Mise à jour : 17 mai 2024
Contributeur : Matthew Kosinski
Les attaques de phishing utilisent des e-mails, des SMS, des appels téléphoniques ou des sites Web frauduleux pour inciter les gens à partager des données sensibles, à télécharger des logiciels malveillants ou à s'exposer de toute autre manière à la cybercriminalité.
Les escroqueries par hameçonnage sont une forme d’ingénierie sociale. Contrairement à d'autres cyberattaques qui ciblent directement les réseaux et les ressources, les attaques d’ingénierie sociale utilisent l’erreur humaine, de fausses histoires et des tactiques de pression pour manipuler les victimes afin qu’elles nuisent involontairement à elles-mêmes ou à leur organisation.
Lors d'une tentative d'hameçonnage typique, un pirate informatique se fait passer pour une personne de confiance, comme un collègue, un patron, une figure d'autorité ou un représentant d'une marque connue. Le pirate envoie un message demandant à la victime de payer une facture, d'ouvrir une pièce jointe, de cliquer sur un lien ou d'effectuer une autre action.
Parce qu'il fait confiance à la source supposée du message, l'utilisateur suit les instructions et tombe directement dans le piège de l'escroc. Cette « facture » peut mener directement au compte d'un pirate informatique. Cette pièce jointe peut installer un ransomware sur l'appareil de l'utilisateur. Ce lien peut diriger l’utilisateur vers un site Web qui vole les numéros de carte de crédit, les numéros de compte bancaire, les identifiants de connexion ou d’autres données personnelles.
Le hameçonnage est populaire chez les cybercriminels et très efficace. Selon le rapport d’IBM sur le coût d’une violation de données , le hameçonnage est le vecteur de violation de données le plus courant, représentant 16 % de toutes les violations. Les violations causées par le hameçonnage coûtent en moyenne 4,76 millions de dollars aux organisations, ce qui est plus élevé que le coût moyen global des violations, qui est de 4,45 millions de dollars.
Le hameçonnage est une menace importante parce qu'il exploite des personnes plutôt que des vulnérabilités technologiques. Les attaquants n’ont pas besoin de pénétrer directement dans les systèmes ou de déjouer les outils de cybersécurité. Ils peuvent tromper les personnes qui ont un accès autorisé à leur cible - qu'il s'agisse d'argent, d'informations sensibles ou d'autre chose - pour qu'elles fassent leur sale boulot.
Les cybercriminels peuvent être des escrocs solitaires ou des bandes criminelles sophistiquées. Ils peuvent utiliser le hameçonnage à de nombreuses fins malveillantes, notamment l'usurpation d'identité, la fraude à la carte de crédit, le vol d'argent, l'extorsion, la prise de contrôle de comptes, l'espionnage, etc.
Les cibles du hameçonnage vont des particuliers aux grandes entreprises en passant par les agences gouvernementales. Dans l’une des attaques par hameçonnage les plus connues, des pirates informatiques russes ont utilisé un faux e-mail de réinitialisation de mot de passe pour voler des milliers d’e-mails de la campagne présidentielle américaine d’Hillary Clinton en 2016.1
Comme les escroqueries par hameçonnage manipulent des êtres humains, les outils et techniques standard de surveillance des réseaux ne peuvent pas toujours détecter ces attaques en cours. En fait, lors de l'attaque de la campagne Clinton, même le service d'assistance informatique de la campagne pensait que les e-mails frauduleux de réinitialisation de mot de passe étaient authentiques.
Pour lutter contre le hameçonnage, les entreprises doivent associer des outils avancés de détection des menaces à une formation approfondie des employés afin de garantir que les utilisateurs puissent identifier avec précision les tentatives d'escroquerie et y répondre en toute sécurité.
Notre équipe X-Force, composée de pirates, d'enquêteurs, de chercheurs et d'analystes, est à votre disposition pour discuter des problèmes de sécurité spécifiques à votre organisation et de la manière dont nous pouvons vous aider.
Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
Le terme « hameçonnage » fait référence au fait que les escrocs utilisent des « leurres » attrayants pour tromper leurs victimes, de la même manière que les pêcheurs utilisent des appâts pour accrocher de vrais poissons. Dans le cas du hameçonnage, les appâts sont des messages frauduleux qui semblent crédibles et suscitent des émotions fortes telles que la peur, l'avidité et la curiosité.
