, se faire passer pour un tiers de confiance (collègue, responsable, banque, assurances, administrations) afin de soutirer des données confidentielles (mots de passe, coordonnées…) et/ou se servir de l’actualité pour leurrer l’utilisateur…et dans ce cas, les sujets foisonnent !
Savez-vous que les premières attaques par phishing se sont produites dans les années 90 ?
et oui…30 ans de phishing !
Nous devrions donc, à présent, être suffisamment éclairés et vigilants face à ce fléau. En effet, qu’elle que soit la période, le sujet, la manière, le procédé reste le même !
Et pourtant, malgré cela, le phishing fait toujours recette !
Il reste même en tête de liste des vecteurs d’attaques privilégiés par les fraudeurs !
Pourquoi le phishing continue de se développer ?
Outre l’utilisation de techniques de plus en plus sophistiquées, les sources d’inspiration ne manquent pas. Au contraire, elles sont intarissables ! L’une d’entre elles, l’actualité, quelle qu’elle soit (bonne ou mauvaise), est d’ailleurs un terreau fertile et une bonne “aubaine” pour les cybercriminels. Elle leur permet d’activer des leviers vieux comme le monde tels que :
- Notre anxiété : comme récemment avec la COVID19. (par exemples, l’envoi d’e-mails pour acheter des masques “certifiés”, du gel hydroalcoolique, pour participer à une campagne de dépistage).
- Nos peurs, notre stress : par exemple, l’envoi d’e-mails frauduleux de contravention lors des variations de changement de vitesse ou concernant la déclaration d’impôts en ligne. Ou, autre exemple, des e-mails vous proposant une décontamination de votre logement (qui plus est, soit-disant recommandé par l’état !).
- Notre curiosité : suite à la grève SNCF de fin d’année 2019, l’envoi d’e-mails truffés de liens corrompus. Ces derniers pointent vers une plateforme malveillante qui vous demande des informations personnelles et/ou bancaires pour obtenir un remboursement de billets de train.
- Notre enthousiasme : un remboursement de trop-perçu des impôts ou de la CPAM, une offre alléchante sur un soit-disant “médicament miracle” pendant la COVID19, de faux bons d’achats envoyés par e-mail pour la fête des mères, la dernière offre d’un FAI pour un forfait “révolutionnaire” dont les médias parlent sur les réseaux ou encore un mail constitué d’un lien qui vous oriente vers un pseudo site de revente de cadeaux de noël. Et que penser des e-mails envoyés pendant les périodes de soldes, black friday, etc… ?
- Notre empathie : l’envoi d’e-mails invitant à laisser ses coordonnées ou signer une pétition pour tel ou tel sujet d’actualité, par exemple les dons pour la recherche, pour l’écologie ou pour soutenir une cause “sous les feux de la rampe”.
Alors…Comment supprimer définitivement le phishing ?
Im-pos-sible !
En revanche, diminuer les risques et limiter les conséquences d’une cyberattaque par phishing est tout à fait envisageable. Comment ? En équipant votre organisation non seulement de solutions techniques de sécurité, comme cela doit déjà être le cas, mais aussi de solutions organisationnelles.
Faire de l’humain, maillon faible de la cybersécurité, un atout majeur de votre organisation.
Sensibiliser au risque cyber, former à la cybersécurité et apprendre aux utilisateurs à déjouer les pièges des e-mails de phishing : voilà l’ingrédient essentiel et indispensable d’une organisation « cyber-préparée » et cyber-résiliente !
Vous avez une fonction liée à la gestion des risques dans votre organisation ? Menez une campagne de sensibilisation à la cybersécurité.
