Qu'est-ce qu'une attaque par hameçonnage ?

Les attaques par hameçonnage - portmanteau de voice (voix) et phishing (hameçonnage) - sont effectuées par téléphone et sont considérées comme un type d'attaque d'ingénierie sociale, car elles utilisent la psychologie pour inciter les victimes à fournir des informations sensibles ou à effectuer une action pour le compte de l'attaquant.

Demander une démo Lire l'eBook

Qu'est-ce qu'une attaque par hameçonnage ?

Comment fonctionne l'hameçonnage

Une tactique courante consiste à faire appel à l'autorité. Par exemple, l'attaquant peut se faire passer pour un agent du fisc et prétendre qu'il appelle pour recouvrer des impôts impayés. La peur de l'arrestation peut amener les victimes à faire ce que l'agresseur leur demande. Ces types d'attaques impliquent aussi souvent un paiement par carte cadeau et ont coûté aux victimes 124 millions de dollars en 2020, rien qu'aux États-Unis.

Quelle est la différence entre l'hameçonnage et le vishing ?

Si le vishing et le hameçonnage sont tous deux des types d'attaques d'ingénierie sociale et utilisent en grande partie les mêmes tactiques, la principale différence entre eux est le moyen utilisé pour réaliser les attaques.

Comme mentionné ci-dessus, le vishing utilise le téléphone pour effectuer une attaque. L'agresseur appelle la victime - ou l'incite à l'appeler - et tente verbalement de la pousser à faire quelque chose. Les hameçonneurs, quant à eux, utilisent des formes de communication électroniques et textuelles pour mener leurs attaques. Si le courrier électronique est le moyen d'hameçonnage le plus courant et le plus connu, les attaquants peuvent également utiliser les messages texte (appelés smishing), les applications de communication d'entreprise (Slack, Microsoft Teams, etc.), les applications de messagerie (Telegram, Signal, WhatsApp, etc.) ou les médias sociaux (Facebook, Instagram, etc.) pour mener à bien leurs attaques.

Types de fraude par hameçonnage

Les attaques de vishing peuvent être aussi variées que les attaques de hameçonnage. Voici quelques-uns des prétextes les plus couramment utilisés pour le vishing :

  • Problème de compte : Un visiteur peut se faire passer pour une banque ou un autre prestataire de services et prétendre qu'il existe un problème sur le compte d'un client. Ils vous demanderont alors des informations personnelles pour "vérifier l'identité du client".
  • Représentant du gouvernement : Une attaque de vishing peut inclure un attaquant se faisant passer pour un représentant d'une agence gouvernementale, telle que l'Internal Revenue Service (IRS) ou la Social Security Administration (SSA). Ces attaques sont généralement conçues pour voler des informations personnelles ou inciter la victime à envoyer de l'argent à l'attaquant.
  • Assistance technique : Les ingénieurs sociaux peuvent se faire passer pour des techniciens de grandes entreprises bien connues comme Microsoft ou Google. Ces attaquants prétendent aider à résoudre un problème sur l'ordinateur ou le navigateur de la victime, mais installent en réalité un logiciel malveillant.

Comment prévenir les attaques par hameçonnage (Vishing)

Comme pour les autres attaques d'ingénierie sociale, la sensibilisation des utilisateurs est essentielle à la prévention et à la protection. Voici quelques points importants à inclure dans la formation de sensibilisation à la cybersécurité :

  • Ne donnez jamais de données personnelles : Les attaques par hameçonnage sont généralement conçues pour inciter la cible à fournir des informations personnelles qui peuvent être utilisées à des fins frauduleuses ou pour d'autres attaques. Ne fournissez jamais de mot de passe, de numéro d'authentification multi-facteurs (MFA), de données financières ou d'informations similaires par téléphone.
  • Vérifiez toujours les numéros de téléphone : Les vishers appellent en se faisant passer pour une organisation légitime. Avant de donner des informations personnelles ou de faire ce que l'attaquant vous demande, demandez le nom de l'appelant et rappelez-le en utilisant le numéro officiel figurant sur le site web de l'entreprise. Si votre interlocuteur tente de vous dissuader de le faire, il s'agit probablement d'une fraude.
  • Personne ne veut de cartes-cadeaux : Les voleurs demandent souvent le paiement des taxes impayées ou d'autres frais sous forme de cartes-cadeaux ou de cartes Visa prépayées. Aucune organisation légitime ne demandera de carte-cadeau ou de crédit prépayé en guise de paiement.
  • Ne fournissez jamais d'accès à distance à votre ordinateur : Vishers peut demander un accès à distance à votre ordinateur pour "supprimer le logiciel malveillant" ou résoudre un autre problème. Ne donnez jamais accès à votre ordinateur à des personnes autres que les membres vérifiés du service informatique.
  • Signalez les incidents suspects : Les Vishers tentent souvent d'utiliser la même fraude sur plusieurs cibles différentes. Signalez tout soupçon d'attaque par vishing au service informatique ou aux autorités afin qu'ils puissent prendre des mesures pour protéger les autres contre ce type d'attaque.

Comme pour les attaques par hameçonnage, la prévention du vishing basée sur la formation est imparfaite. Il est toujours possible qu'une attaque passe à travers les mailles du filet. Cependant, contrairement au hameçonnage, le vishing est difficile à prévenir par la technologie. Étant donné que le vishing se fait par téléphone, la détection d'attaques potentielles nécessiterait l'écoute de tous les appels téléphoniques et l'observation des signes avant-coureurs.

C'est pourquoi les organisations doivent faire face aux attaques de vishing en mettant en place une défense en profondeur et en se concentrant sur les objectifs de l'attaquant. Dans le contexte d'une entreprise, une attaque de vishing peut être conçue pour infecter le système d'un employé avec un logiciel malveillant ou pour permettre à l'attaquant d'accéder à des données sensibles de l'entreprise. L'impact d'une attaque de vishing peut être atténué en mettant en place des solutions qui empêchent un attaquant d'atteindre ces objectifs, même si le vecteur d'attaque initial (c'est-à-dire l'appel téléphonique de vishing) est indétectable.

Check Point offre une gamme de solutions qui peuvent aider les organisations à atténuer les attaques de vishing, de hameçonnage et d'autres attaques connexes. Harmony Email and Office de Check Point inclut des protections anti-hameçonnage et peut aider à détecter les tentatives d'exfiltration de données inspirées par une attaque de vishing. Pour en savoir plus sur la façon dont Check Point peut protéger votre organisation contre les menaces d'ingénierie sociale, nous vous invitons à demander une démonstration gratuite dès aujourd'hui.

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK