L’hameçonnage : c’est quoi ?

L’hameçonnage (ou phishing en anglais) désigne une pratique frauduleuse utilisée par les hackers pour s’introduire dans l’ordinateur d’un individu et/ou s’infiltrer dans le système informatique d’une organisation. Cette fraude consiste à envoyer des e-mails au contenu frauduleux sur lesquels des utilisateurs, peu vigilants ou peu avisés, cliqueront. Les liens ou pièces jointes corrompus de ce type d’e-mails camouflent, en général, un logiciel malveillant (virus, ver, rançongiciel…) ou pointe vers un faux site web.

Depuis de nombreuses années, l’e-mail est le premier vecteur de cyberattaque. Plus encore en 2020 puisque l’hameçonnage est en forte recrudescence dans le monde entier. Le développement du numérique, l’avènement des réseaux sociaux et la mise en place précipitée du télétravail pendant la crise sanitaire ne font qu’aggraver la situation. Selon le baromètre publié par le CESIN en janvier 2020, l‘hameçonnage reste “le vecteur d’attaque le plus fréquent, 79% des entreprises en ont été victimes”.

Qui est concerné ?

Il n’y a pas d’exception. Nous sommes tous concernés par l’hameçonnage. Individuellement et collectivement. Personnellement et professionnellement. Que l’on appartienne à une petite ou grande organisation. Quel que soit le service dont nous dépendons. De même, le secteur professionnel et le lieu importent peu.

Une cyberattaque par hameçonnage peut viser
n’importe qui, n’importe quand et n’importe où.

L’argent est, bien sûr, l’enjeu majeur des hackers. Néanmoins, ces derniers ne viseront pas uniquement les grands groupes. En effet, collecter des données, même auprès d’organisations au chiffre d’affaire modeste ou à but non lucratif, peut s’avérer tout autant fructueux. Les cybercriminels recourent au Dark Web pour vendre et acheter des informations. A titre d’exemples, les cyberattaques ciblant des collectivités comme la mairie de Mitry-Mory ou l’attaque par phishing du Tribunal de Paris en 2020.

Par ailleurs, mener une attaque par rebond (en utilisant, à leur insu, les systèmes intermédiaires des fournisseurs ou prestataires par exemple) est tout autant envisageable.

De facto, tout individu est concerné. De plus, 80% des cyberattaques ont pour origine un e-mail de phishing, sur lequel un individu a cliqué faute d’attention ou par négligence. C’est, par conséquent, l’humain qui est non pas à l’origine mais bien au coeur de la problématique du phishing. Toutefois, qui oserait condamner un utilisateur qui n’a pas été formé à déjouer les pièges de l’hameçonnage ?

Comment l’hameçonnage est-il mis en oeuvre ?

La difficulté de réalisation d’un hameçonnage varie selon le niveau de la fraude.

Pour un phishing basique, des solutions “clés en main” sont même disponibles sur Internet. Comme le souligne l’ANSSI dans une communication du 31 janvier 2019 sur ce type de cyberattaques : “Cette profusion d’attaques est facilitée par la vente sur Internet de rançongiciels “prêts-à-l’emploi” (RaaS : Ransomware-as-a-Service), comme GandCrab, Ryuk, SamSam, Dharma, etc.”

Seule une minorité de hackers possèdent les aptitudes nécessaires pour mener une attaque par hameçonnage pointue.

L’hameçonnage peut prendre plusieurs formes :

  • L’envoi d’e-mails “en masse”, c’est-à-dire à plusieurs utilisateurs en même temps, dans la perspective que l’un d’entre eux tombe dans le piège et clique.
  • L’envoi d’e-mail ciblé, c’est-à-dire visant une personne en particulier. Cette fraude, appelée harponnage (ou “spear phishing” en anglais), consiste à recueillir un maximum d’informations sur la victime avant de lui envoyer un e-mail frauduleux tellement bien réalisé que la victime ne se doute de rien. Pour ce faire, le web (et dark web) dispose d’une quantité de données surabondantes. Il est donc aisé de collecter des informations sur un individu ou une organisation en menant une investigation numérique.

Pour piéger les utilisateurs, les hackers usent de stratagèmes variés, de plus en plus sophistiqués.

