Prévention de l'hameçonnage 101 : Protégez vos organisations

La prévention du phishing protège contre les attaques phishing. Les attaques phishing incitent des personnes peu méfiantes à révéler des informations personnelles et sensibles à la sécurité en utilisant de fausses communications numériques.

Points à retenir

• Le terme "phishing" est un jeu de mots sur le mot "pêche," car les cybercriminels utilisent des appâts pour "Accrocher" les gens afin qu'ils révèlent des informations sensibles, comme le font les pêcheurs à la ligne pour attraper des poissons.
• La prévention des attaques de phishing nécessite une stratégie de défense proactive avec une approche à plusieurs niveaux qui combine la formation des employés, des technologies de sécurité robustes et un plan de résolution des incidents bien défini.
• L'intelligence artificielle générative a le potentiel de révolutionner d'innombrables industries, en améliorant la productivité et la qualité. Mais entre de mauvaises mains, les technologies de l'information peuvent devenir un outil de nuisance dans le cadre de projets avancés sur le site phishing. 
• L'adoption de technologies d'identité avancées, telles que le passkey, permet d'être sans mot de passe et résistant au phishing expérience utilisateur avec une protection continue contre les tactiques évolutives de phishing.

Qu'est-ce que le phishing ?

Le terme "phishing" a été inventé au milieu des années 90 et décrit un type d'attaque social engineering qui exploite les tendances naturelles de l'être humain à faire confiance, à se conformer à l'autorité et à agir rapidement face à des situations perçues comme urgentes. Les cybercriminels conçoivent des messages convaincants qui usurpent l'identité d'entités légitimes, en utilisant le site branding et un langage familier pour gagner la confiance de la victime.

Comment le phishing exploite la psychologie et le comportement humains

Les tentatives de phishing utilisent souvent des tactiques qui créent un sentiment d'urgence ou de peur, poussant la cible à agir sans vérifier l'authenticité de la demande. Ils peuvent également faire appel à la curiosité humaine, à la cupidité ou au désir d'aider les autres, comme dans le cas de l'hameçonnage par chat (alias "cat-phishing"). catfishing) qui exploitent les émotions de la victime. Les attaquants peuvent manipuler la psychologie humaine pour contourner les mesures de sécurité techniques et inciter les individus à révéler des informations sensibles ou à prendre des mesures qui compromettent leur sécurité. 

Tendances récentes et progrès dans les stratégies phishing

Organizations et leur personnel doivent se tenir informés et mettre en œuvre de solides mesures de prévention phishing, d'autant plus que les techniques d'hameçonnage ne cessent de se développer. Les attaquants conçoivent désormais des courriels hautement personnalisés et convaincants, en s'appuyant sur des technologies avancées telles que l'intelligence artificielle générative pour créer des contenus faussement réalistes. Le passage du courrier électronique de masse aux attaques ciblées spear phishing et à la chasse à la baleine a rendu la détection de ces menaces de plus en plus difficile pour les particuliers et les organisations.

Les plateformes de médias sociaux, comme LinkedIn, sont devenues un terrain fertile pour les attaquants qui ciblent les demandeurs d'emploi avec de fausses offres d'emploi et des recruteurs usurpés. En outre, l'essor des crypto-monnaies a ouvert de nouvelles voies à la fraude, avec des millions volés dans le cadre de faux investissements en crypto-monnaies et des tentatives de phishing visant les portefeuilles numériques. 

Comment les attaques phishing se produisent-elles ?

Les cybercriminels créent des escroqueries à l'adresse phishing afin d'obtenir illégalement des données d'utilisateurs telles que des identifiants de connexion et des numéros de cartes de crédit. Cela peut se produire lorsqu'un attaquant, se faisant passer pour une entité de confiance, incite une victime à ouvrir un message texte, un courriel ou une autre communication qui semble provenir d'une organisation légitime, telle qu'une banque ou une agence gouvernementale. En cliquant sur un lien dans le message, l'utilisateur accède à un site web qui imite un site réel. Si l'utilisateur entre des informations personnelles sur le faux site, l'attaquant peut voler l'information pour commettre une fraude ou une usurpation d'identité.

