Phishing, smishing, vishing

Phishing, Smishing, Vishing – Quelle est la différence ?

septembre 28, 2022

Dans le monde de l’informatique, on utilise de nombreux mots et acronymes qui ont un sens pour les professionnels du secteur, mais qui n’en ont pas forcément pour nos clients. Phishing, smishing et vishing sont trois de ces mots. Tous trois sont liés à la collecte d’informations personnelles en vue de mener une cyberattaque à l’aide d’informations d’identification compromises. La plupart des gens ont entendu parler du phishing, mais comme pour tout ce qui touche à la cybersécurité, les acteurs de la menace sont toujours à la recherche de moyens meilleurs, plus faciles ou complémentaires pour attaquer.

L’article d’aujourd’hui se concentre sur la définition de ces concepts et sur la manière de prévenir ces types d’attaques en comprenant les méthodes utilisées par les cybercriminels et en sachant comment repérer ces types d’attaques.

Phishing

Le phishing est une méthode de cyberattaque qui tente de tromper les victimes en les incitant à cliquer sur des liens frauduleux inclus dans des e-mails. Les courriels semblent provenir de sources légitimes ou d’entités connues et ont généralement un caractère d’urgence. Le lien conduit généralement la victime vers ce qui ressemble à un formulaire ou à un site Web légitime qui demande des informations personnelles identifiables telles que des noms d’utilisateur, des mots de passe, des numéros de compte ou d’autres informations privées. Ces informations sont ensuite envoyées directement au cybercriminel sans que la victime ne se rende compte qu’elle a été trompée. Le lien peut également déployer des maliciels, des rançongiciels, des logiciels espions et d’autres logiciels malveillants sur les appareils.

Par exemple, un courriel qui ressemble à celui du service informatique ou de Microsoft indiquant que le compte de la victime a été verrouillé et demandant à la victime de cliquer sur un lien pour retrouver l’accès. Le lien mène en fait à un formulaire frauduleux qui collecte les informations de la victime. L’acteur de la menace dispose alors d’informations qui peuvent l’aider à accéder à l’environnement de travail de la victime et peut accéder à des données très sensibles.

Smishing

Le smishing ressemble au phishing, sauf qu’il se présente sous la forme d’un message texte (SMS). Un texte de smishing contient souvent un lien frauduleux qui conduit les victimes vers un formulaire ou un site Web utilisé pour voler leurs informations. Comme pour le hameçonnage, le lien peut également télécharger des logiciels malveillants, des rançongiciels, etc. sur l’appareil de la victime.

Les SMS de smishing semblent être des demandes urgentes envoyées par une banque ou un service de livraison, par exemple. Ils peuvent prétendre qu’un retrait important a été effectué sur votre compte bancaire (une banque ne ferait jamais cela), ou que vous devez suivre un colis manquant (il est préférable d’aller directement sur le site Web du service de livraison, et non de cliquer sur le lien fourni). Là encore, l’acteur de la menace tente d’obtenir des informations qui peuvent l’aider à accéder à l’environnement de travail de la victime et à accéder à des données très sensibles.

Vishing

Les appels téléphoniques ou les messages vocaux frauduleux relèvent de la méthode d’attaque par hameçonnage vocal. Les escrocs appellent des victimes potentielles, souvent au moyen d’appels téléphoniques préenregistrés, en se faisant passer pour une entreprise légitime afin d’obtenir des informations personnelles de la victime.

Par exemple, une victime reçoit un appel d’une personne qui prétend être son service d’assistance informatique. Si la victime répond à l’appel et entre en contact avec le prétendu agent, celui-ci peut demander à confirmer l’identité de la victime afin de lui fournir l’aide dont elle a besoin, par exemple, son mot de passe M365 qui expire et doit être changé dès que possible :

  • Prénom et nom de famille
  • Adresse électronique
  • Nom d’utilisateur M365
  • Mot de passe actuel

Si l’authentification multifactorielle (MFA) est activée, il peut demander à rester en ligne jusqu’à ce que le code soit reçu afin de pouvoir accéder au système.

Prévention des attaques de phishing, smishing et vishing

Voici quelques recommandations pour éviter d’être victime de phishing, smishing ou vishing.

  • Ne cliquez jamais sur les liens d’une personne inconnue ou qui ne correspondent pas à ce que l’on reçoit habituellement d’une personne connue. Il faut plutôt visiter le véritable site Web de l’organisation dont la communication est censée provenir pour vérifier si la notification indiquée dans le courriel ou le message texte est réelle. Appeler la personne qui a envoyé le message est également une bonne alternative.
  • Si vous recevez un appel d’une institution financière, d’une organisation gouvernementale ou d’une entreprise avec laquelle l’organisation fait des affaires, vous demandant des informations confidentielles, ne les fournissez pas. Nous vous recommandons de les appeler à leur numéro de téléphone officiel pour vous assurer que la demande est légitime.
  • Nous recommandons d’investir dans la sensibilisation et la formation à la cybersécurité de tous les dirigeants et employés de l’organisation. Cela permettra d’identifier les attaques de phishing, smishing ou vishing et de réduire les risques que l’organisation soit victime d’une attaque.

La sensibilisation et la formation à la cybersécurité sont l’une des façons pour une organisation de réduire les risques d’être victime de cybercriminels. MicroAge peut vous aider à déterminer quelle est la meilleure solution pour vous. Commençons une conversation aujourd’hui.

Get the most from your IT

As service providers to more than 300 companies, the dedicated professionals at MicroAge are second to none when it comes to managed services. By improving efficiency, cutting costs and reducing downtime, we can help you achieve your business goals!

Get a Complimentary Consultation

Most commented posts

online collaboration advantages

3 principales raisons pour lesquelles votre entreprise devrait adopter un logiciel de collaboration en ligne

Dans le monde d’aujourd’hui où les goûts des consommateurs semblent changer chaque heure, votre entreprise doit suivre ces changements aussi vite que possible. Heureusement, les…

Read More
Remote working security

Conseils de sécurité qui devraient être mis en place pour le télétravail

Le travail à distance (télétravail) change le fonctionnement de la main-d’œuvre mondiale. Les tendances récentes indiquent que le travail à distance augmente et ne montre…

Read More

Pourquoi les PME ont besoin d’une assurance cyber-risques

Pour les petites et moyennes entreprises (PME), une assurance cyber-risques était peut-être «agréable à avoir» auparavant. Mais, compte tenu de l’essor de la technologie et…

Read More

Préparation à la création de votre plan de réponse aux incidents

Souvent, lorsque nous envisageons de créer des plans de réponse aux incidents, nous pensons aux cyberincidents. Ce n’est pas surprenant, compte tenu de la fréquence…

Read More

3 façons de ne plus jamais se soucier de la défaillance d’un logiciel ou de la perte de documents

Au fur et à mesure que nous avançons dans le XXIe siècle, les entreprises font peu à peu la transition de la documentation physique à…

Read More

Obtenez plus de vos outils informatiques

Plus de 300 entreprises de toutes tailles nous font confiance pour le déploiement et la gestion de solutions TI et de produits informatiques. Permettez-nous de vous aider dans l’atteinte de vos objectifs d’affaires.

Consultation gratuite