Qu'est-ce que l'hameçonnage ?

Le phishing est un type d'attaque informatique au cours duquel des acteurs malveillants envoient des messages en se faisant passer pour une personne ou une entité de confiance. Les messages de phishing manipulent l'utilisateur, l'amenant à performer des actions telles que l'installation d'un fichier malveillant, le clic sur un lien malveillant ou la divulgation d'informations sensibles telles que des identifiants d'accès.

Le phishing est le type d'ingénierie sociale le plus courant. Il s'agit d'un terme général qui désigne les tentatives visant à manipuler ou à tromper les utilisateurs d'ordinateurs. L'ingénierie sociale est un vecteur de menace de plus en plus courant utilisé dans presque tous les incidents de sécurité. Les attaques d'ingénierie sociale, comme le phishing, sont souvent associées à d'autres menaces, telles que les logiciels malveillants, l'injection de code et les attaques réseau.

Rapport Forrester Wave sur la sécurité des e-mails Check Point Email Security

Qu'est-ce que l'hameçonnage ? Types d'attaques par hameçonnage

Attaques par hameçonnage : Statistiques et exemples

Recent findings from Check Point’s latest cyber‑security research show that phishing has evolved far beyond the traditional email‑based scams once marked by obvious spelling or formatting errors. Today, phishing is deeply intertwined with AI‑driven social engineering techniques, where attackers use AI‑generated text, audio, and video to create highly convincing impersonations at scale. These advancements eliminate the familiar red flags of past phishing attempts, making fraudulent messages, fake platforms, and impersonation scams far harder for users to detect.
Moreover, phishing now plays a central role in broader cyber‑criminal ecosystems. Fake AI platforms—such as malicious “AI‑service” sites that appear legitimate but instead steal credentials—are increasingly used to distribute malware or harvest sensitive data. Attackers also leverage credential theft from phishing to access AI service accounts, which are later resold in bulk across dark‑web marketplaces and used to automate further malicious activity, including crafting phishing content itself.
Phishing continues to support the delivery of prominent malware types as well. In modern ransomware operations, AI‑generated phishing emails, deepfake audio, and other impersonation techniques are used to gain initial access or escalate privileges before an attack unfolds.

Comment fonctionne l'hameçonnage

L’élément fondamental d’une attaque de phishing est un message envoyé par courrier électronique, sur les réseaux sociaux ou par tout autre moyen de communication électronique.

Un hameçonneur peut utiliser des ressources publiques, en particulier le réseau social, pour recueillir des informations sur l'expérience personnelle et professionnelle de sa victime. Ces sources sont utilisées pour recueillir des informations telles que le nom, la fonction et l'adresse électronique de la victime potentielle, ainsi que ses centres d'intérêt et ses activités. Le fraudeur peut alors utiliser ces informations pour créer un faux message fiable.

En général, les e-mails que reçoit la victime semblent provenir d’un contact ou d’une organisation connu(e). Les attaques sont menées à l’aide de pièces jointes malveillantes ou de liens vers des sites Web malveillants. Les pirates créent souvent de faux sites Web qui semblent appartenir à une entité de confiance, telle que la banque, l’entreprise ou l’université de la victime. Via ces sites Web, les pirates tentent de collecter des informations privées telles que des noms d’utilisateur et des mots de passe ou des informations de paiement.

Certains e-mails de phishing peuvent être identifiés grâce à leur mauvaise copywriting et à leur utilisation inappropriée des polices, des logos et des mises en page. Cependant, de nombreux cybercriminels deviennent de plus en plus sophistiqués dans la création de messages d’apparence authentique et utilisent des techniques de marketing professionnelles pour tester et améliorer l’efficacité de leurs e-mails.

