Présentation du phishing
Le phishing (”hameçonnage” en français) est une technique utilisée dans le cadre de cyberattaque pour inciter l’internaute à cliquer sur un lien frauduleux que ce soit par e-mail ou SMS afin de collecter ses données personnelles dans un but malveillant. Généralement, le fraudeur vous demande de “mettre à jour” ou de fournir des informations comme des coordonnées bancaires pour confirmation.
Son fonctionnement
Deux techniques sont généralement utilisées et se complètent dans le cas d’une attaque de phishing :
- L’attaque par ingénierie sociale
- cette technique consiste à jouer sur la vulnérabilité de l’internaute dans le but de collecter des informations sur son identité ou sur ses données en ligne.
Elle est dangereuse car les gens ne prêtent pas toujours attention à leurs mails ou SMS, rendant plus facile l’intrusion des pirates que dans certains systèmes informatiques.
- La contrefaçon de liens
- cette technique vient en complément de l’ingénierie sociale. Elle consiste à faire remplir à l’utilisateur un faux site une fois qu’il aura cliqué sur le lien malveillant pour soutirer ses informations privées.
Mécanismes mis en place par le phishing
On va retrouver entre autres :
- les liens web malveillants
- ils sont destinés à envoyer l’internaute vers un site web frauduleux ou vers des sites infectés par un logiciel malveillant. Ils sont appelés “malwares” et sont souvent cachés dans des logos ou des images.
- les pièces jointes malveillantes
- ces fichiers en apparence normaux contiennent des virus pouvant infecter l’ordinateur (attaque par ransomware ou rançongiciel en français) qui vont demander alors une rançon pour rendre les données cryptées à l’utilisateur.
- les formulaires malveillants
- ces types de fichiers vont demander à l’internaute de saisir des informations sensibles comme le numéro de téléphone, numéro de carte etc … Les professionnels pourront alors réutiliser ces données à des fins personnelles.
Prévention sur le phishing
Faire face aux attaques de phishing est extrêmement important pour votre sécurité et il faut donc avoir les outils appropriés pour lutter efficacement contre ce type de menace.
Vous pouvez alors utiliser :
- une protection anti-virus ou un logiciel anti-spam pour éviter qu’un message malveillant pénètre votre ordinateur.
- un gestionnaire de mots de passe pour gérer vos identifiants en ligne et bénéficier de multiples mots de passe
- les fonctionnalités de protection contre le hameçonnage et les logiciels malveillants proposés par les navigateurs internet
- un logiciel de filtre anti-pourriel pour réduire au maximum le nombre de ces courriels
Chaque personne recevant un lien par e-mail ou sms devra s’abstenir de cliquer dessus et se rendre plutôt sur son espace en question. Par exemple, un SMS vous demandant de mettre à jour votre carte vitale à partir d’un lien. Évitez de cliquer dessus et connectez vous plutôt à votre compte Améli pour vérifier que la demande est présente.
Phishing par e-mail
Apparu au cours des années 1990, le phishing par e-mail est le type de phishing le plus courant, qui consiste à envoyer des e-mails frauduleux à l’ensemble des adresses que les pirates ont pu obtenir.
Certaines attaques sont plus faciles à repérer que d’autres, car elles contiennent souvent des fautes d’orthographe ou de grammaire.
Phishing par moteur de recherche
Également appelé spamdexing ou cheval de Troie, cette méthode consiste à faire en sorte de devenir le meilleur résultat d’une recherche sur un moteur de recherche.
Effectuer un clic sur le lien affiché dans le moteur de recherche vous redirige vers le site web du cybercriminel.
Réagir en cas de phishing
Méfiez vous des actions inhabituelles ne provenant pas de vous et soyez prêts à agir en cas de besoin.
Par exemple, si vous constatez une baisse de votre argent sur votre compte en banque, contactez le plus rapidement possible votre banque pour faire opposition.
Si un de vos mots de passe a été récupéré, changez-le immédiatement et assurez vous d’en utiliser un différent pour chaque service.
Gardez toute trace de l’e-mail ou du SMS de phishing que vous avez reçu : il pourra permettre de porter plainte auprès de la police ou de la gendarmerie. Vous pouvez également contacter Info Escroqueries au 0 805 805 817 ou signaler l’e-mail sur le site internet signal-spam.fr et signaler le site sur phishing-initiative.fr
Les différents types de phishing
Maintenant que le phishing est plus clair pour vous, vous allez découvrir qu’il en existe plusieurs types :
Avez-vous entendu ce qu’est le spear phishing ? Il s’agit d’un type d’attaque ciblant un groupe ou un type spécifique de personnes, par exemple l’administrateur système d’une entreprise. Les cybercriminels rassemblent des informations à propos de la victime de façon très minutieuse pour que celle-ci se fasse avoir.
Qu’est-ce-que le whaling ; il va cibler généralement les PDG, ou les directeurs en général. Cette méthode utilisée par les cybercriminels a pour but de cibler directement des membres importants d’une entreprise afin de leur soutirer de l’argent, des informations sensibles ou accéder à leurs systèmes informatiques.
Vous avez peut-être déjà été victime de smishing : c’est une attaque utilisant la messagerie textuelle ou SMS pour lancer une attaque. La pratique la plus courante consiste à envoyer un message à un téléphone portable grâce au SMS qui contient un lien cliquable ou parfois un numéro de portable à rappeler.
Que peut bien vouloir dire le vishing ? Cette attaque est fortement similaire aux autres, mais elle a lieu cependant via un appel vocal d’où son nom.
Plug&Sign propose
- Une double identification des signataires, qui permet de vérifier l’identité du signataire à l’aide de deux méthodes d’authentification différentes, comme l’utilisation d’un e-mail et d’un code reçu par SMS. Plug&Sign propose une conservation à valeur probante pour les documents électroniques signés, qui garantit l’intégrité et l’authenticité des documents conservés, ainsi que la preuve de leur signature électronique.
- La signature électronique par signataire, qui permet à chaque signataire de signer électroniquement un document avec sa propre signature électronique, garantissant ainsi l’intégrité et l’authenticité des documents signés.
- Une conservation à valeur probante
- La mise à disposition des fichiers de preuves sur justification de demande
- Une facturation au réel, sans abonnement ni achat de crédits à l’avance, permettant ainsi une plus grande flexibilité pour les utilisateurs. De plus, il n’y a pas de surcoût pour les sous-comptes utilisateur.
Plug&Sign c’est d’autres services accessibles directement
- Les SMS Marketing pour les relances des documents non signés pour accroitre vos taux de signature
- Le cachet électronique d’entreprise pour garantir l’émetteur d’un document
- L’envoi en masse de document pour signature électronique
- Un carnet d’adresses ainsi qu’une interface HubSpot pour récupérer vos contacts directement ou déclencher la signature depuis HubSpot.
Et surtout une simplicité d’utilisation !