Qu’est-ce que l’hameçonnage ?

Les attaques par hameçonnage visent à dérober ou à endommager des données sensibles en incitant les cibles à révéler des informations personnelles telles que des mots de passe et des numéros de carte de crédit.

Les différents types d’attaques par hameçonnage

Les attaques par hameçonnage proviennent d’escrocs déguisés en sources dignes de confiance et peuvent faciliter l’accès à tous types de données sensibles. Les cyberattaques s’adaptent à l’évolution des technologies. Découvrez les types d’hameçonnage les plus répandus.

  • Hameçonnage par e-mail

    Forme d’hameçonnage la plus courante, ce type d’attaque utilise des tactiques telles que des liens hypertexte factices pour inciter les destinataires de l’e-mail à communiquer leurs données personnelles. Les attaquants se font souvent passer pour un grand fournisseur de comptes comme Microsoft ou Google, ou même pour un collègue.

  • Hameçonnage par logiciel malveillant

    Très répandu, cet autre type d’attaque par hameçonnage consiste à implanter un logiciel malveillant déguisé en pièce jointe digne de confiance (comme un curriculum vitae ou un relevé bancaire) dans un e-mail. Dans certains cas, l’ouverture d’une pièce jointe malveillante peut paralyser des systèmes informatiques entiers.

  • Harponnage

    Contrairement à la plupart des attaques par hameçonnage qui ratissent large, le harponnage cible des personnes spécifiques en exploitant les informations recueillies lors de recherches sur leur travail et leur vie sociale. Ultra personnalisées, ces attaques contournent efficacement les stratégies de cybersécurité de base.

  • Harponnage de cadre

    Lorsque des acteurs malveillants ciblent un « gros poisson » comme un chef d’entreprise ou une célébrité, on parle de « harponnage de cadre ». Ces escrocs effectuent souvent des recherches très approfondies sur leurs cibles afin de trouver le moment opportun pour dérober leurs informations d’identification ou d’autres données sensibles. Si vous avez beaucoup à perdre, les attaquants qui ont recours au harponnage de cadre ont quant à eux beaucoup à gagner.

  • Hameçonnage par SMS

    L’hameçonnage par SMS consiste à envoyer des SMS déguisés en communications dignes de confiance provenant d’entreprises comme Amazon ou FedEx. Les destinataires sont particulièrement vulnérables à ce type d’attaque, car les messages sont envoyés en texte brut et semblent personnalisés.

  • Hameçonnage par téléphone

    Dans le cadre des campagnes d’hameçonnage par téléphone, les attaquants des centres d’appels frauduleux tentent d’inciter leurs cibles à fournir des informations sensibles par téléphone. Ces hameçonneurs ont souvent recours au piratage psychologique pour inciter les victimes à installer un programme malveillant sur leur appareil sous la forme d’une application.

Tactiques d’hameçonnage courantes

  • Communication trompeuse

    Les attaquants sont très doués pour manipuler leurs victimes et les amener à divulguer des données sensibles grâce à la dissimulation de messages et de pièces jointes malveillants (dans leur boîte de réception, par exemple). Les messages qui arrivent dans la boîte de réception sont généralement considérés comme légitimes par leurs destinataires, mais méfiez-vous : les e-mails d’hameçonnage passent souvent totalement inaperçus. Pour éviter de vous faire avoir, prenez le temps d’examiner les liens hypertexte et les adresses e-mail des expéditeurs avant de cliquer.

  • Perception de besoin

    Les victimes des attaques par hameçonnage tombent dans le piège parce qu’elles pensent devoir agir. Par exemple, elles peuvent télécharger un logiciel malveillant déguisé en curriculum vitae parce qu’elles ont besoin de recruter quelqu’un en urgence, ou elles peuvent saisir leurs informations d’identification bancaires sur un site web suspect pour sauver un compte soi-disant sur le point d’expirer. Créer une fausse perception de besoin est une astuce courante car elle fonctionne. Pour assurer la sécurité de vos données, faites preuve d’une grande vigilance ou installez une solution de protection des e-mails.

  • Abus de confiance

    Les acteurs malveillants trompent leurs victimes en leur donnant un faux sentiment de confiance, à tel point que les personnes les plus méfiantes peuvent elles-mêmes se laisser prendre dans leurs filets. En se faisant passer pour des sources dignes de confiance comme Google, Wells Fargo ou UPS, les hameçonneurs peuvent vous inciter à agir avant que vous ne vous rendiez compte que vous avez été trompé. La plupart des messages d’hameçonnage sont impossibles à détecter si des mesures de cybersécurité avancées ne sont pas mises en place. Assurez la sécurité de vos données privées grâce à une technologie de protection du courrier conçue pour identifier les contenus suspects et les éliminer avant qu’ils n’atteignent votre boîte de réception.

  • Manipulation émotionnelle

    Les acteurs malveillants utilisent des tactiques psychologiques pour convaincre leurs cibles d’agir avant de réfléchir. Après avoir gagné la confiance de leur cible en se faisant passer pour une source qui leur est familière, puis en leur donnant un faux sentiment d’urgence, les attaquants exploitent des émotions comme la peur et l’anxiété afin d’obtenir ce qu’ils veulent. Les gens ont tendance à prendre des décisions hâtives lorsqu’on leur dit qu’ils risquent de perdre de l’argent, d’avoir des problèmes juridiques ou de ne plus avoir accès à une ressource dont ils ont besoin. Méfiez-vous de tout message vous invitant à « agir immédiatement » car il peut être frauduleux.

Les conséquences d’une attaque par hameçonnage réussie peuvent être graves : vol d’argent, débits frauduleux sur des comptes bancaires, perte d’accès à des photos, vidéos et fichiers, etc. Certains cybercriminels peuvent même mettre d’autres personnes en danger en se faisant passer pour vous.

