Qu'est-ce que l'hameçonnage ?

Phishing is a type of cybersecurity attack during which malicious actors send messages pretending to be a trusted person or entity. Phishing messages manipulate a user, causing them to perform actions like installing a malicious file, clicking a malicious link, or divulging sensitive information such as access credentials.

Phishing is the most common type of social engineering, which is a general term describing attempts to manipulate or trick computer users. Social engineering is an increasingly common threat vector used in almost all security incidents. Social engineering attacks, like phishing, are often combined with other threats, such as malware, code injection, and network attacks.

Forrester Wave for Email Security report Harmony Email & Collaboration

Attaques par hameçonnage : Statistiques et exemples

Checkpoint Research recently released its 2023 Mid-Year Cyber Security Report, which provides data about phishing attacks and other major cyber threats.

According to the report, phishing attack was one of the most common methods for spreading malware. The rise of generative AI has recently elevated the phishing threat, helping to eliminate the typos and grammatical errors that made past phishing attacks earlier to detect.

Phishing is also a common technique used by leading malware variants. For example, Qbot, the most common malware in the first half of 2023, is known for its use of phishing as an infection mechanism.

Comment fonctionne l'hameçonnage

The basic element of a phishing attack is a message sent by email, social media, or other electronic communication means.

Un hameçonneur peut utiliser des ressources publiques, en particulier le réseau social, pour recueillir des informations sur l'expérience personnelle et professionnelle de sa victime. Ces sources sont utilisées pour recueillir des informations telles que le nom, la fonction et l'adresse électronique de la victime potentielle, ainsi que ses centres d'intérêt et ses activités. Le fraudeur peut alors utiliser ces informations pour créer un faux message fiable.

Typically, the emails the victim receives appear to come from a known contact or organization. Attacks are carried out through malicious attachments or links to malicious websites. Attackers often set up fake websites, which appear to be owned by a trusted entity like the victim’s bank, workplace, or university. Via these websites, attackers attempt to collect private information like usernames and passwords or payment information.

Some phishing emails can be identified due to poor copywriting and improper use of fonts, logos, and layouts. However, many cybercriminals are becoming more sophisticated at creating authentic-looking messages and are using professional marketing techniques to test and improve the effectiveness of their emails.

Common Phishing Techniques

Email hameçonnage

Phishers use a variety of techniques to make their attacks look more believable to their targets and to achieve their goals. Some common phishing techniques include:

Ingénierie sociale : Social engineering uses psychology to manipulate the targets of phishing attacks. A phisher may use deception, coercion, bribery, or other techniques to achieve their goal.
Typosquatting: Phishers may use domains and URLs that look very similar to that of a legitimate, trusted domain. If the target isn’t paying sufficient attention, then may believe that the link is legitimate.
Email Spoofing: A spoofed email is designed so that the display name of the email belongs to someone that the email recipient trusts. The sender field in an email is just data and is under the control of the sender. Phishers use this fact to make emails appear to come from trusted email accounts.
URL Shortening: Link shorteners like bit.ly conceal the target destination of a URL. Phishers use this to trick a target into clicking on a link to a phishing page.
Malicious Redirects: Redirects are designed to send a browser to another page if the original URL is unavailable, incorrect, or outdated. Malicious redirects can be used to send a user to a phishing page instead of a legitimate one.
Hidden Links: Links can be hidden in seemingly harmless text or images. If a user accidentally clicks the hidden link, they are sent to a phishing page.

5 types d'attaques par hameçonnage

#1. Email Phishing

La plupart des attaques par hameçonnage sont envoyées par courrier électronique. Les attaquants enregistrent généralement de faux noms de domaine qui imitent de vraies organisations et envoient des milliers de demandes courantes aux victimes.

For fake domains, attackers may add or replace characters (e.g., my-bank.com instead of mybank.com), use subdomains (e.g., mybank.host.com), or use the trusted organization’s name as the email username (e.g., mybank@host.com).

Many phishing emails use a sense of urgency or a threat to cause a user to comply quickly without checking the source or authenticity of the email.