L’usurpation d’identité : en imitant ou volant l’identité d’un tiers de confiance :

  • Enseigne (EDF, opérateur téléphonique…), organisation, administration (impôts, CAF…)…
  • Supérieur hiérarchique, collaborateur, fournisseur, prestataire…

L’utilisation de tous les moyens de communication :
L’e-mail demeure le vecteur principal pour lancer une cyberattaque. Néanmoins, sites web falsifiés, programmes corrompus pour ordinateurs ou smartphones, campagnes de phishing par sms sont également l’apanage des hackers.

Les ressorts psychologiques :
Les pirates informatiques ne manquent pas d’imagination pour manipuler leur victime. Ils jouent sur la gamme des émotions humaines (l’enthousiasme, l’impulsivité, la peur, le stress, …) et/ou inventent des scénarios suffisamment réalistes pour atteindre leurs objectifs.
A titre d’exemple, ces techniques sont combinées au travers des arnaques de type “fraude au président” (FOVI : Faux Ordres de VIrements). En usurpant l’identité d’un supérieur hiérarchique, le hacker incite sa cible à effectuer un virement en urgence. Sous pression, stressée, la victime s’exécute alors et perd tout bon sens.

Quelles sont les risques et conséquences ?

Les pièges et risques sont nombreux sur Internet et leurs répercussions potentiellement dangereuses.

Le téléchargement d’une pièce jointe vérolée, un clic sur un lien frauduleux ou sur ce qui semblait être un bouton classique, la réponse à une requête ou un formulaire soit-disant urgents peuvent en réalité cacher une tentative d’hameçonnage.

Un ordinateur dans lequel vient de s’introduire un logiciel malveillant peut soudainement contaminer l’ensemble du réseau informatique d’une organisation. Outre l’infection par malware, se trouvent également, parmi les cyberattaques les plus répandues le rançongiciel, le vol de données et l’usurpation d’identité.

Mais il s’agit ici des conséquences directes.

Suite à une cyberattaque, toute organisation doit, de surcroît, faire face aux pertes financières engendrées par :
La paralysie ou perturbation de la production ;

  • Le dysfonctionnement du site web ;
  • L’arrêt du système d’information ;
  • Les retards liés aux travaux de remise en conformité ;
  • La dégradation de l’image, de la perte de confiance des potentiels clients.

Et cette liste reste non exhaustive !

Comment prévenir l’hameçonnage ?

La première recommandation est évidente : ne pas ouvrir les e-mails suspects ou dont on ne connaît pas la provenance. Et pourtant, malgré cela, comment expliquer que 80% des cyberattaques proviennent d’un e-mail de phishing ?

Certes, votre organisation est équipée de solutions établies mais elles ne suffisent pas. La raison est simple. Il est également indispensable de sensibiliser les utilisateurs à la cybersécurité et de les former à déjouer les pièges de l’hameçonnage. Acquérir les bons réflexes au quotidien et comment réagir en cas de cyberattaque. Peut-être votre organisation s’est-elle déjà dotée de solutions organisationnelles en organisant, par exemple, sa propre campagne d’hameçonnage auprès de ses collaborateurs. Toutefois, ce type de projet se révèle bien souvent chronophage et se heurte à de trop nombreux obstacles :

  • Gestion du projet de A à Z
  • Adhésion et implication des utilisateurs
  • Absence de mesure réelle de la portée des actions de sensibilisation

Existe-t-il une solution pour lutter efficacement contre l’hameçonnage ?

Avant de Cliquer présente une solution qui transforme chacun des collaborateurs en maillon fort de l’organisation. Notre solution révolutionnaire se distingue des simulateurs classiques par 4 aspects essentiels.

De surcroît, Avant de Cliquer garantit une formation au phishing performante :

  • Sur la durée ;
  • Impliquant l’individu ;
  • Qui prône l’apprentissage par l’action ;
  • Adaptée au rythme de chaque individu ;
  • Qui suit le profil de chaque utilisateur.

Chaque individu est accompagné dans sa montée en compétence face aux attaques par hameçonnage.

De plus, vous n’avez rien à faire…nous nous occupons de tout ! En effet, notre solution ne nécessite aucune intervention de votre part.

Enfin, chez “Avant de Cliquer”, nous attachons une attention particulière aux “savoirs faire” mais aussi aux “savoirs devenir” de vos collaborateurs. Nous gardons toujours à l’esprit qu’en cybersécurité, le facteur humain est au coeur de la prévention. Il est la clé du bon fonctionnement et de la cybersécurité d’une organisation. Aussi attachons-nous une attention particulière à la valorisation de chaque collaborateur.

Vous souhaitez en connaître plus encore sur notre solution innovante à l’efficacité immédiate ? Contactez-nous…