Phishing, smishing, vishing

Phishing, Smishing, Vishing – Quelle est la différence ?

Dans le monde de l’informatique, on utilise de nombreux mots et acronymes qui ont un sens pour les professionnels du secteur, mais qui n’en ont pas forcément pour nos clients. Phishing, smishing et vishing sont trois de ces mots. Tous trois sont liés à la collecte d’informations personnelles en vue de mener une cyberattaque à l’aide d’informations d’identification compromises. La plupart des gens ont entendu parler du phishing, mais comme pour tout ce qui touche à la cybersécurité, les acteurs de la menace sont toujours à la recherche de moyens meilleurs, plus faciles ou complémentaires pour attaquer.

L’article d’aujourd’hui se concentre sur la définition de ces concepts et sur la manière de prévenir ces types d’attaques en comprenant les méthodes utilisées par les cybercriminels et en sachant comment repérer ces types d’attaques.

Phishing

Le phishing est une méthode de cyberattaque qui tente de tromper les victimes en les incitant à cliquer sur des liens frauduleux inclus dans des e-mails. Les courriels semblent provenir de sources légitimes ou d’entités connues et ont généralement un caractère d’urgence. Le lien conduit généralement la victime vers ce qui ressemble à un formulaire ou à un site Web légitime qui demande des informations personnelles identifiables telles que des noms d’utilisateur, des mots de passe, des numéros de compte ou d’autres informations privées. Ces informations sont ensuite envoyées directement au cybercriminel sans que la victime ne se rende compte qu’elle a été trompée. Le lien peut également déployer des maliciels, des rançongiciels, des logiciels espions et d’autres logiciels malveillants sur les appareils.

Par exemple, un courriel qui ressemble à celui du service informatique ou de Microsoft indiquant que le compte de la victime a été verrouillé et demandant à la victime de cliquer sur un lien pour retrouver l’accès. Le lien mène en fait à un formulaire frauduleux qui collecte les informations de la victime. L’acteur de la menace dispose alors d’informations qui peuvent l’aider à accéder à l’environnement de travail de la victime et peut accéder à des données très sensibles.

Smishing

Le smishing ressemble au phishing, sauf qu’il se présente sous la forme d’un message texte (SMS). Un texte de smishing contient souvent un lien frauduleux qui conduit les victimes vers un formulaire ou un site Web utilisé pour voler leurs informations. Comme pour le hameçonnage, le lien peut également télécharger des logiciels malveillants, des rançongiciels, etc. sur l’appareil de la victime.

Les SMS de smishing semblent être des demandes urgentes envoyées par une banque ou un service de livraison, par exemple. Ils peuvent prétendre qu’un retrait important a été effectué sur votre compte bancaire (une banque ne ferait jamais cela), ou que vous devez suivre un colis manquant (il est préférable d’aller directement sur le site Web du service de livraison, et non de cliquer sur le lien fourni). Là encore, l’acteur de la menace tente d’obtenir des informations qui peuvent l’aider à accéder à l’environnement de travail de la victime et à accéder à des données très sensibles.

Vishing

Les appels téléphoniques ou les messages vocaux frauduleux relèvent de la méthode d’attaque par hameçonnage vocal. Les escrocs appellent des victimes potentielles, souvent au moyen d’appels téléphoniques préenregistrés, en se faisant passer pour une entreprise légitime afin d’obtenir des informations personnelles de la victime.

Par exemple, une victime reçoit un appel d’une personne qui prétend être son service d’assistance informatique. Si la victime répond à l’appel et entre en contact avec le prétendu agent, celui-ci peut demander à confirmer l’identité de la victime afin de lui fournir l’aide dont elle a besoin, par exemple, son mot de passe M365 qui expire et doit être changé dès que possible :

  • Prénom et nom de famille
  • Adresse électronique
  • Nom d’utilisateur M365
  • Mot de passe actuel

Si l’authentification multifactorielle (MFA) est activée, il peut demander à rester en ligne jusqu’à ce que le code soit reçu afin de pouvoir accéder au système.

Prévention des attaques de phishing, smishing et vishing

Voici quelques recommandations pour éviter d’être victime de phishing, smishing ou vishing.

  • Ne cliquez jamais sur les liens d’une personne inconnue ou qui ne correspondent pas à ce que l’on reçoit habituellement d’une personne connue. Il faut plutôt visiter le véritable site Web de l’organisation dont la communication est censée provenir pour vérifier si la notification indiquée dans le courriel ou le message texte est réelle. Appeler la personne qui a envoyé le message est également une bonne alternative.
  • Si vous recevez un appel d’une institution financière, d’une organisation gouvernementale ou d’une entreprise avec laquelle l’organisation fait des affaires, vous demandant des informations confidentielles, ne les fournissez pas. Nous vous recommandons de les appeler à leur numéro de téléphone officiel pour vous assurer que la demande est légitime.
  • Nous recommandons d’investir dans la sensibilisation et la formation à la cybersécurité de tous les dirigeants et employés de l’organisation. Cela permettra d’identifier les attaques de phishing, smishing ou vishing et de réduire les risques que l’organisation soit victime d’une attaque.

La sensibilisation et la formation à la cybersécurité sont l’une des façons pour une organisation de réduire les risques d’être victime de cybercriminels. MicroAge peut vous aider à déterminer quelle est la meilleure solution pour vous. Commençons une conversation aujourd’hui.

Get the most from your IT

As service providers to more than 300 companies, the dedicated professionals at MicroAge are second to none when it comes to managed services. By improving efficiency, cutting costs and reducing downtime, we can help you achieve your business goals!

Most commented posts

infrastructure optimisée, optimized infrastructure

5 bénéfices d’une infrastructure informatique optimisée

Votre infrastructure informatique actuelle aide-t-elle votre entreprise à prospérer dans son secteur ou crée-t-elle des obstacles à la croissance? Si vous n’utilisez toujours pas les…

Read More
Managed IT Services, Services informatiques Gérés

L’utilisation des services informatiques gérés pour contribuer à la croissance de votre entreprise

La Banque de développement du Canada a publié en octobre dernier l’étude Passez au numérique: comment prendre le virage pour votre entreprise. Ils ont interrogé…

Read More
maximize-it-assets-server-room

Comment maximiser vos actifs informatiques

Gains de productivité, avantage concurrentiel et meilleur service à la clientèle ne sont que quelques-unes des raisons pour lesquelles les entreprises doivent investir dans la…

Read More
cloud data back up

5 raisons d’utiliser le cloud pour les sauvegardes de données de votre entreprise

Des e-mails contenant des fichiers malveillants aux vulnérabilités “zero-day”, les risques pour les données d’entreprise sont omniprésents. Une excellente stratégie pour prévenir la perte d’informations…

Read More
person using ipad reduce cost

3 Façons de réduire vos coûts informatiques

Cherchez-vous des moyens de réduire vos coûts informatiques? Voici trois stratégies éprouvées pour rendre votre entreprise plus efficace, rentable et innovante:   Externalisation informatique Dans…

Read More