Types de phishing:

• e-mail ou phishing: usurper l'identité d'une entreprise ou d'une personne légitime par e-mail pour lui soutirer des informations sensibles, des données de compte ou de l'argent.
• Voice phishing ou vishing : utilisation de technologies de synthèse vocale par téléphone ou de services VOIP pour persuader les victimes de fournir des informations sensibles ou d'effectuer des actions spécifiques. L'hameçonnage peut également se produire en personne, en s'appuyant sur les relations interpersonnelles plutôt que sur la communication numérique.

SMS ou smishing : tromper les destinataires par SMS ou application de messagerie pour qu'ils partagent des informations ou effectuent des actions préjudiciables.

• Code QR phishing: Placement de codes QR qui dirigent les victimes vers des sites web malveillants qui capturent des informations sensibles.
• WiFi ou "jumeau maléfique" phishing : création d'un faux hotspot Wi-Fi pour surveiller le trafic d'une victime et la rediriger vers des sites web malveillants.
• phishing non ciblé: envoi d'un grand nombre de messages malveillants sans cible précise, dans l'espoir qu'un petit pourcentage de personnes morde à l'hameçon.
• L'hameçonnage de type "angler phishing" : il s'agit souvent de se faire passer pour un représentant du service clientèle sur les médias sociaux afin de soutirer des informations ou de l'argent aux victimes, sans connaître leurs cibles.
• Compromission par courriel d'affaires (BEC) : Tromper un cadre ou un fonctionnaire de haut rang d'une entreprise pour qu'il exécute des actions, transfère des fonds ou révèle des informations sensibles par courrier électronique.
• AitM (adversary-in-the-middle) phishing : interception du trafic réseau d'une victime pour modifier l'apparence des sites web ou les rediriger vers des sites malveillants.
• spear phishing: Création de messages personnalisés phishing destinés à des profils restreints et spécifiques afin d'obtenir des informations précieuses ou d'inciter à des actions spécifiques.
• Chasse à la baleine: Un sous-ensemble de spear phishing ciblant des personnes de grande valeur ou des personnalités de haut rang au sein d'une organisation.
• Catphishing : création de faux profils sur les sites sociaux networking et les sites de rencontres pour attirer les victimes dans une relation frauduleuse en vue d'un gain financier ou personnel.
• Médias sociaux phishing: Exploitation des connexions d'une personne sur les plateformes de médias sociaux pour en extraire des informations sensibles ou la diriger vers des sites malveillants.
• Cryptocurrency phishing: Ciblage des utilisateurs de crypto-monnaies et des services pour voler des fonds ou accéder à des comptes.
• Recrutement ou escroquerie à l'emploi phishing: se faire passer pour un agent de recrutement ou un employé des ressources humaines afin d'exploiter les demandeurs d'emploi et de leur soutirer de l'argent ou des informations sensibles.
• Pharming: Détourner l'utilisateur d'un site web légitime vers un faux site en exploitant les vulnérabilités du logiciel du serveur DNS ou en modifiant les fichiers de l'hôte local de l'utilisateur.
• Clone phishing: Création d'une réplique presque identique d'un courriel légitime précédemment envoyé, en remplaçant les liens ou les pièces jointes par des liens ou des pièces jointes malveillantes.
• Pop-up phishing: Affichage d'une fenêtre pop-up frauduleuse demandant que l'ordinateur d'un utilisateur soit infecté par malware, l'incitant à télécharger un logiciel nuisible ou à fournir des informations personnelles.
• Échange de cartes SIM phishing: tromper les opérateurs de téléphonie mobile en transférant le numéro de téléphone de la victime vers une carte SIM contrôlée par l'attaquant, ce qui lui permet de contourner l'authentification à deux facteurs basée sur les SMS.
• Malvertising: Placement de publicités malveillantes sur des sites web légitimes redirigeant l'utilisateur vers des sites phishing ou l'incitant à télécharger malware.
• In-session phishing : Affichage d'un faux pop-up pendant une navigation active session, demandant que l'identifiant de connexion de l'utilisateur session a expiré et lui demandant de réintroduire ses identifiants de connexion.