Les messages d'hameçonnage par courrier électronique ont l'un des objectifs suivants :

Causing the user to click a link to a malicious website in order to install malware on their device.
Causing the user to download an infected file and using it to deploy malware.
Amener l'utilisateur à cliquer sur un lien vers un faux site web et à soumettre des données personnelles.
Amener l'utilisateur à répondre et à fournir des données personnelles.

#2. Spear Phishing

Spear phishing includes malicious emails sent to specific people. The attacker typically already has some or all of the following information about the victim:

Nom
Lieu d'emploi
Titre du poste
Adresse électronique
Des informations spécifiques sur leur fonction
Des collègues de confiance, des membres de la famille ou d'autres contacts, ainsi que des échantillons de leurs écrits.

Ces informations permettent d'accroître l'efficacité des courriels d'hameçonnage et de manipuler les victimes pour qu'elles effectuent des tâches et des activités, telles que le transfert d'argent.

#3. Whaling

Whaling attacks target senior management and other highly privileged roles. The ultimate goal of whaling is the same as other types of phishing attacks, but the technique is often very subtle. Senior employees commonly have a lot of information in the public domain, and attackers can use this information to craft highly effective attacks.

Typically, these attacks do not use tricks like malicious URLs and fake links. Instead, they leverage highly personalized messages using information they discover in their research about the victim. For example, whaling attackers commonly use bogus tax returns to discover sensitive data about the victim and use it to craft their attack.

#4. Smishing and Vishing

This is a phishing attack that uses a phone instead of written communication. Smishing involves sending fraudulent SMS messages, while vishing involves phone conversations.

Dans un hameçonnage frauduleux typique, un pirate se fait passer pour un enquêteur de fraude pour une société de cartes de crédit ou une banque, et informe les victimes que leur compte a été violé. Les criminels demandent ensuite à la victime de fournir des informations sur sa carte de paiement, soi-disant pour vérifier son identité ou transférer de l'argent sur un compte sécurisé (qui est en réalité celui de l'attaquant).

Vishing scams may also involve automated phone calls pretending to be from a trusted entity, asking the victim to type personal details using their phone keypad.

#5. Angler Phishing

These attacks use fake social media accounts belonging to well-known organizations. The attacker uses an account handle that mimics a legitimate organization (e.g., “@pizzahutcustomercare”) and uses the same profile picture as the real company account.

Les attaquants profitent de la tendance des consommateurs à se plaindre et à demander de l'aide aux marques par le biais des médias sociaux. Cependant, au lieu de contacter la vraie marque, le consommateur contacte le faux compte social de l'attaquant.

Lorsque les attaquants reçoivent une telle demande, ils peuvent demander au client de fournir des informations personnelles afin qu'ils puissent identifier le problème et y répondre de manière appropriée. Dans d'autres cas, l'attaquant fournit un lien vers une fausse page d'assistance à la clientèle, qui est en fait un site web malveillant.

Quels sont les signes d'hameçonnage ?

Menaces ou sentiment d'urgence

Les courriers électroniques menaçant de conséquences négatives doivent toujours être traités avec scepticisme. Une autre stratégie consiste à utiliser l'urgence pour encourager ou exiger une action immédiate. Les hameçonneurs espèrent qu'en lisant le courriel à la hâte, ils n'examineront pas le contenu en profondeur et ne découvriront pas d'incohérences.

Style du message

An immediate indication of phishing is that a message is written with inappropriate language or tone. If, for example, a colleague from work sounds overly casual or a close friend uses formal language, this should trigger suspicion. Recipients of the message should check for anything else that could indicate a phishing message.

Demandes inhabituelles

Si un courriel vous demande d'effectuer des actions non standard, cela peut indiquer qu'il s'agit d'un courriel malveillant. Par exemple, si un courriel prétend provenir d'une équipe informatique spécifique et demande l'installation d'un logiciel, alors que ces activités sont généralement gérées de manière centralisée par le service informatique, il s'agit probablement d'un courriel malveillant.

