Dans le monde de l’informatique, on utilise de nombreux mots et acronymes qui ont un sens pour les professionnels du secteur, mais qui n’en ont pas forcément pour nos clients. Phishing, smishing et vishing sont trois de ces mots. Tous trois sont liés à la collecte d’informations personnelles en vue de mener une cyberattaque à l’aide d’informations d’identification compromises. La plupart des gens ont entendu parler du phishing, mais comme pour tout ce qui touche à la cybersécurité, les acteurs de la menace sont toujours à la recherche de moyens meilleurs, plus faciles ou complémentaires pour attaquer.
L’article d’aujourd’hui se concentre sur la définition de ces concepts et sur la manière de prévenir ces types d’attaques en comprenant les méthodes utilisées par les cybercriminels et en sachant comment repérer ces types d’attaques.
Phishing
Le phishing est une méthode de cyberattaque qui tente de tromper les victimes en les incitant à cliquer sur des liens frauduleux inclus dans des e-mails. Les courriels semblent provenir de sources légitimes ou d’entités connues et ont généralement un caractère d’urgence. Le lien conduit généralement la victime vers ce qui ressemble à un formulaire ou à un site Web légitime qui demande des informations personnelles identifiables telles que des noms d’utilisateur, des mots de passe, des numéros de compte ou d’autres informations privées. Ces informations sont ensuite envoyées directement au cybercriminel sans que la victime ne se rende compte qu’elle a été trompée. Le lien peut également déployer des maliciels, des rançongiciels, des logiciels espions et d’autres logiciels malveillants sur les appareils.
Par exemple, un courriel qui ressemble à celui du service informatique ou de Microsoft indiquant que le compte de la victime a été verrouillé et demandant à la victime de cliquer sur un lien pour retrouver l’accès. Le lien mène en fait à un formulaire frauduleux qui collecte les informations de la victime. L’acteur de la menace dispose alors d’informations qui peuvent l’aider à accéder à l’environnement de travail de la victime et peut accéder à des données très sensibles.
Smishing
Le smishing ressemble au phishing, sauf qu’il se présente sous la forme d’un message texte (SMS). Un texte de smishing contient souvent un lien frauduleux qui conduit les victimes vers un formulaire ou un site Web utilisé pour voler leurs informations. Comme pour le hameçonnage, le lien peut également télécharger des logiciels malveillants, des rançongiciels, etc. sur l’appareil de la victime.
Les SMS de smishing semblent être des demandes urgentes envoyées par une banque ou un service de livraison, par exemple. Ils peuvent prétendre qu’un retrait important a été effectué sur votre compte bancaire (une banque ne ferait jamais cela), ou que vous devez suivre un colis manquant (il est préférable d’aller directement sur le site Web du service de livraison, et non de cliquer sur le lien fourni). Là encore, l’acteur de la menace tente d’obtenir des informations qui peuvent l’aider à accéder à l’environnement de travail de la victime et à accéder à des données très sensibles.
Vishing
Les appels téléphoniques ou les messages vocaux frauduleux relèvent de la méthode d’attaque par hameçonnage vocal. Les escrocs appellent des victimes potentielles, souvent au moyen d’appels téléphoniques préenregistrés, en se faisant passer pour une entreprise légitime afin d’obtenir des informations personnelles de la victime.
Par exemple, une victime reçoit un appel d’une personne qui prétend être son service d’assistance informatique. Si la victime répond à l’appel et entre en contact avec le prétendu agent, celui-ci peut demander à confirmer l’identité de la victime afin de lui fournir l’aide dont elle a besoin, par exemple, son mot de passe M365 qui expire et doit être changé dès que possible :
- Prénom et nom de famille
- Adresse électronique
- Nom d’utilisateur M365
- Mot de passe actuel
Si l’authentification multifactorielle (MFA) est activée, il peut demander à rester en ligne jusqu’à ce que le code soit reçu afin de pouvoir accéder au système.
Prévention des attaques de phishing, smishing et vishing
Voici quelques recommandations pour éviter d’être victime de phishing, smishing ou vishing.
- Ne cliquez jamais sur les liens d’une personne inconnue ou qui ne correspondent pas à ce que l’on reçoit habituellement d’une personne connue. Il faut plutôt visiter le véritable site Web de l’organisation dont la communication est censée provenir pour vérifier si la notification indiquée dans le courriel ou le message texte est réelle. Appeler la personne qui a envoyé le message est également une bonne alternative.
- Si vous recevez un appel d’une institution financière, d’une organisation gouvernementale ou d’une entreprise avec laquelle l’organisation fait des affaires, vous demandant des informations confidentielles, ne les fournissez pas. Nous vous recommandons de les appeler à leur numéro de téléphone officiel pour vous assurer que la demande est légitime.
- Nous recommandons d’investir dans la sensibilisation et la formation à la cybersécurité de tous les dirigeants et employés de l’organisation. Cela permettra d’identifier les attaques de phishing, smishing ou vishing et de réduire les risques que l’organisation soit victime d’une attaque.
La sensibilisation et la formation à la cybersécurité sont l’une des façons pour une organisation de réduire les risques d’être victime de cybercriminels. MicroAge peut vous aider à déterminer quelle est la meilleure solution pour vous. Commençons une conversation aujourd’hui.
Les 5 meilleurs outils de collaboration Office 365 dont vous avez besoin dans votre espace de travail
Office 365 est la suite de logiciels ultime de Microsoft et comprend certains des programmes les plus polyvalents et révolutionnaires proposés aux propriétaires d’entreprise. Cependant,…
Le Dark Web: qu’est-ce que c’est et pourquoi vous devriez en être conscient
Internet est un espace composé de bons et de mauvais. L’Internet est paradoxalement composé de trois couches, en particulier le Web profond, le Web de…
Rendre votre entreprise cyber-résiliente
Avec les menaces croissantes provenant des logiciels malveillants, du phishing et des acteurs de la haute technologie, la cybersécurité est une priorité pour les entreprises…
Payer ou ne pas payer : telle est la question à laquelle les victimes de rançongiciel doivent répondre
La plupart des gens n’ont jamais entendu parler de la Colonial Pipeline Company avant mai 2021, même si elle transporte 45 % de tout le…
Pourquoi la formation continue en cybersécurité est-elle cruciale pour votre entreprise ?
Le monde de la technologie est en constante et rapide évolution. Tout comme les comportements des utilisateurs, les cybermenaces se développent, progressent et s’améliorent journellement….