Les types de leurres utilisés par les escrocs dépendent de la personne et de l'objet qu'ils recherchent. Les types courants de hameçonnage sont les suivants :
Dans le cas de l'hameçonnage en masse, les escrocs envoient sans discernement des e-mais non sollicités au plus grand nombre de personnes possible, en espérant qu'une fraction des cibles tombera dans le panneau.
Les fraudeurs créent souvent des e-mails qui semblent provenir de grandes entreprises légitimes, telles que des banques, des détaillants en ligne ou des créateurs d'applications populaires. En se faisant passer pour des marques connues, les fraudeurs augmentent les chances que leurs cibles soient des clients de ces marques. Si une cible interagit régulièrement avec une marque, elle est plus susceptible d’ouvrir un e-mail de hameçonnage prétendant provenir de cette marque.
Les cybercriminels mettent tout en œuvre pour que les e-mails de phishing paraissent authentiques. Ils peuvent utiliser le logo et la marque de l'expéditeur usurpé. Ils peuvent usurper les adresses e-mail pour faire croire que le message provient du nom de domaine de l'expéditeur usurpé. Ils peuvent même copier un véritable e-mail provenant de l’expéditeur usurpé et le modifier à des fins malveillantes.
Les escrocs rédigent l'objet de leurs e-mails pour jouer sur les émotions fortes ou créer un sentiment d'urgence. Les escrocs avisés utilisent des sujets que l'expéditeur usurpé pourrait réellement aborder, tels que « Problème avec votre commande » ou « Votre facture est jointe ».
Le corps du message demande au destinataire de prendre une mesure apparemment raisonnable, mais qui aboutit à la divulgation d'informations sensibles ou au téléchargement de logiciels malveillants. Par exemple, un lien d'hameçonnage peut être libellé comme suit : « Cliquez ici pour mettre à jour votre profil ». Lorsque la victime clique sur ce lien malveillant, elle est dirigée vers un faux site Web qui vole ses identifiants de connexion.
Certains escrocs font coïncider leurs campagnes d'hameçonnage avec les vacances et d'autres événements où les gens sont plus sensibles à la pression. Par exemple, les attaques de hameçonnage contre les clients d'Amazon atteignent souvent un pic à l'occasion du Prime Day, l'événement commercial annuel du détaillant en ligne.2 Les escrocs envoient des e-mails concernant de fausses offres et des problèmes de paiement pour profiter de la baisse de vigilance des gens.
Le phishing ciblé est une attaque par hameçonnage ciblée sur une personne spécifique. La cible est généralement une personne disposant d'un accès privilégié à des données sensibles ou d'une autorité spéciale que l'escroc peut exploiter, comme un directeur financier qui peut transférer de l'argent depuis les comptes de l'entreprise.
Un pirate spécialiste du phishing ciblé étudie sa cible pour recueillir les informations dont il a besoin pour se faire passer pour une personne de confiance, comme un ami, un patron, un collègue, un fournisseur ou une institution financière. Les réseaux sociaux et les sites de réseaux professionnels, où les gens félicitent publiquement leurs collègues, soutiennent des fournisseurs et ont tendance à trop partager, constituent de riches sources d'informations pour le phishing ciblé.
Les pirates spécialistes du phishing ciblé s'appuient sur leurs recherches pour rédiger des messages contenant des détails personnels spécifiques, ce qui les rend très crédibles aux yeux de la cible. Par exemple, un cybercriminel peut se faire passer pour le patron de la cible et envoyer un e-mail du type : « Je sais que vous partez en vacances ce soir, mais pourriez-vous payer cette facture avant la fermeture des bureaux aujourd’hui ? »
Une attaque de harponnage visant un cadre dirigeant, une personne fortunée ou toute autre cible de grande valeur est souvent qualifiée de whaling ou d’attaque de whaling.
Le BEC est une catégorie d'attaques de phishing ciblé qui tentent de voler de l'argent ou des informations précieuses, par exemple des secrets commerciaux, des données clients ou des informations financières, à une entreprise ou à une autre organisation.
Les attaques BEC peuvent prendre différentes formes. Parmi les plus courantes, on trouve :
- Fraude au PDG : L'escroc se fait passer pour un cadre de haut niveau, souvent en détournant son compte de messagerie. L'escroc envoie un message à un employé de niveau inférieur lui demandant de transférer des fonds sur un compte frauduleux, d'effectuer un achat auprès d'un vendeur frauduleux ou d'envoyer des fichiers à une partie non autorisée.