Techniques courantes de phishing

Email hameçonnage

Les hameçonneurs utilisent diverses techniques pour rendre leurs attaques plus crédibles aux yeux de leurs cibles et atteindre leurs objectifs. Voici quelques techniques courantes de phishing :

  • Ingénierie sociale : L’ingénierie sociale utilise la psychologie pour manipuler les cibles du phishing. Un phisher peut recourir à la tromperie, à la coercition, à la corruption ou à d’autres techniques pour atteindre son objectif.
  • Typosquatting : les hameçonneurs peuvent utiliser des domaines et des URL très similaires à ceux d’un domaine légitime et fiable. Si la cible ne fait pas suffisamment attention, elle peut croire que le lien est légitime.
  • Usurpation d’adresse e-mail : un e-mail usurpé est conçu de manière à ce que le nom affiché dans l’e-mail appartienne à une personne en qui le destinataire a confiance. Le champ Expéditeur d’un e-mail n’est qu’une donnée et est sous le contrôle de l’expéditeur. Les hameçonneurs exploitent cette caractéristique pour faire croire que les e-mails proviennent de comptes de messagerie fiables.
  • Raccourcissement d’URL : les raccourcisseurs d’URL tels que bit.ly masquent la destination cible d’une URL. Les hameçonneurs utilisent cette technique pour inciter une victime à cliquer sur un lien vers une page de phishing.
  • Redirections malveillantes : les redirections sont conçues pour envoyer un navigateur vers une autre page si l’URL d’origine n’est pas disponible, incorrecte ou obsolète. Les redirections malveillantes peuvent être utilisées pour envoyer un utilisateur vers une page de phishing au lieu d’une page légitime.
  • Liens caché  : les liens peuvent être dissimulés dans des textes ou des images apparemment inoffensifs. Si un utilisateur clique accidentellement sur le lien caché, il est redirigé vers une page de phishing.

5 types d'attaques par hameçonnage

#1. Phishing par e-mail

La plupart des attaques par hameçonnage sont envoyées par courrier électronique. Les attaquants enregistrent généralement de faux noms de domaine qui imitent de vraies organisations et envoient des milliers de demandes courantes aux victimes.

Pour les domaines falsifiés, les pirates peuvent ajouter ou remplacer des caractères (par exemple, my-bank.com au lieu de mybank.com), utiliser des sous-domaines (par exemple, mybank.host.com) ou utiliser le nom de l’organisation de confiance comme nom d’utilisateur de messagerie (par exemple, mybank@host.com).

De nombreux e-mails de phishing utilisent un sentiment d’urgence ou une menace pour inciter l’utilisateur à réagir rapidement sans vérifier la source ou l’authenticité de l’e-mail.

Les messages d'hameçonnage par courrier électronique ont l'un des objectifs suivants :

  • Amener l’utilisateur à cliquer sur un lien vers un site Web malveillant afin d’installer des logiciels malveillants sur son appareil.
  • Amener l’utilisateur à télécharger un fichier infecté et l’utiliser pour déployer des logiciels malveillants.
  • Amener l'utilisateur à cliquer sur un lien vers un faux site web et à soumettre des données personnelles.
  • Amener l'utilisateur à répondre et à fournir des données personnelles.

#2. Spear phishing

Le spear phishing consiste à envoyer des e-mails malveillants à des personnes spécifiques. En général, l’attaquant dispose déjà de certaines ou de toutes les informations suivantes concernant la victime :

  • Nom
  • Lieu d'emploi
  • Titre du poste
  • Adresse électronique
  • Des informations spécifiques sur leur fonction
  • Des collègues de confiance, des membres de la famille ou d'autres contacts, ainsi que des échantillons de leurs écrits.

Ces informations permettent d'accroître l'efficacité des courriels d'hameçonnage et de manipuler les victimes pour qu'elles effectuent des tâches et des activités, telles que le transfert d'argent.

#3. Whaling

Les attaques de type whaling ciblent les cadres supérieurs et autres postes hautement privilégiés. L’objectif ultime du whaling est le même que celui des autres types d’attaques de phishing, mais la technique utilisée est souvent très subtile. Les cadres supérieurs disposent généralement de nombreuses informations accessibles au public, que les pirates peuvent exploiter pour mettre au point des attaques très efficaces.

En général, ces attaques n’utilisent pas d’astuces telles que des URL malveillantes ou des liens frauduleux. Elles exploitent plutôt des messages hautement personnalisés en utilisant les informations découvertes lors de leurs recherches sur la victime. Par exemple, les auteurs d’attaques de type whaling utilisent souvent de fausses déclarations fiscales pour découvrir des données sensibles sur la victime et les utiliser pour élaborer leur attaque.