Meilleures pratiques pour la prévention phishing

La combinaison d'une main-d'œuvre vigilante et bien formée avec une surveillance de pointe et des technologies d'identification peut atténuer le risque d'être victime d'une attaque sur le site phishing. 

Comment détecter une attaque phishing

Les escroqueries par hameçonnage évoluent sans cesse, mais elles peuvent inclure les éléments suivants :

• L'urgence: Les agresseurs font pression sur les victimes pour qu'elles agissent immédiatement, demandent un compte suspendu, des factures impayées ou des conséquences désastreuses en cas d'inaction.
• Adresses électroniques suspectes ou tbd: les courriels d'hameçonnage proviennent souvent de fournisseurs de courrier public ou d'usurpation d'identité tbd, qui se font passer pour des entreprises légitimes.
• Liens trompeurs web : les courriels d'hameçonnage contiennent des liens qui semblent légitimes mais qui redirigent les destinataires vers des sites web malveillants avec des URL trompeuses.
• Salutations impersonnelles: en masse, les courriels phishing utilisent souvent des salutations génériques telles que "Dear Sir/Madam" ou simplement "hello."
• Demandes inattendues: Mettez en doute la légitimité des suspensions de compte surprenantes, des demandes de vérification d'informations ou des factures inattendues.
• Langage inhabituel: Soyez prudent lorsque le message d'un ami ou d'un collègue ne correspond pas à son style de communication habituel.
• Pièces jointes à risque: Évitez de télécharger des pièces jointes provenant d'expéditeurs inconnus ou qui n'ont pas fait l'objet d'une analyse antivirus par votre fournisseur d'accès.

Comment prévenir les attaques de phishing:

• Formez vos employés : Dispensez une formation de sensibilisation à phishing pour apprendre à votre personnel comment réagir en cas d'attaque présumée de phishing. Renforcez cette formation par des simulations pour montrer aux employés à quoi ressemble une tentative dans le monde réel.
• Mettez en place des filtres et une passerelle de courrier électronique : Déployez le filtrage des courriels solutions et une passerelle de messagerie sécurisée pour identifier et contrecarrer les courriels suspects avant qu'ils n'atteignent les boîtes de réception de vos employés. En outre, intégrez un outil que les utilisateurs peuvent utiliser pour signaler des attaques suspectes sur le site phishing, ce qui constitue une aide précieuse pour établir des profils d'attaquants potentiels.
• Utilisez l'authentification multifacteur : Mettez en œuvre l'authentification multifacteur dans votre compte professionnel et personnel. Bien qu'elle ne soit pas infaillible, l'authentification multifacteur peut réduire de manière significative le risque d'usurpation de compte (ATO) résultant d'attaques phishing. En outre, l'utilisation de technologies sans mot de passe, telles que le mot de passe, dans le cadre de l'authentification de premier facteur peut réduire davantage les risques.
• Déployez une protection des terminaux : Utilisez des outils de protection des terminaux avecphishing À la une, tels que des listes noires de sites phishing connus, une surveillance du réseau et des terminaux, et une sécurité du courrier électronique capable d'identifier les messages suspects et les liens malveillants.
• Mettez en œuvre une politique de vérification des paiements : Mettez en place des processus exigeant l'approbation de plusieurs factures avant de transférer des fonds et n'autorisez les paiements que par le biais de canaux approuvés. Méfiez-vous des demandes de modes de paiement difficiles à tracer ou à bloquer, comme les cartes-cadeaux ou les crypto-monnaies.
• Adoptez l'accès à moindre privilège : Réduisez votre surface d'attaque en veillant à ce que les employés n'aient accès qu'aux outils et systèmes nécessaires à leur travail.
• Adoptez des technologies d'identité avancées : Tirez parti de la nouvelle génération de solutions, comme le passkey, qui permet une utilisation sans mot de passe et qui résiste à phishing expérience utilisateur avec une protection continue contre les menaces.
• Élaborer un plan de résolution des incidents : Créez un plan de résolution des incidents complet pour détecter, contenir et récupérer rapidement les attaques phishing. Incluez des procédures pour reporting les activités suspectes, les enquêtes sur les incidents et l'atténuation de l'impact des attaques réussies.