- Compromission de compte de messagerie (EAC) : L'escroc compromet le compte de messagerie d'un employé de niveau inférieur, tel que le compte d'un responsable des finances, des ventes ou de la recherche et développement. L'escroc utilise le compte pour envoyer des factures frauduleuses à des fournisseurs, demander à d'autres employés d'effectuer des paiements frauduleux ou demander l'accès à des données confidentielles.
Les attaques BEC peuvent figurer parmi les cyberattaques les plus coûteuses, les escrocs dérobant souvent des millions de dollars à la fois. Dans un exemple notable, un groupe d'escrocs a volé plus de 100 millions de dollars à Facebook et à Google en se faisant passer pour un fournisseur de logiciels légitime.3
Certains escrocs se détournent de ces tactiques très médiatisées pour lancer de petites attaques contre un plus grand nombre de cibles. Selon l'Anti-Phishing Working Group (APWG), les attaques BEC se sont multipliées en 2023, mais les escrocs ont demandé moins d'argent en moyenne à chaque attaque.4
Le hameçonnage par SMS, ou smishing, utilise de faux SMS pour tromper les cibles. Les escrocs se font souvent passer pour le fournisseur de services sans fil de la victime et envoient un message qui offre un « cadeau » ou demande à l'utilisateur de mettre à jour les informations relatives à sa carte de crédit.
Certains fraudeurs se font passer pour le service postal américain ou une autre société de transport. Ils envoient des SMS disant aux victimes qu'elles doivent payer des frais pour recevoir un colis qu'elles ont commandé.
Le hameçonnage vocal ou vishing est un hameçonnage par appel téléphonique. Les incidents de vishing ont explosé ces dernières années, augmentant de 260 % entre 2022 et 2023 selon l'APWG.5 L'essor du vishing est en partie dû à la disponibilité de la technologie de la voix sur IP (VoIP), que les escrocs peuvent utiliser pour passer des millions d'appels automatisés de vishing par jour.
Les escrocs utilisent souvent l'usurpation de l'identité de l'appelant pour faire croire que leurs appels proviennent d'organisations légitimes ou de numéros de téléphone locaux. Les appels de vishing effraient généralement les destinataires en les avertissant de problèmes de traitement des cartes de crédit, de retards de paiement ou de démêlés avec la justice. Les destinataires finissent par fournir des données sensibles ou de l'argent aux cybercriminels pour « résoudre » leurs problèmes.
L'hameçonnage sur les médias sociaux utilise les plateformes de réseaux sociaux pour duper les gens. Les fraudeurs utilisent les fonctionnalités de messagerie intégrées des plateformes - par exemple Facebook Messenger, LinkedIn InMail et les DM de X (anciennement Twitter) - de la même manière qu'ils utilisent les e-mails et les SMS classiques.
Les escrocs se font souvent passer pour des utilisateurs qui ont besoin de l'aide de la cible pour se connecter à leur compte ou gagner un concours. Ils utilisent cette ruse pour voler les identifiants de connexion de la cible et prendre le contrôle de son compte sur la plateforme. Ces attaques peuvent être particulièrement coûteuses pour les victimes qui utilisent les mêmes mots de passe pour plusieurs comptes, une pratique bien trop courante.
Les fraudeurs élaborent constamment de nouvelles techniques d'hameçonnage pour éviter d'être détectés. Voici quelques avancées récentes :
L'hameçonnage par IA utilise des outils d'intelligence artificielle générative (IA) pour créer des messages d'hameçonnage. Ces outils peuvent générer des e-mails et des SMS personnalisés qui ne contiennent pas de fautes d’orthographe, d’incohérences grammaticales et d’autres signaux d’alarme courants de tentatives d’hameçonnage.
L'IA générative peut également aider les escrocs à étendre leurs opérations. Selon le X-Force Threat Intelligence Index d’IBM, il faut 16 heures à un escroc pour créer manuellement un e-mail de phishing. Grâce à l'IA, les escrocs peuvent créer des messages encore plus convaincants en seulement cinq minutes.
Les escrocs utilisent également des générateurs d'images et des synthétiseurs vocaux pour donner plus de crédibilité à leurs stratagèmes. Par exemple, en 2019, des attaquants ont utilisé l'IA pour cloner la voix du PDG d’une entreprise énergétique et escroquer un directeur de banque de 243 000 USD.7
Le quishing utilise de faux codes QR intégrés dans des e-mails et des SMS, ou publiés dans le monde réel. Le quishing permet aux pirates de dissimuler des sites Web et des logiciels malveillants à la vue de tous.