#4. Smishing et vishing

Il s’agit d’une attaque de phishing qui utilise le téléphone plutôt que la communication écrite. Le smishing consiste à envoyer des SMS frauduleux, tandis que le vishing implique des conversations téléphoniques.

Dans un hameçonnage frauduleux typique, un pirate se fait passer pour un enquêteur de fraude pour une société de cartes de crédit ou une banque, et informe les victimes que leur compte a été violé. Les criminels demandent ensuite à la victime de fournir des informations sur sa carte de paiement, soi-disant pour vérifier son identité ou transférer de l'argent sur un compte sécurisé (qui est en réalité celui de l'attaquant).

Les escroqueries par vishing peuvent également impliquer des appels téléphoniques automatisés prétendant provenir d’une entité de confiance, demandant à la victime de saisir ses informations personnelles à l’aide du clavier de son téléphone.

#5. Angler phishing

Ces attaques utilisent de faux comptes sur les réseaux sociaux appartenant à des organisations connues. L’attaquant utilise un nom d’utilisateur qui imite celui d’une organisation légitime (par exemple, « @pizzahutcustomercare ») et utilise la même photo de profil que le compte réel de l’entreprise.

Les attaquants profitent de la tendance des consommateurs à se plaindre et à demander de l'aide aux marques par le biais des médias sociaux. Cependant, au lieu de contacter la vraie marque, le consommateur contacte le faux compte social de l'attaquant.

Lorsque les attaquants reçoivent une telle demande, ils peuvent demander au client de fournir des informations personnelles afin qu'ils puissent identifier le problème et y répondre de manière appropriée. Dans d'autres cas, l'attaquant fournit un lien vers une fausse page d'assistance à la clientèle, qui est en fait un site web malveillant.

Quels sont les signes d'hameçonnage ?

 

Menaces ou sentiment d'urgence

Les courriers électroniques menaçant de conséquences négatives doivent toujours être traités avec scepticisme. Une autre stratégie consiste à utiliser l'urgence pour encourager ou exiger une action immédiate. Les hameçonneurs espèrent qu'en lisant le courriel à la hâte, ils n'examineront pas le contenu en profondeur et ne découvriront pas d'incohérences.

Style du message

Un signe immédiat de phishing est un message rédigé dans un langage ou un ton inapproprié. Si, par exemple, un collègue de travail semble trop familier ou un ami proche utilise un langage formel, cela devrait éveiller vos soupçons. Les destinataires du message doivent vérifier s’il existe d’autres éléments pouvant indiquer qu’il s’agit d’un message de phishing.

Demandes inhabituelles

Si un courriel vous demande d'effectuer des actions non standard, cela peut indiquer qu'il s'agit d'un courriel malveillant. Par exemple, si un courriel prétend provenir d'une équipe informatique spécifique et demande l'installation d'un logiciel, alors que ces activités sont généralement gérées de manière centralisée par le service informatique, il s'agit probablement d'un courriel malveillant.

Erreurs linguistiques

Les fautes d’orthographe et les erreurs grammaticales sont un autre signe révélateur des e-mails de phishing. La plupart des entreprises ont mis en place un correcteur orthographique dans leurs clients de messagerie pour les e-mails sortants. Par conséquent, les e-mails contenant des fautes d’orthographe ou des erreurs grammaticales doivent éveiller les soupçons, car ils ne proviennent peut-être pas de la source indiquée.

Incohérences dans les adresses web

Un autre moyen facile d'identifier les attaques par hameçonnage consiste à rechercher les adresses électroniques, les liens et les noms de domaine qui ne correspondent pas. Par exemple, il est conseillé de vérifier une communication antérieure qui correspond à l'adresse électronique de l'expéditeur.

Les destinataires doivent toujours passer leur souris sur un lien dans un e-mail avant de cliquer dessus afin de voir la destination réelle du lien. Si l’e-mail semble avoir été envoyé par Bank of America, mais que le domaine de l’adresse e-mail ne contient pas « bankofamerica.com », il s’agit d’un signe d’e-mail de phishing.

