Encore Phishing L'une des plus grandes menaces de cybersécurité au monde.
En fait, selon les recherches de Cybersécurité Barracuda Le phishing est devenu si courant que le nombre d'attaques de phishing liées au Coronavirus a augmenté de 667% de janvier à mars de cette année. Plus inquiétant encore, selon une étude d'Intel, pas moins de 97% des personnes ne peuvent pas en savoir plus sur un e-mail de phishing.
Pour éviter de devenir une victime, vous devez connaître les différentes façons dont un phisher peut essayer de vous attaquer. Voici huit types de tentatives de phishing que vous pouvez rencontrer.
1. Phishing par e-mail
Il s'agit du phishing typique conçu pour imiter un message électronique d'une entreprise légitime. Il s'agit du type d'attaque le moins complexe utilisant la méthode «vaporiser et prier» (expression utilisée à l'origine dans les publicités traditionnelles, ce qui signifie que le commerçant peut pomper et dépenser de l'argent dans des campagnes publicitaires et prier pour obtenir des résultats).
Comme ce type de phishing ne ciblera pas une personne en particulier, des e-mails publics sont souvent envoyés à des millions d'utilisateurs dans l'espoir que certaines victimes sans méfiance cliquent sur le lien, téléchargent le fichier ou suivent les instructions de l'e-mail.
Souvent, les messages ne sont pas destinés, vous constaterez donc qu'une salutation générale est utilisée, telle que «Cher titulaire de compte» ou «Cher membre». L'ingénierie sociale est souvent utilisée pour semer la panique ou la peur en utilisant des mots comme «urgent» pour amener les utilisateurs à cliquer sur le lien.
2. Phishing ciblé
Ce type est plus complexe et avancé que le phishing précédent et il cible un groupe spécifique ou même des individus spécifiques. Il est souvent utilisé par d'éminents pirates informatiques pour infiltrer les organisations.
Le fraudeur effectue des recherches approfondies sur les personnes, leurs antécédents ou les personnes avec lesquelles ils interagissent régulièrement afin de pouvoir rédiger un message plus personnel. Et comme les utilisateurs ne se plaignent pas souvent d'un problème avec les messages plus personnels.
Vérifiez toujours l'adresse e-mail et le format de la lettre par rapport à ce que vous recevez normalement de ce contact. Il est également préférable de contacter l'expéditeur et de tout vérifier avant de télécharger le fichier joint ou de cliquer sur les liens, même s'il semble provenir d'une personne que vous connaissez.
3. Chasse à la baleine
Il s'agit d'un autre type d'hameçonnage sophistiqué et avancé, et il ne cible qu'un groupe spécifique de personnes - des chefs d'entreprise de haut niveau tels que des gestionnaires ou des PDG.
Parfois, la cible peut être traitée directement dans le texte de bienvenue et le message peut prendre la forme d'une assignation à comparaître, d'une plainte légale ou de quelque chose qui nécessite une action urgente pour éviter la faillite, le licenciement ou les frais juridiques.
L'attaquant passe beaucoup de temps à mener des recherches approfondies sur la personne et à rédiger un message spécialisé ciblant les personnes clés de l'organisation qui ont généralement accès à des fonds ou à des informations sensibles.
Les liens seront envoyés à la cible et en utilisant une page de connexion déguisée où les codes d'accès ou les détails d'authentification seront collectés par le pirate informatique. Certains cybercriminels peuvent également demander aux victimes de télécharger une pièce jointe pour afficher le reste des assignations à comparaître ou de la lettre supposée. Ces pièces jointes contiennent des logiciels malveillants qui peuvent accéder à votre ordinateur.
4. Phishing
Le phishing ou le phishing est un type de phishing, mais au lieu d'envoyer un e-mail, l'attaquant tentera d'obtenir vos informations de connexion ou vos coordonnées bancaires téléphoniques.
L'attaquant usurperait l'identité d'un employé d'une organisation ou du support technique d'une société de services, puis influencerait ses sentiments pour demander à la victime de lui transmettre ses coordonnées bancaires ou de carte de crédit.
Parfois, l'appel peut concerner une somme en retard comme des impôts, des revenus de concours ou un faux employé du support technique demandant un accès à distance à un ordinateur. Il peut également utiliser l'usurpation de messages vocaux préenregistrés et de numéros de téléphone, faisant apparaître l'appel externe comme s'il était local. Ceci est fait pour donner de la crédibilité à l'attaque et pour faire croire aux victimes que l'appel était légitime.
Les experts conseillent aux gens de ne jamais divulguer d'informations sensibles, telles que les informations de connexion, les numéros de sécurité sociale ou les coordonnées bancaires et de carte de crédit, par téléphone. Vous devez raccrocher et appeler immédiatement votre banque ou votre fournisseur de services.
5. Phishing par SMS
Le hameçonnage par SMS est toute forme de phishing qui implique l'utilisation de messages texte ou SMS. Le fraudeur tentera de vous inciter à cliquer sur un lien envoyé via un message qui vous mène vers un faux site. Il vous sera demandé de saisir des informations sensibles telles que les détails de votre carte de crédit. Le pirate informatique collectera ensuite ces informations sur le site Web.
Ils peuvent vous dire parfois que vous avez gagné un prix ou que si vous n'écrivez pas vos informations, vous serez toujours facturé à l'heure pour un service particulier. En règle générale, vous devez éviter de répondre aux SMS provenant de numéros que vous ne connaissez pas. Évitez également de cliquer sur les liens que vous recevez dans les messages texte, surtout si vous ne connaissez pas la source.
6. Pêche à la traîne avec un hameçon
Une méthode de phishing relativement nouvelle utilise les réseaux sociaux pour inciter les gens à partager des informations sensibles. Le fraudeur surveille les personnes qui publient leurs problèmes avec les services bancaires et autres sur les réseaux sociaux. Ensuite, ils se font passer pour le représentant du service client de cette entreprise.
Supposons que vous ayez publié un buzz à propos d'un dépôt tardif ou d'un mauvais service bancaire et que la poste incluait le nom de votre banque. Le cybercriminel utilisera ces informations pour prétendre qu'il vient de la banque et vous contactera ensuite.
Il vous sera ensuite demandé de cliquer sur un lien afin de pouvoir parler à un représentant du service client, puis il vous sera demandé des informations pour «vérifier votre identité».
Chaque fois que vous recevez un message comme celui-ci, il est toujours préférable de contacter le service client via des canaux sécurisés comme les pages officielles Twitter ou Instagram. Ceux-ci ont généralement un signe Un compte vérifié.
7. Fraude au PDG
Cette espèce ressemble presque à la chasse à la baleine. Il cible les PDG et les managers, mais devient plus trompeur car l'objectif n'est pas seulement d'obtenir des informations du PDG, mais de se faire passer pour lui. L'attaquant, se faisant passer pour le PDG ou quelque chose de similaire, enverra un e-mail à ses collègues pour demander de l'argent par virement bancaire ou demander que des informations confidentielles soient envoyées immédiatement.
En règle générale, l'attaque cible une personne au sein de l'entreprise autorisée à effectuer des virements électroniques, comme un responsable du budget, des membres du service financier ou toute personne disposant d'informations sensibles. Souvent, le message est censé paraître très urgent, de sorte que la victime n'aura pas le temps de réfléchir.
8. Phishing via le moteur de recherche
Il s'agit de l'un des types d'attaques de phishing les plus récents qui utilisent des moteurs de recherche légitimes. Le fraudeur créera un faux site Web proposant des offres, des articles gratuits, des remises sur les produits et même de fausses offres d'emploi. Sera utilisé après cela Technologies SEO (SEO) pour que leur site Web soit indexé par les moteurs de recherche légitimes.
Ainsi, lorsque vous recherchez quelque chose, le moteur de recherche vous montrera des résultats qui incluent ces faux sites. Vous serez alors amené à vous connecter ou à fournir des informations sensibles qui sont ensuite collectées par les cybercriminels.
Certains de ces escrocs sont devenus aptes à utiliser des techniques avancées pour manipuler les moteurs de recherche afin de générer du trafic vers leurs sites Web.
Restez informé et soyez vigilant
Connaître les noms de chaque type n'est pas aussi important que de comprendre le style, la position et le canal de chaque attaque. Vous n'avez pas à vous intimider avec ce qu'ils appellent tous, mais il est important de savoir comment créer les messages et les canaux que les attaquants utilisent pour vous atteindre.
Il est également important de toujours rester vigilant et de savoir qu'il y a beaucoup de gens qui essaient de vous tromper en introduisant vos détails sensibles. Sachez que votre entreprise peut devenir la cible d'attaques et que les criminels recherchent un moyen d'entrer.
Connaître l'existence de telles menaces est la première étape pour empêcher votre ordinateur de devenir un point d'entrée pour les attaquants. Il est également important de revérifier la source du message avant d'agir.
Vous devez également comprendre que les attaquants utilisent parfois la peur et la panique des utilisateurs pour les amener à faire ce qu'ils veulent. Alors face à une menace, il est important de se calmer pour pouvoir réfléchir. Et quand il s'agit de repérer les escroqueries et les cadeaux promotionnels, le vieil adage s'applique toujours: Si quelque chose semble trop beau pour être vrai, c'est probablement.