Par exemple, la Commission fédérale du commerce (FTC) des États-Unis a mis en garde l'année dernière contre une escroquerie consistant pour des criminels à remplacer les codes QR sur les parcmètres publics par leurs propres codes qui volent les données de paiement.6
Les attaques par vishing hybrides associent le phishing vocal à d’autres méthodes pour échapper aux filtres anti-spam et gagner la confiance des victimes.
Par exemple, un escroc peut envoyer un e-mail censé provenir du fisc. Cet e-mail indique au destinataire qu'il y a un problème avec sa déclaration de revenus. Pour résoudre le problème, la cible doit appeler un numéro de téléphone fourni dans l'e-mail, qui la met directement en contact avec l'escroc.
Les détails peuvent varier d'une escroquerie à l'autre, mais il existe des signes communs qui indiquent qu'un message pourrait être une tentative d'hameçonnage. Ces signes sont les suivants :
Les escroqueries par hameçonnage tentent de faire ressentir aux victimes un sentiment d’urgence afin qu’elles agissent rapidement sans réfléchir. Les escrocs y parviennent souvent en suscitant des émotions fortes telles que la peur, l'avidité et la curiosité. Ils peuvent imposer des délais et menacer de conséquences irréalistes, comme une peine de prison.
Les ruses d'hameçonnage les plus courantes sont les suivantes :
- « Il y a un problème avec votre compte ou vos informations financières. Vous devez le mettre à jour immédiatement pour éviter d'en perdre l'accès. »
- « Nous avons détecté des activités illégales. Payez cette amende maintenant, sinon vous serez arrêté. »
- « Vous avez gagné un cadeau, mais vous devez le réclamer maintenant. »
- « Cette facture est en souffrance. Vous devez le payer immédiatement, ou nous vous couperons le service. »
- « Nous avons une opportunité d'investissement intéressante à vous proposer. Déposez de l'argent maintenant, et nous pouvons vous garantir des rendements incroyables. »
Les escroqueries par hameçonnage passent généralement par l'une ou l'autre de ces demandes : de l'argent ou des données. Les demandes de paiement ou d'informations personnelles non sollicitées ou inattendues peuvent être le signe d'une attaque par hameçonnage.
Les escrocs déguisent leurs demandes d'argent en factures impayées, en amendes ou en frais de services. Ils déguisent les demandes d’informations en avis de mise à jour des informations de paiement ou de compte, ou de réinitialisation d’un mot de passe.
De nombreux gangs d'hameçonnage opèrent à l'échelle internationale, ce qui signifie qu'ils rédigent souvent des messages d'hameçonnage dans des langues qu'ils ne maîtrisent pas. Par conséquent, de nombreuses tentatives d'hameçonnage contiennent des erreurs grammaticales et des incohérences.
Les messages provenant de marques légitimes contiennent souvent des détails spécifiques. Ils s'adressent plutôt aux clients par leur nom, font référence à des numéros de commande spécifiques ou expliquent précisément quel est le problème. Un message vague du type « Il y a un problème avec votre compte » sans plus de détails est un signal d'alarme.
Les escrocs utilisent souvent des URL et des adresses e-mail qui semblent légitimes à première vue. Par exemple, un courriel provenant de « admin@rnicrosoft.com » peut sembler sûr, mais regardez-y à deux fois. Le « m » de « Microsoft » est en fait un « r » et un « n ».
Une autre tactique courante consiste à utiliser une URL comme « bankingapp.scamsite.com ». Un utilisateur peut penser qu'il s'agit d'un lien vers bankingapp.com, mais cela pointe en fait vers un sous-domaine de scamsite.com. Les pirates peuvent également utiliser des services de raccourcissement de liens pour déguiser des URL malveillantes.
Les escrocs peuvent envoyer des fichiers et des pièces jointes que la cible n'a pas demandés et qu'elle n'attend pas. Ils peuvent utiliser des images de texte au lieu du texte réel dans les messages et les pages web pour éviter les filtres anti-spam.
Certains escrocs font référence à des sujets sensibles pour énerver les victimes. Par exemple, IBM X-Force a constaté que les escrocs utilisent couramment le conflit en Ukraine pour attiser les émotions de leurs cibles.
Comme les escroqueries par hameçonnage ciblent les personnes, les employés sont souvent la première et la dernière ligne de défense d'une organisation contre ces attaques. Les organisations peuvent apprendre aux utilisateurs à reconnaître les signes de tentatives d'hameçonnage et à réagir aux e-mails et SMS suspects. Il peut s'agir de donner aux employés des moyens simples de signaler les tentatives d'hameçonnage à l'équipe informatique ou à l'équipe de sécurité.