Demande d’informations d’identification, d’informations de paiement ou d’autres informations personnelles

Dans de nombreux courriels de hameçonnage, les attaquants créent de fausses pages de connexion liées à des courriels qui semblent officiels. La fausse page de connexion comporte généralement une boîte de connexion ou une demande d'informations sur le compte financier. Si le courriel est inattendu, le destinataire ne doit pas entrer ses identifiants de connexion ni cliquer sur le lien. Par précaution, les destinataires doivent se rendre directement sur le site web qu'ils pensent être la source du courrier électronique.

Types d’attaques de phishing

5 façons de protéger votre organisation contre les attaques par hameçonnage

Voici quelques moyens pour votre organisation de réduire le risque d'attaques par hameçonnage.

#1. Sensibilisation des employés

Il est primordial de former les employés à comprendre les stratégies d'hameçonnage, à identifier les signes d'hameçonnage et à signaler les incidents suspects à l'équipe de sécurité.

De même, les organisations devraient encourager leurs employés à rechercher les badges ou autocollants de confiance délivrés par des sociétés réputées spécialisées dans la cybersécurité ou les antivirus avant d’interagir avec un site Web. Cela montre que le site Web prend la sécurité au sérieux et qu’il n’est probablement pas faux ou malveillant.

#2. Déployer des solutions de sécurité des e-mails

Les solutions modernes de filtrage du courrier électronique peuvent vous protéger contre les logiciels malveillants et autres charges utiles malveillantes contenues dans les messages électroniques. Les solutions peuvent détecter les courriels qui contiennent des liens malveillants, des pièces jointes, du contenu spam et un langage qui pourrait suggérer une attaque par hameçonnage.

Les solutions de sécurité pour le courrier électronique bloquent et mettent en quarantaine automatiquement les courriels suspects et utilisent une technologie de "sandboxing" pour faire exploser les courriels afin de vérifier s'ils contiennent un code malveillant.

#3. Utiliser la surveillance et la protection des terminaux

L'utilisation croissante des services cloud et des appareils personnels sur le lieu de travail a introduit de nombreux nouveaux postes qui peuvent ne pas être entièrement protégés. Les équipes de sécurité doivent partir du principe que certains postes feront l'objet d'attaques. il est essentiel de surveiller les postes pour détecter les menaces de sécurité et de mettre en œuvre des mesures correctives et des réponses rapides sur les appareils compromis.

#4. Effectuer des tests de phishing

Les tests simulés d’attaques de phishing peuvent aider les équipes de sécurité à évaluer l’efficacité des programmes de formation à la sensibilisation à la sécurité et aider les utilisateurs finaux à mieux comprendre les attaques. Même si vos employés sont doués pour repérer les messages suspects, ils doivent être testés régulièrement afin de reproduire des attaques réelles de phishing. Le paysage des menaces continue d’évoluer, et les simulations de cyberattaques doivent également évoluer.

#5. Limiter l’accès des utilisateurs aux systèmes et aux données de grande valeur

La plupart des méthodes d'hameçonnage sont conçues pour tromper les opérateurs humains, et les comptes d'utilisateurs privilégiés sont des cibles attrayantes pour les cybercriminels. Restreindre l'accès aux systèmes et aux données peut contribuer à protéger les données sensibles contre les fuites. Utilisez le principe du moindre privilège et n'accordez l'accès qu'aux utilisateurs qui en ont absolument besoin.

Protégez votre organisation contre les attaques de phishing

Protection et prévention contre le phishing avec Check Point

Check Point Check Point Email Security provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization. To learn more about how Check Point Email Security can safeguard your organization from the newest phishing threats, request a free demo today.

Le phishing par e-mail est une arnaque dans laquelle les pirates envoient de faux e-mails à partir de domaines similaires afin d’inciter les utilisateurs à cliquer sur des liens, à télécharger des logiciels malveillants ou à partager des données personnelles.
Le spear phishing cible des personnes spécifiques en utilisant des informations personnelles telles que leur nom, leur profession ou leurs coordonnées afin de rendre l’arnaque plus convaincante.