L’hameçonnage est le fait de placer un appât devant un utilisateur d’ordinateur sans méfiance et d’espérer qu’il mordre – c’est le fléau des éditeurs d’antivirus depuis longtemps maintenant.
Comme quelqu’un qui pêche utilise un appât sur un hameçon pour tenter de débarquer un saumon, un acteur malveillant utilisera un appât virtuel sous la forme d’un e-mail (généralement) avec un lien pour inciter l’utilisateur à cliquer sur ce lien. Malheureusement, une fois que la victime sans méfiance devient « accro », son appareil est très probablement infecté par des logiciels malveillants – et tout un monde de douleur et de dépenses.
Vous avez des courriers indésirables
La méthode de livraison la plus courante pour une tentative de phishing est le courrier électronique. Pourtant, ce type d’attaque peut viser les imprudents via des messages texte sur un téléphone, sur des sites de médias sociaux ou d’autres moyens en ligne.
Le thème commun est que quel que soit le canal de livraison choisi, le message semblera provenir d’une entité légitime. Et si l’attaquant est bien armé avec des connaissances sur vous – telles que les services auxquels vous êtes abonné – cela peut sembler d’autant plus crédible qu’il semble provenir d’une entreprise que vous utilisez.
Étant donné que la communication provient apparemment d’une entité légitime, cela peut vous rendre moins susceptible de penser au contenu réel du message, principalement lorsque l’e-mail de phishing combine cela avec la suggestion que quelque chose doit être fait de toute urgence, ce qui est une autre tactique courante.
Alors, comment fonctionne exactement le phishing ?
Souvent, l’escroc par hameçonnage vous donnera l’impression que vous devez agir immédiatement, en espérant que cela vous incitera à agir rapidement par peur plutôt que de tenir compte du contenu de l’e-mail.
Prenons un exemple : vous pourriez recevoir un message concernant une facture impayée marquée comme urgente avec un avertissement indiquant que votre compte est sur le point d’être annulé si le paiement n’est pas effectué. immédiatement. La facture sera jointe, et si vous l’ouvrez, curieux de savoir ce que vous devez et pourquoi le fichier factice (ce n’est pas une facture réelle) infectera votre PC avec des logiciels malveillants.
Un deuxième exemple est un e-mail qui dit quelque chose comme : « Suivez ce lien pour vous connecter et réinitialiser votre mot de passe MAINTENANT, car votre compte a été compromis et vos informations de paiement sont en danger ».
L’ironie est que si vous cliquez effectivement sur ce lien et que vous tombez dans le piège de la tentative de phishing, un faux portail de connexion (probablement assez convaincant) vous sera présenté. Lorsque vous entrez votre mot de passe et d’autres informations personnelles, ils seront volés et votre compte sera vraiment compromis.
À quel point est-ce grave si vous êtes victime d’hameçonnage ?
Si l’on s’en tient à nos exemples ci-dessus, si le phishing vous incite à ouvrir une pièce jointe chargée de logiciels malveillants, votre système sera infecté et toutes sortes de mauvaises choses pourraient se produire. Par exemple, vous pourriez être victime d’un ransomware, qui verrouille tous vos fichiers et exige un paiement important pour les récupérer (sans aucune garantie que cela se produira, même si vous payez).
Avec notre deuxième exemple, la partie malveillante aura votre nom d’utilisateur et votre mot de passe – éventuellement même vos coordonnées bancaires – et pourra alors se connecter à votre compte, en modifiant peut-être le mot de passe pour vous bloquer lors de votre prochaine tentative de connexion.
Selon le service ou l’abonnement qui a été compromis, le fraudeur peut être en mesure de prendre un certain nombre d’actions. S’il s’agit d’un site d’achat en ligne, par exemple, ils pourraient être en mesure d’y commander des marchandises sous votre compte.
Un autre danger est présent pour les personnes qui se livrent à la mauvaise pratique de sécurité consistant à utiliser le même mot de passe pour différents comptes. L’attaquant peut essayer le mot de passe volé avec d’autres services – en utilisant votre adresse e-mail comme nom d’utilisateur – et pouvoir également s’y connecter.
C’est pourquoi vous devriez jamais réutilisez le même mot de passe sur plusieurs comptes (et si vous ne parvenez pas à trouver et à mémoriser différents mots de passe, essayez d’utiliser l’un des meilleurs gestionnaires de mots de passe).
Deux facteurs valent mieux qu’un
L’hameçonnage est dangereux. Alors que peux-tu faire pour te protéger?
La chose la plus importante est de faire preuve de bon sens et de faire preuve d’une grande prudence face à tout message que vous recevez qui semble légèrement suspect. Les signes révélateurs incluent des fautes d’orthographe ou une formulation étrange, des messages disant que vous devez faire quelque chose « tout de suite », ou un lien ou une pièce jointe qui semble même à distance louche.
Même si un message provient apparemment de votre patron ou d’un ami proche, ne faites pas davantage confiance au contenu à cause de cela – leur adresse e-mail ou leurs coordonnées pourraient facilement avoir été usurpées. En effet, l’une des meilleures mesures à prendre si vous n’êtes pas sûr d’un message est de contacter directement l’expéditeur de l’e-mail et de vérifier s’il est authentique. De même, si vous recevez un message prétendant provenir, par exemple, d’Amazon, vous pouvez vous connecter à votre compte et contacter directement l’entreprise pour vérifier la validité de toute communication.
Non seulement il s’agit de revérifier votre ami lorsqu’il s’agit de vaincre le phishing, mais il s’agit également de doubler l’authentification. Cela signifie utiliser l’authentification à deux facteurs ou 2FA, que de nombreux grands services et entreprises utilisent de nos jours. Avec 2FA, vous configurez non seulement un mot de passe, mais également une deuxième forme de vérification. Ainsi, lorsqu’une tentative de connexion provient d’un nouvel appareil ou d’un nouvel emplacement, vous devez également saisir, par exemple, un code qui est envoyé par SMS à votre téléphone mobile.
Dans ce cas, un attaquant peut avoir hameçonné votre mot de passe, mais lorsqu’il essaie de se connecter avec celui-ci, il n’a pas votre téléphone (espérons-le !) – et ne pourra donc pas accéder à votre compte avec succès. Ainsi, 2FA est certainement un grand allié dans la lutte contre le phishing.
Enfin, cela ne fait pas de mal d’avoir l’un des meilleurs logiciels antivirus installés sur votre PC (ou téléphone) pour aider à détecter toutes les menaces et offrir une protection pour bloquer les sites de phishing connus.
Qu’est-ce que le phishing et à quel point est-il dangereux ?
L’hameçonnage est l’une des menaces les plus dangereuses pour vos comptes et vos données en ligne, car ces types d’exploits se cachent derrière le prétexte d’être d’une entreprise ou d’une personne de bonne réputation et utilisent des éléments d’ingénierie sociale pour rendre les victimes beaucoup plus susceptibles de tomber dans l’escroquerie.
Pour cette raison, vous devez faire très attention à tout ce qui est à distance suspect dans un message que vous recevez et faire bon usage des pratiques de sécurité dont nous avons discuté ci-dessus, y compris l’authentification à deux facteurs.