Les organisations peuvent également mettre en place des politiques et des pratiques qui compliquent la tâche des escrocs.
Par exemple, les organisations peuvent interdire aux personnes d'initier des transferts d'argent par e-mail. Ils peuvent exiger des employés qu'ils vérifient les demandes d'argent ou d'informations en contactant le demandeur par d'autres moyens que ceux fournis dans le message. Par exemple, les employés peuvent taper une URL directement dans leur navigateur au lieu de cliquer sur un lien ou appeler le bureau d'un collègue au lieu de répondre à un texte provenant d'un numéro inconnu.
Les organisations peuvent compléter la formation des employés et les politiques de l'entreprise par des outils de sécurité qui aident à détecter les messages d'hameçonnage et à contrecarrer les pirates qui utilisent l'hameçonnage pour pénétrer dans les réseaux.
- Les filtres anti-spam et les logiciels de sécurité des e-mails utilisent des données sur les escroqueries par hameçonnage existantes et des algorithmes de machine learning pour identifier les e-mails de phishing et autres messages de spam. Les escroqueries et le spam sont ensuite déplacés vers un dossier distinct, où les liens et les codes malveillants sont éradiqués.
- Les logiciels antivirus et de protection contre les logiciels malveillants détectent et neutralisent les fichiers ou les codes malveillants contenus dans les e-mails d’hameçonnage.
- L’authentification à étapes peut empêcher les pirates de prendre le contrôle des comptes des utilisateurs. Les escrocs excellent dans le vol de mots de passe. En revanche, dérober un deuxième facteur d'authentification, comme une empreinte digitale ou un code à usage unique, est plus ardu pour eux.
- Les outils de sécurité des terminaux,comme les solutions de détection et de réponse aux terminaux (EDR) et de gestion unifiée des terminaux (UEM) , peuvent utiliser l’intelligence artificielle (IA) et des analyses avancées pour intercepter les tentatives d’hameçonnage et bloquer les logiciels malveillants.
- Les filtres Web empêchent les utilisateurs de visiter des sites Web malveillants connus et affichent des alertes chaque fois que les utilisateurs visitent des pages suspectes. Ces outils peuvent aider à limiter les dégâts si un utilisateur clique sur un lien d'hameçonnage.
- Les solutions de cybersécurité d’entreprise, telles que les plateformes d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) et de gestion des informations et des événements de sécurité (SIEM), utilisent l’IA et l’automatisation pour détecter les activités anormales et y répondre. Ces solutions permettent d'arrêter les hameçonneurs qui tentent d'installer des logiciels malveillants ou de s'emparer de comptes.
Effectuez des évaluations des risques en temps quasi réel, pilotées par l'IA, et protégez les applications et les données critiques grâce aux solutions de sécurité mobile d'IBM.
Offrez des expériences utilisateur transparentes et renforcez la confiance dans les identités numériques grâce à la détection des fraudes en temps réel alimentée par l'IA.
IBM Security Trusteer Rapport aide les institutions financières à détecter et à prévenir les infections par logiciels malveillants et les attaques par hameçonnage en protégeant leurs clients business et de la distribution.
Découvrez l’actualité, les tendances et les techniques de prévention en matière d’hameçonnage sur Security Intelligence, le blog de leadership éclairé hébergé par IBM Security.
Découvrez pourquoi et comment les organisations utilisent des simulations de hameçonnage pour renforcer les défenses contre les attaques d'ingénierie sociale.
Préparez-vous au mieux pour faire face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Basé sur l'expérience de plus de 550 organisations qui ont été confrontées à des violations de données dans le monde réel.
Notes de bas de page
Tous les liens sont externes au site ibm.com
1 Comment des pirates informatiques russes se sont emparés des e-mails de Mme Clinton lors de sa campagne électorale. Associated Press. 4 novembre 2017.
2 Comment les cybercriminels ciblent les clients Amazon Prime Day. TechRepublic. 6 juillet 2022.
3 Comment cet escroc a utilisé des e-mails d'hameçonnage pour voler plus de 100 millions de dollars à Google et Facebook. CNBC. 27 mars 2019.
4, 5 Rapport sur les tendances des activités d’hameçonnage (PDF, 3,6 Mo). Groupe de travail anti-hameçonnage. 13 février 2024.
6 Le quishing, c’est le nouveau hameçonnage. ZDNET. 11 décembre 2023.
7 L'appel panique d'un parent ? Il pourrait s'agir d'un voleur utilisant un clone vocal, avertit la FTC. NPR. 22 mars 2023.