Conseil

Le Phishing continue de faire recette

Les prévisions pour l’année 2018 annoncent une recrudescence des attaques par Phishing. Bien que les tentatives d’hameçonnage ne cessent de croître et que les techniques se complexifient, les attaquants continuent d’utiliser des moyens à portée de main et d’une grande efficacité.

 

Qu’est-ce que le Phishing ?

Le Phishing (hameçonnage ou filoutage en français) est une technique d’ingénierie sociale utilisée par des personnes mal intentionnées afin de dérober des données personnelles et confidentielles. Ce type d’attaque de masse a l’avantage de nécessiter peu de connaissances techniques et de moyens financiers pour un résultat qui peut s’avérer au final très lucratif.

Le principe est de tromper la vigilance de l’internaute en utilisant la menace, l’urgence ou bien l’appât du gain pour l’amener à dévoiler ses informations personnelles. Pour ce faire, le pirate usurpe l’identité d’une personne ou d’un organisme officiel (tiers de confiance) et envoie un e-mail frauduleux contenant une pièce jointe piégée, ou un lien redirigeant vers un site web compromis, qui ressemble fortement au site officiel. Une fois sur le site, les destinataires sont invités à saisir leurs informations personnelles, leurs codes d’accès, ou leurs coordonnées bancaires.

 

Simple mais efficace : exemple avec la fausse compagnie Air France

Le 13 février dernier, de nombreuses personnes ont reçu ce message relayé en masse par les réseaux sociaux : « Air France offre 2 billets gratuits à tous pour célébrer son 85e anniversaire ». Les pirates ont remplacé la deuxième lettre « a » du nom de domaine airfrance.com par le caractère vietnamien « » dans l’url renvoyant vers leur site web malveillant. Il devenait alors difficile de distinguer la duperie à la lecture de l’url, en particulier sur l’écran d’un smartphone :

phishing exemple air-france

Une fois sur le faux site d’Air France, les internautes sont invités à renseigner leurs informations personnelles ainsi que leurs coordonnées bancaires afin de profiter de la soi-disant offre. Les informations récupérées par les pirates pourront alors être utilisées pour usurper l’identité de la victime et commettre des méfaits en son nom, vider son compte bancaire ou encore être revendues sur des sites spécialisés.

 

Voici quelques exemples supplémentaires pour vous familiariser avec cette technique et ne pas vous faire piéger :

Comment s’en prémunir ?

La vigilance est primordiale : les techniques de Phishing se perfectionnant sans cesse, il devient de plus en plus difficile de les repérer. Les recommandations encore valables hier ne sont plus suffisantes aujourd’hui. L’humain est une cible vulnérable et reste le maillon faible au sein des politiques de sécurité des entreprises.

Il est important de sensibiliser vos collaborateurs à la sécurité informatique, de les former aux bonnes pratiques, d’autant plus que le nouveau Règlement européen sur la protection des données personnelles (RGPD) qui est entré en application le 25 mai 2018, impose désormais une obligation de sécurité pour les entreprises.

La sécurité des données personnelles se doit d’être anticipée et envisagée dès la conception des systèmes d’une entreprise. Il s’agit du Privacy by Design, concept selon lequel la sécurité doit être prévue dès l’origine et ne doit plus être gérée à la suite d’une attaque. Votre entreprise devra notamment signaler à la CNIL, dans un délai de 72 heures, les attaques d’hameçonnage subies dès lors que des données personnelles ont été dérobées.

 

Afin de s’en prévenir, les campagnes de simulation de Phishing permettent à vos collaborateurs de reconnaître les menaces actuelles pour s’y préparer et y faire face. Les consultants d’INQUEST vous apportent leur expertise à travers des programmes de formation variés et concrets pour que vos collaborateurs deviennent acteurs de la prévention au service de la sécurité de votre entreprise.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *