Les succès de phishing sont de plus en plus populaires, et France est la championne de la catégorie : en 2018, au moins neuf personnes se sont fait voler leurs données par seconde. Et ce que beaucoup de gens ne savent pas, c’est qu’il est très facile de trouver des informations personnelles les concernant sur Internet, même pour des personnes qui ne sont pas des pirates informatiques.
Sommaire
Qu’est-ce que le phishing ?
Le phishing est une sorte d’escroquerie dans laquelle un site web, un courriel, une application ou un service tente de tromper l’utilisateur, en se passant de vrais organes, afin de recueillir des données et des informations personnelles et extrêmement sensibles, telles que le numéro de carte de crédit et les mots de passe, le numéro de compte bancaire et les mots de passe, les numéros d’identification, le CPF et d’autres documents, etc.
Le terme est une corruption du verbe “pêche” en anglais, car il décrit le mode d’approche général : les contrefacteurs lancent un faux “appât”, attendant que l’utilisateur imprudent “morde à l’hameçon”.
Parmi les variantes, le spear phishing est le plus courant : il s’agit généralement de l’attaque d’une personne ou d’une entreprise spécifique, par le biais d’un courriel, apparemment de source fiable, qui redirige l’utilisateur vers un site passant généralement pour authentique, demandant les données sensibles. C’est pourquoi la “lance”, où un seul poisson peut être capturé à la fois.
La collecte de données sur le phishing est-elle simple ?
Cela dépend du type de données, mais en général, c’est très simple, pour une raison simple : la plupart des utilisateurs fournissent ces informations tout le temps. Selon Kaspersky, il existe un certain nombre de méthodes de phishing, des plus simples aux plus complexes, que même un profane peut utiliser pour obtenir les données qu’il souhaite.
Examinons quelques exemples :
1. Visage
La reconnaissance faciale est l’une des méthodes les plus compliquées. Tout d’abord, l’agresseur aurait besoin d’une image réelle de la cible (en général, les victimes sont des cadres de grandes entreprises), et de sa possession, utiliserait un logiciel privé pour trouver des correspondances sur les réseaux sociaux.
L’un d’eux est le FindFace, destiné aux solutions de sécurité.
2. Prénom et/ou nom de famille
Il s’agit de l’escroquerie de phishing la plus élémentaire. En ayant à portée de main le prénom et/ou le nom de famille de la cible, il devient beaucoup plus simple d’effectuer une recherche derrière elle par Google Search. Bien entendu, l’efficacité de cette méthode dépend de la fréquence du nom (par exemple, “José da Silva” n’est pas très prometteur) et de la présence ou non de l’individu sur Internet.
3. Numéro de téléphone portable
Il s’agit de l’une des escroqueries de phishing les plus efficaces en France, puisque chaque numéro de téléphone portable est connecté au CPF de l’utilisateur. Comme beaucoup de gens ne se soucient pas du numéro lui-même, car il est facile à échanger, les gens le partagent généralement par le biais des réseaux sociaux, ce qui ouvre la voie aux faux appels et aux faux SMS.
Vous voulez un exemple ? Allez sur Twitter et faites une recherche sur la phrase “write down my cell”.
4. Adresse électronique
Outre le numéro de téléphone portable, nous partageons généralement nos adresses électroniques, même celles réservées aux communications commerciales, avec presque tout le monde, ou nous les divulguons ouvertement sur le réseau. Avec l’un d’eux en main, un pirate informatique peut facilement envoyer de faux messages, en essayant de vous diriger vers des sites malveillants.
5. Nom d’utilisateur
Des outils en ligne tels que Namech_k et Knowhow effectuent des recherches de noms d’utilisateurs sur internet, derrière des correspondances sur différents services. Ainsi, si un pirate informatique connaît votre nom d’utilisateur sur une plateforme, il peut vous traquer sur d’autres afin de vous faire jouer d’autres faux leurres pour que vous en mordez au moins un.
Comment se protéger des escroqueries par hameçonnage ?
1. Consultez l’e-mail
C’est simple, mais vérifiez toujours l’adresse électronique de l’expéditeur. S’il comporte des caractères ou des expressions étranges, ne cliquez sur rien ;
2. Ne cliquez pas sur les liens suspects
Cela vaut pour les liens envoyés par courrier électronique, réseaux sociaux ou SMS;évitez de cliquer sur quoi que ce soit, et vérifiez toujours les sources officielles avant de prendre une décision. En général, les banques et les institutions financières ne demandent jamais de données par téléphone ou par des moyens électroniques ;
3. Utiliser les outils de sécurité
anti-virus pare-feu et autres offres de logiciels blocs d’hameçonnage et est toujours mis à jour avec les nouveaux sites et applications identifiés comme malveillants.