étude de cas : L'impact de phishing 

Les attaques de phishing peuvent dévaster des individus, des organisations et même des nations ! Par exemple, dans le cas du Comité national démocrate (DNC) lors de l'élection présidentielle américaine de 2016, le groupe de pirates informatiques parrainé par l'État russe et connu sous le nom de Guccifer 2.0, dont on pense qu'il fait partie des organisations de renseignement militaire du GRU, a ciblé le DNC avec des courriels phishing qui semblaient provenir de sources légitimes telles que Gmail. Malgré les soupçons de nombreux destinataires, dont le président de la campagne présidentielle d'Hillary Clinton, John Podestales attaquants ont réussi à compromettre le compte de courrier électronique à la suite d'une erreur de communication entre les membres du personnel de la campagne.

Les retombées de cette attaque de phishing ont été importantes. Le pirate a obtenu des informations sensibles du courrier électronique du DNC. Ils ont ensuite divulgué le Sommaire à Wikileaks, ce qui a fortement perturbé la campagne présidentielle et suscité des inquiétudes quant à l'ingérence étrangère dans le processus électoral américain.

L'avenir du phishing et les méthodes de prévention

Avec le développement rapide de l'IA, l'abus potentiel des technologies de l'information dans les attaques phishing est de plus en plus préoccupant. Les modèles d'intelligence artificielle générative tels que GPT-4 et DALL-E 2 peuvent créer des textes, des images et des vidéos très réalistes à partir de simples invites. S'ils sont exploités, ces outils puissants permettent de créer des courriels phishing de plus en plus convaincants et personnalisés, ce qui rend la détection et la prévention des attaques encore plus difficiles.

Par exemple, les attaquants pourraient tirer parti de l'intelligence artificielle générative pour créer de faux enregistrements vocaux imitant fidèlement le modèle de discours et l'intonation du PDG d'une entreprise, afin d'inciter les employés à divulguer des informations sensibles ou à transférer des fonds. Ils pourraient également utiliser des images générées par l'IA pour créer de faux sites web ou profils de médias sociaux presque impossibles à distinguer des sites légitimes.

Cependant, l'IA est une arme à double tranchant qui permet de se défendre contre les attaques de phishing avec la même vigueur. Organizations doivent rester vigilants et adapter leurs stratégies de prévention phishing pour lutter contre ces menaces émergentes. Il peut s'agir d'investir dans une défense alimentée par l'IA solutions qui peut détecter et filtrer les tentatives de phishing générées par l'IA et de continuer à donner la priorité à la formation et à la sensibilisation des employés.

En restant informés et en mettant en œuvre de manière proactive des mesures de défense solides, les individus et les organisations peuvent garder une longueur d'avance sur phishing pour eux-mêmes, leur personnel et leurs clients.

Prévenir les attaques de phishing avec Okta

Découvrez comment la sécurité basée sur l'identité de Oktas'étend à l'ensemble du parcours de l'utilisateur afin de fournir protection contre phishing sans perturber la productivité.

Vous voulez En savoir plus sur la résistance phishing? Consultez notre page sur la protection contre les menaces grâce à la résistance au phishing.