Le phishing, un réel danger pour les internautes ?

Le phishing est devenu une menace sérieuse depuis les premiers incidents il y a plusieurs années.

Aujourd'hui, les hameçonneurs représentent plus de 90% de toutes les cyberattaques ciblées et, en plus des logiciels malveillants répandus, constituent l'une des plus grandes menaces sur Internet. Les phishers utilisent les données capturées à des fins différentes.
Le phishing ? Qu'est-ce que c'est ?

Le phishing est un terme dérivé du mot anglais "fishing", qui signifie pêche. Le terme illustre au sens figuré la pêche frauduleuse ou la pêche de données sensibles telles que les mots de passe utilisant divers appâts sur Internet. En règle générale, les phishers se concentrent sur l'accès aux données pour les comptes bancaires en ligne ou les informations de carte de crédit.
Le phishing est un principe plutôt réussi. Dans une opération de phishing, plus de 10% de tous les internautes concernés par une telle attaque cliquent sur un lien malveillant ou ouvrent une pièce jointe dangereuse. Cela signifie qu'un fraudeur, par exemple, doit envoyer 10 messages électroniques afin de trouver le plus probablement un utilisateur dont il saisit les données personnelles.
Comme le danger d’une telle attaque peut se cacher partout sur Internet et que des e-mails de phishing arrivent presque quotidiennement dans des boîtes aux lettres de millions d’internautes, nous vous indiquerons comment repérer le phishing et également comment vous en protéger.

Les étapes d'une attaque de phishing
Une tentative de phishing se compose généralement de quatre phases :

1. Envoi de faux mails

En exploitant un botnet, le pirate envoie des dizaines de milliers d'e-mails qui simulent, dans les graphiques et le contenu, les communications d'une banque, d'un fournisseur Web, d'un site d'enchères en ligne ou de toute autre institution connue de l'utilisateur.

2. Recevoir le message

Dans le message électronique, on vous signale un problème de sécurité, une demande de validation de remboursement ou encore une confirmation de facture. Il est alors demandé de vérifier votre compte ou de vous connecter en cliquant sur un lien dans le texte du courrier électronique.

3. Accès au faux site
Le lien fait cependant référence à un site fictif, hébergé sur un serveur contrôlé par le phisher, et qui reproduit parfaitement l’apparence du site institutionnel, de la banque ou du portail d’enchères en ligne.

4. Réception des informations d'identification
Une fois connecté sur le site de copie, les données sont stockées dans la base de données du serveur de l'attaquant, qui peut en disposer à sa guise et les revendre. Il se peut aussi qu'en visitant le faux portail, il soit infecté par des chevaux de Troie et des logiciels malveillants de différents types : dans ce cas, l'objectif est de prendre possession de nouveaux ordinateurs afin d'enrichir la machinerie de botnet utilisée pour mener l'attaque.

Vous pouvez être infecté très rapidement. Mais comment pouvez-vous vous protéger ?

1. Vérifiez toujours le lien sur lequel vous souhaitez cliquer. S'il contient des fautes d'orthographe, faites attention, il s’agit probablement de vous attirer sur une fausse page.

2. Entrez votre nom d'utilisateur et votre mot de passe uniquement si la connexion au site Web est cryptée. Vérifiez si le préfixe "https" est devant l'adresse Web, s'il manque le préfixe "s", vous devriez faire très attention.

3. Même si vous avez reçu un courrier ou un message de votre meilleur ami, rappelez-vous toujours que cet ami peut avoir été piraté. C'est pourquoi vous devriez toujours être vigilant.

4. Cela s'applique également aux e-mails des organisations officielles telles que les banques, les autorités fiscales, les boutiques en ligne, les agences de voyages, les compagnies aériennes, etc. Même les e-mails de votre propre employeur doivent être traités avec prudence.

5. Parfois, les faux e-mails et pages Web ressemblent exactement aux vrais. Mais les liens seront probablement erronés avec des erreurs matérielles ou des liens vers des pages complètement différentes. 

6. Protéger vos adresses emails avec des logiciels anti-phishing. Certains peuvent être installés sur votre poste comme BitDefender , d’autres sur le Cloud, comme les logiciel Altospam qui assure en quelques minutes la protection et la sécurité de toutes les adresses électroniques d’une entreprise. Ces logiciels vous protègent généralement des messages indésirables : spam, virus, phishing, ransomware, publicité.

Soyez très vigilant quand vous recevez un mail d’une banque et vérifiez à deux reprises l’expéditeur, le lien et la crédibilité du mail. Votre banque ne vous demandera jamais votre numéro de carte bleue ou votre code.