Les techniques d’hameçonnage (aussi appelé phishing) ne sont pas récentes. Ce sont différents stratagèmes qui consistent à tromper les utilisateurs afin qu’ils partagent des informations personnelles et ainsi avoir la liberté de vous frauder ou vous voler. En fait, elles datent depuis les débuts d’internet. Cependant, dans les dernières années, elles se sont beaucoup raffinées et continuent de se raffiner chaque jour.

Les PMEs ne sont pas en reste : elles sont constamment dans la mire des cybercriminels. Grâce à cet article, vous serez en meilleures connaissances des différentes techniques d’hameçonnage et ainsi prévenir les fraudes.

Le phishing traditionnel

L’hameçonnage traditionnel est la forme la plus courante. Il s’agit de courriels que l’on reçoit généralement dans nos boîtes courriel personnelles. Souvent, ces courriels contiennent des fautes d’orthographe, ils ne sont pas très bien écrits et l’adresse de provenance ne fait aucun sens. Souvent, quand on prend le temps de le lire, l’histoire racontée ne fait pas de sens (pourquoi un riche héritier voudrait vous donner sa fortune !?).

Ces spams ont un peu évolué, mais reste qu’ils sont assez rudimentaires et jouent toujours sur le même sentiment l’urgence. Ils sont souvent bloqués par notre fournisseur de courriel et on peut les voir dans notre boîte de pourriels/spam.

Le phishing évolué

L’hameçonnage évolué est une forme beaucoup plus courante de nos jours. Les arnaqueurs se fient sur le fait que tout le monde possède un ou des comptes Amazon, Netflix, Spotify, Wal-Mart, etc. Ces courriels ont pour but de nous amener à penser que nous avons un problème avec notre compte. Ils sont souvent plus raffinés, comportent moins de fautes et ils sont plus personnalisés avec notre nom ou nom d’utilisateur.

Les liens qu’il contiennent sont sécurisés avec HTTPS et les certificats SSL sont valides. Ces liens nous redirigent vers des sites web qui ressemblent à s’y méprendre au vrai, tout cela dans le but de récupérer notre mot de passe pour le service visé. Ainsi, les fraudeurs se connectent au service, changent le mot de passe afin que le service ne soit plus accessible pour vous. Résultat : les cybercriminels pourront faire des achats frauduleux, etc.

Le spear phishing (hameçonnage ciblé)

L’hameçonnage ciblé – ou le spear phishing – est un type moins courant sur les boîtes courriel personnelles, mais beaucoup plus présent dans les boîtes courriel professionnelles. La raison est assez simple : au lieu d’envoyer des courriels tous identiques à des milliers d’adresses courriel, ils sont concentrés sur une personne spécifique dans une entreprise.

Dans ce cas, l’arnaqueur aura effectué des recherches approfondies sur sa victime potentielle en prenant soin de noter des détails comme l’entreprise pour laquelle elle travaille, son poste exact, etc. Dépendamment du niveau d’information qu’il détient, le fraudeur fait parvenir un courriel contenant des informations précises sur l’entreprise, sur des personnes et ainsi avoir des échanges qui paraîtront parfaitement légitime.

Pour l’hameçonnage ciblé, il existe plusieurs méthodes différentes qui peuvent être utilisées par les faudeurs. Habituellement, le sentiment d’urgence est souvent utilisé pour faire pression et réussir le plus rapidement possible à arriver à ses fins.

Les différents exemples de spear phishing     

Une technique qui est très populaire dans ces temps-ci vise principalement les personnes qui travaillent dans le service de la paie d’une entreprise. Une adresse courriel bidon est créée, puis seulement quelques courriels sont envoyés pour éviter la détection.

Ici, l’arnaqueur connait déjà quelqu’un au service de la paie et envoie un courriel en se faisant passer par un employé demandant de changer le compte de banque dans laquelle les paies de cet employé sont déposées. L’arnaqueur fournit donc son numéro de compte afin de détourner le montant de paie de l’employé. Habituellement, les montants en jeu ne sont pas très grands. Mais comme cette technique est assez simple à faire, elle permet aux fraudeurs de réaliser un volume assez important de fraude.

Une autre technique consiste à envoyer un courriel à un des hauts dirigeants d’une entreprise comportant beaucoup de détails spécifiques afin de lui faire croire qu’il parle avec une personne de l’entreprise avec laquelle il fait affaire, par exemple un fournisseur ou un client.

Souvent, le but est de faire croire à un problème de paiement. Par la suite, une fois le lien de confiance établi, le fraudeur fera parvenir un faux état de compte ou une fausse facture, tout en s’assurant d’indiquer un nouveau numéro de compte dans lequel faire parvenir le paiement.

Une autre technique consiste à des tentatives d’usurpation d’identité. Par exemple, vous recevez un courriel d’un de vos collègues, mais en fait il s’agit d’un faux courriel. Les courriels sont formatés (spoofing) comme s’il venait d’une personne à l’interne. Le nom affiché est bel et bien celui d’une personne à l’interne et les fraudeurs vont même jusqu’à copier la signature originale de la personne.

Tout cela est fait dans le but de vous convaincre de divulguer des informations, faire un virement ou payer une facture.

Parfois les cybercriminels vont acheter des noms de domaines semblables à celui de vos fournisseurs ou même de votre entreprise. Prenons par exemple le nom de domaine de votre fournisseur compagnieabc.com.

Vous recevez un courriel de compagnieadc.com qui vous dit que votre dernière facture est toujours impayée et que vous devez régler le solde immédiatement pour éviter d’avoir des surcharges. Dans le moment, vous vous dites que vous avez peut-être oublié de payer cette facture. Le courriel semble légitime, mais ce que vous n’avez peut-être pas remarqué c’est que le nom de domaine d’où provient ce courriel n’est pas celui de votre fournisseur, mais un nom très similaire comme compagnieadc.com. Ici, c’est tout simplement la lettre b qui a été changée pour un d.

Prévention de l’hameçonnage en entreprise

Voici quelques trucs pour prévenir ce type d’attaque :

• Éviter le plus possible d’envoyer des réponses automatiques (auto-reply) en dehors de votre organisation.
• Ajouter une bannière dans le haut des courriels pour signifier que le courriel provient de l’externe.
• Éviter d’afficher les courriels d’employés sur vos sites publics. Créer plutôt des boîtes courriel partagées, comme [email protected] ou [email protected]
• Bien configurer votre DMARC dans vos DNS pour empêcher les usurpations de votre domaine.
• Toujours prendre le temps de vérifier la provenance des courriels.
• La formation et la sensibilisation sont aussi des moyens très efficaces.

Le phishing est très courant, le niveau de sophistication peut varier grandement. Cela peut aller d’un simple courriel mal écrit et contenant des informations génériques, jusqu’à des courriels très poussés et recherchés contenant des informations très précises sur vos affaires. Le but de ces courriels est généralement de vous pousser à faire une action sans trop réfléchir et rapidement, le fameux sentiment d’urgence. Que ce doit de dévoiler de l’information, de faire un paiement ou d’entrer votre mot de passe dans un site web frauduleux.

Le meilleur et simple conseil que nous pouvons vous offrir et qui peut vous aidez à rester vigilant est de garder en tête que chaque courriel que vous lisez peut-être s’avérer être un courriel d’hameçonnage. Vaut mieux être trop vigilant que pas assez.

Ne soyez pas surpris par les niveaux de créativité des fraudeurs. Lorsque cela semble trop urgent et qu’il y a des sommes d’argent en jeu, prenez quelques minutes supplémentaires afin de valider l’information reçue que ce soit au téléphone ou en personne. Prenez les devants, ne vous laissez pas convaincre.

---

Pour tous vos besoins en cybersécurité, que ce soit la veille, la prévention ou la formation et la sensibilisation, chez SBRN Communication nous sommes là pour vous supporter à ce niveau.

Renseignez vous dès maintenant pour savoir ce qui serait le mieux pour votre entreprise!