Erreurs linguistiques

Misspellings and grammatical misuse are another sign of phishing emails. Most companies have set up spell-checking in their email clients for outgoing emails. Therefore, emails with spelling or grammatical errors should raise suspicion, as they may not originate from the claimed source.

Incohérences dans les adresses web

Un autre moyen facile d'identifier les attaques par hameçonnage consiste à rechercher les adresses électroniques, les liens et les noms de domaine qui ne correspondent pas. Par exemple, il est conseillé de vérifier une communication antérieure qui correspond à l'adresse électronique de l'expéditeur.

Recipients should always hover over a link in an email before clicking it to see the actual link destination. If the email is believed to be sent by Bank of America, but the domain of the email address does not contain “bankofamerica.com”, that is a sign of a phishing email.

Request for Credentials, Payment Information, or Other Personal Details

Dans de nombreux courriels de hameçonnage, les attaquants créent de fausses pages de connexion liées à des courriels qui semblent officiels. La fausse page de connexion comporte généralement une boîte de connexion ou une demande d'informations sur le compte financier. Si le courriel est inattendu, le destinataire ne doit pas entrer ses identifiants de connexion ni cliquer sur le lien. Par précaution, les destinataires doivent se rendre directement sur le site web qu'ils pensent être la source du courrier électronique.

5 façons de protéger votre organisation contre les attaques par hameçonnage

Voici quelques moyens pour votre organisation de réduire le risque d'attaques par hameçonnage.

#1. Employee Awareness Training

Il est primordial de former les employés à comprendre les stratégies d'hameçonnage, à identifier les signes d'hameçonnage et à signaler les incidents suspects à l'équipe de sécurité.

Similarly, organizations should encourage employees to look for trust badges or stickers from well-known cyber security or antivirus companies before interacting with a website. This shows that the website is serious about security and is probably not fake or malicious.

#2. Deploy Email Security Solutions

Les solutions modernes de filtrage du courrier électronique peuvent vous protéger contre les logiciels malveillants et autres charges utiles malveillantes contenues dans les messages électroniques. Les solutions peuvent détecter les courriels qui contiennent des liens malveillants, des pièces jointes, du contenu spam et un langage qui pourrait suggérer une attaque par hameçonnage.

Les solutions de sécurité pour le courrier électronique bloquent et mettent en quarantaine automatiquement les courriels suspects et utilisent une technologie de "sandboxing" pour faire exploser les courriels afin de vérifier s'ils contiennent un code malveillant.

#3. Make Use of Endpoint Monitoring and Protection

L'utilisation croissante des services cloud et des appareils personnels sur le lieu de travail a introduit de nombreux nouveaux postes qui peuvent ne pas être entièrement protégés. Les équipes de sécurité doivent partir du principe que certains postes feront l'objet d'attaques. il est essentiel de surveiller les postes pour détecter les menaces de sécurité et de mettre en œuvre des mesures correctives et des réponses rapides sur les appareils compromis.

#4. Conduct Phishing Attack Tests

Simulated phishing attack testing can help security teams evaluate the effectiveness of security awareness training programs and help end users better understand attacks. Even if your employees are good at finding suspicious messages, they should be tested regularly to mimic real phishing attacks. The threat landscape continues to evolve, and cyberattack simulations must also evolve.

#5. Limit User Access to High-Value Systems and Data

La plupart des méthodes d'hameçonnage sont conçues pour tromper les opérateurs humains, et les comptes d'utilisateurs privilégiés sont des cibles attrayantes pour les cybercriminels. Restreindre l'accès aux systèmes et aux données peut contribuer à protéger les données sensibles contre les fuites. Utilisez le principe du moindre privilège et n'accordez l'accès qu'aux utilisateurs qui en ont absolument besoin.

Phishing Protection and Prevention with Check Point

Check Point Harmony Email and Collaboration provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization. To learn more about how Harmony Email and Collaboration can safeguard your organization from the newest phishing threats, request a free demo today.