Au travail, les risques peuvent être les suivants pour votre employeur : perte de fonds, divulgation des données personnelles de clients et de collaborateurs, vol de fichiers sensibles ou blocage de l’accès à ceux-ci, sans parler de l’atteinte à la réputation de votre entreprise. Les dommages causés sont souvent irréparables.

Heureusement, il existe de nombreuses solutions pour se protéger de l’hameçonnage, chez soi comme au travail.

Explorez les services de protection contre les menaces de Microsoft

Quelques astuces pour éviter l’hameçonnage

Ne vous fiez pas aux noms d’affichage

Vérifiez l’adresse e-mail de l’expéditeur avant d’ouvrir un message, car le nom d’affichage peut être un faux.

Recherchez les coquilles

Les fautes d’orthographe et de grammaire sont fréquentes dans les e-mails d’hameçonnage. Si quelque chose vous semble anormal, signalez-le.

Regardez avant de cliquer

Passez la souris sur les liens hypertexte d’un contenu qui semble authentique pour vérifier les adresses qui s’y rapportent.

Lisez le début du message

Si l’e-mail commence par « Cher client » sans mentionner votre nom, méfiez-vous. Il s’agit probablement d’un message frauduleux.

Vérifiez la signature

Assurez-vous que les coordonnées de l’expéditeur figurent dans le pied de page de l’e-mail. Les expéditeurs légitimes les mentionnent toujours.

Méfiez-vous des menaces

Les phrases qui font peur, comme « Votre compte a été suspendu », sont courantes dans les e-mails d’hameçonnage.

Protégez-vous contre les cybermenaces

Bien que les tentatives d’hameçonnage et autres cybermenaces évoluent constamment, de nombreuses mesures peuvent être prises pour s’en protéger.

Forum aux questions

|

L’objectif principal de toute tentative d’hameçonnage est de dérober des données sensibles et des informations d’identification. Méfiez-vous de tout message (par téléphone, e-mail ou SMS) qui vous réclame des données sensibles ou vous demande de prouver votre identité.

 

Les attaquants s’efforcent d’imiter des organismes connus et utilisent les mêmes logos, visuels et interfaces que des marques ou personnes que vous connaissez. Restez vigilant : ne cliquez pas sur un lien ou n’ouvrez pas une pièce jointe si vous n’êtes pas certain que le message est légitime.

 

Voici quelques astuces pour reconnaître un e-mail d’hameçonnage :

  • Menaces ou appels à agir d’urgence (par exemple : « À ouvrir immédiatement »).
  • Expéditeurs inconnus : toute personne qui vous envoie un e-mail pour la première fois.
  • Fautes d’orthographe et de grammaire (souvent dues à des traductions médiocres).
  • Liens ou pièces jointes suspects (texte de lien hypertexte qui révèle des liens provenant d’une adresse IP ou d’un domaine différent).

Fautes d’orthographe subtiles (par exemple, « micros0ft.com » ou « rnicrosoft.com »)

Si vous pensez avoir été victime d’une attaque par hameçonnage, vous devez prendre certaines mesures :

  1. Notez tous les détails dont vous vous souvenez concernant l’attaque. Notez toutes les informations que vous êtes susceptible d’avoir communiqué, comme les noms d’utilisateur, les numéros de compte ou les mots de passe.
  2. Modifiez immédiatement les mots de passe des comptes concernés et de tous les autres comptes sur lesquels vous utilisez le même mot de passe.
  3. Vérifiez que vous utilisez l’authentification multifacteur (ou en deux étapes) sur chacun de vos comptes.
  4. Informez toutes les parties concernées que vos informations ont été compromises.
  5. Si vous avez perdu de l’argent ou si vous avez été victime d’une usurpation d’identité, signalez-le aux forces de l’ordre locales et à la Federal Trade Commission. Fournissez les détails que vous avez notés à l’étape 1.

Sachez qu’une fois que vous avez envoyé vos informations à un attaquant, celles-ci sont susceptibles d’être rapidement divulguées à d’autres acteurs malveillants. Attendez-vous à recevoir d’autres e-mails, SMS et appels téléphoniques d’hameçonnage.

Si vous recevez un message suspect dans votre boîte de réception Microsoft Outlook, choisissez Signaler le message sur le ruban, puis sélectionnez Hameçonnage. Il s’agit du moyen le plus rapide de supprimer le message de votre boîte de réception. Dans Outlook.com, cochez la case correspondant au message suspect dans votre boîte de réception, sélectionnez la flèche située en regard de Courrier indésirable, puis sélectionnez Hameçonnage.

 

Si vous avez perdu de l’argent ou si vous avez été victime d’une usurpation d’identité, signalez-le aux forces de l’ordre locales et prenez contact avec la Federal Trade Commission. Celle-ci dispose d’un site web entièrement consacré à la résolution des problèmes de cette nature.

Non. L’hameçonnage par e-mail est le plus courant, mais les escrocs ont également recours à l’hameçonnage par téléphone ou par SMS ainsi qu’à l’exploitation de données recueillies lors de recherches sur Internet pour se procurer des informations sensibles.

Le terme « courrier indésirable » désigne les messages non sollicités au contenu non pertinent ou à caractère publicitaire. Ces messages peuvent faire la promotion de combines pour gagner de l’argent rapidement, d’offres illégales ou de fausses remises.

 

L’hameçonnage est une méthode plus ciblée (et généralement mieux déguisée) qui vise à obtenir des données sensibles en amenant les victimes à donner volontairement des renseignements sur leur compte et des informations d’identification.