Phishing, Smishing, Vishing – Quelle est la différence ?

Dans le monde de l’informatique, on utilise de nombreux mots et acronymes qui ont un sens pour les professionnels du secteur, mais qui n’en ont pas forcément pour nos clients. Phishing, smishing et vishing sont trois de ces mots. Tous trois sont liés à la collecte d’informations personnelles en vue de mener une cyberattaque à l’aide d’informations d’identification compromises. La plupart des gens ont entendu parler du phishing, mais comme pour tout ce qui touche à la cybersécurité, les acteurs de la menace sont toujours à la recherche de moyens meilleurs, plus faciles ou complémentaires pour attaquer.

L’article d’aujourd’hui se concentre sur la définition de ces concepts et sur la manière de prévenir ces types d’attaques en comprenant les méthodes utilisées par les cybercriminels et en sachant comment repérer ces types d’attaques.

Phishing

Le phishing est une méthode de cyberattaque qui tente de tromper les victimes en les incitant à cliquer sur des liens frauduleux inclus dans des e-mails. Les courriels semblent provenir de sources légitimes ou d’entités connues et ont généralement un caractère d’urgence. Le lien conduit généralement la victime vers ce qui ressemble à un formulaire ou à un site Web légitime qui demande des informations personnelles identifiables telles que des noms d’utilisateur, des mots de passe, des numéros de compte ou d’autres informations privées. Ces informations sont ensuite envoyées directement au cybercriminel sans que la victime ne se rende compte qu’elle a été trompée. Le lien peut également déployer des maliciels, des rançongiciels, des logiciels espions et d’autres logiciels malveillants sur les appareils.

Par exemple, un courriel qui ressemble à celui du service informatique ou de Microsoft indiquant que le compte de la victime a été verrouillé et demandant à la victime de cliquer sur un lien pour retrouver l’accès. Le lien mène en fait à un formulaire frauduleux qui collecte les informations de la victime. L’acteur de la menace dispose alors d’informations qui peuvent l’aider à accéder à l’environnement de travail de la victime et peut accéder à des données très sensibles.

Smishing

Le smishing ressemble au phishing, sauf qu’il se présente sous la forme d’un message texte (SMS). Un texte de smishing contient souvent un lien frauduleux qui conduit les victimes vers un formulaire ou un site Web utilisé pour voler leurs informations. Comme pour le hameçonnage, le lien peut également télécharger des logiciels malveillants, des rançongiciels, etc. sur l’appareil de la victime.

Les SMS de smishing semblent être des demandes urgentes envoyées par une banque ou un service de livraison, par exemple. Ils peuvent prétendre qu’un retrait important a été effectué sur votre compte bancaire (une banque ne ferait jamais cela), ou que vous devez suivre un colis manquant (il est préférable d’aller directement sur le site Web du service de livraison, et non de cliquer sur le lien fourni). Là encore, l’acteur de la menace tente d’obtenir des informations qui peuvent l’aider à accéder à l’environnement de travail de la victime et à accéder à des données très sensibles.

Vishing

Les appels téléphoniques ou les messages vocaux frauduleux relèvent de la méthode d’attaque par hameçonnage vocal. Les escrocs appellent des victimes potentielles, souvent au moyen d’appels téléphoniques préenregistrés, en se faisant passer pour une entreprise légitime afin d’obtenir des informations personnelles de la victime.

Par exemple, une victime reçoit un appel d’une personne qui prétend être son service d’assistance informatique. Si la victime répond à l’appel et entre en contact avec le prétendu agent, celui-ci peut demander à confirmer l’identité de la victime afin de lui fournir l’aide dont elle a besoin, par exemple, son mot de passe M365 qui expire et doit être changé dès que possible :

• Prénom et nom de famille
• Adresse électronique
• Nom d’utilisateur M365
• Mot de passe actuel

Si l’authentification multifactorielle (MFA) est activée, il peut demander à rester en ligne jusqu’à ce que le code soit reçu afin de pouvoir accéder au système.

Prévention des attaques de phishing, smishing et vishing

Voici quelques recommandations pour éviter d’être victime de phishing, smishing ou vishing.

• Ne cliquez jamais sur les liens d’une personne inconnue ou qui ne correspondent pas à ce que l’on reçoit habituellement d’une personne connue. Il faut plutôt visiter le véritable site Web de l’organisation dont la communication est censée provenir pour vérifier si la notification indiquée dans le courriel ou le message texte est réelle. Appeler la personne qui a envoyé le message est également une bonne alternative.
• Si vous recevez un appel d’une institution financière, d’une organisation gouvernementale ou d’une entreprise avec laquelle l’organisation fait des affaires, vous demandant des informations confidentielles, ne les fournissez pas. Nous vous recommandons de les appeler à leur numéro de téléphone officiel pour vous assurer que la demande est légitime.
• Nous recommandons d’investir dans la sensibilisation et la formation à la cybersécurité de tous les dirigeants et employés de l’organisation. Cela permettra d’identifier les attaques de phishing, smishing ou vishing et de réduire les risques que l’organisation soit victime d’une attaque.

La sensibilisation et la formation à la cybersécurité sont l’une des façons pour une organisation de réduire les risques d’être victime de cybercriminels. MicroAge peut vous aider à déterminer quelle est la meilleure solution pour vous. Commençons une conversation aujourd’hui.