- Qu'est-ce que l'hameçonnage ? Une définition
- Types d'hameçonnage
- Comment reconnaître un e-mail de phishing ?
- Comment se protéger contre le phishing
- Conclusion : le phishing peut affecter n'importe qui - la protection est fournie par des programmes antivirus avec détection de phishing et votre propre prudence
Identifier le phishing et le protéger
Toute personne qui navigue sur Internet peut toujours être victime d'hameçonnage. Vous trouverez ici tout ce que vous devez savoir sur le phishing, le fonctionnement du vol de données, les dommages qu'il peut causer et la meilleure façon de vous en protéger.
Qu'est-ce que l'hameçonnage ? Une définition
Le phishing est la tentative de voler des informations d'utilisateur ou bancaires à l'aide de faux sites Web, messages de messagerie ou e-mails. L'hameçonnage est une partie importante de la cybercriminalité. À l'aide des données capturées, les fraudeurs peuvent effectuer eux-mêmes des achats ou conclure des transactions en leur nom sans le consentement des personnes concernées. Les données de phishing peuvent également être utilisées pour faire chanter les internautes. À ce niveau, il existe une similitude avec les ransomwares.
Le terme phishing fait allusion à l'anglais « fishing », qui signifie « pêcher » en allemand. Avec le phishing, les criminels tentent de « pêcher » les données de tiers.
Voici comment fonctionne le phishing
Quel que soit le support utilisé, le phishing fonctionne toujours selon le même schéma. Le destinataire respectif reçoit un message dans lequel il lui est demandé d'agir, par exemple pour ouvrir une pièce jointe à un courrier, pour télécharger un fichier ou pour cliquer sur un lien. Dans ces cas, un logiciel espion est installé pour le phishing, qui accède généralement aux données souhaitées sans que l'utilisateur ne s'en aperçoive.
Dans une variante directe, le soi-disant "phisher" invite l'utilisateur avec de faux sites Web ou messages à saisir des données personnelles ou des coordonnées bancaires.
Quel mal le phishing fait-il ?
Tout d'abord, le phishing peut causer des dommages financiers. C'est le cas, par exemple, lorsque des coordonnées bancaires sont volées et que des criminels les utilisent à leurs propres fins. Par exemple, il est possible que des criminels vident tout le compte courant ou chargent la carte de crédit jusqu'à la limite.
Si des données d'identité sont volées, les dommages peuvent être encore plus importants. Par exemple, les pirates peuvent commettre d'autres actes criminels avec de faux profils.
Mais en plus du préjudice financier, c'est aussi la grande perte de confiance qui perturbe durablement les utilisateurs et, par exemple, ils ne peuvent plus profiter des avantages d'Internet.
Types d'hameçonnage
Le phishing peut être classé en fonction des canaux utilisés par les criminels. Cela donne la liste suivante :
hameçonnage par e-mail |
Cette variante est la plus couramment utilisée par les criminels. Par exemple, ils envoient des e-mails avec une conception soi-disant officielle d'une grande entreprise de vente par correspondance ou d'une banque pour l'attaque. Dans cet e-mail, les « hameçonneurs » demandent alors à leurs victimes de saisir leurs données d'utilisateur. Les e-mails d'hameçonnage peuvent également contenir d'autres logiciels malveillants qui se propagent via des pièces jointes infectées. Si l'utilisateur ouvre sans s'en douter une telle pièce jointe, des virus ou des logiciels espions peuvent s'installer sur son ordinateur. |
Hameçonnage de site Web |
Les sites Web dits « d'usurpation d'identité » sont similaires aux sites Web officiels des banques ou des boutiques en ligne jusque dans les moindres détails. De cette façon, les criminels veulent amener les utilisateurs à saisir leurs données personnelles. Des fenêtres contextuelles affichant un faux masque de saisie sont également utilisées à cette fin. |
Vishing |
Cette variante du phishing utilise un canal de communication traditionnel, le téléphone. Les criminels appellent simplement leurs victimes et essaient de les convaincre de fournir des informations de connexion ou d'autres informations personnelles. Habituellement, les agresseurs prétendent être des employés d'une autorité, par exemple en tant qu'officier de police. |
Smishing | Il s'agit d'hameçonnage par SMS. Les victimes reçoivent un court message dans lequel elles sont invitées à cliquer sur un lien. Cependant, si vous suivez ce lien, vous vous retrouvez sur un faux site Web ou vous téléchargez des logiciels malveillants sur votre smartphone. |
Hameçonnage sur les réseaux sociaux | Avec cette variante, les pirates envoient des liens infectés vers la liste d'amis d'un profil de réseau social piraté. Les expéditeurs prétendument connus cliquent ensuite sur les liens nuisibles et téléchargent des logiciels espions, par exemple, sur leur ordinateur ou leur smartphone. |
Voici comment les criminels obtiennent les données de leurs victimes via le phishing
Les criminels dirigent les victimes par divers canaux. Différentes techniques sont utilisées pour obtenir les données :
Hameçonnage trompeur |
« Trompeur » signifie « trompeur » en allemand. Le phishing trompeur est une variante dans laquelle les criminels prétendent être de vraies entreprises ou personnes afin d'exploiter la confiance des personnes concernées. |
Hameçonnage |
Tel un chasseur sous-marin qui part à la pêche armé uniquement d'une lance, les hackers sélectionnent une victime dans cette affaire. Les médias courants pour le spear phishing sont par exemple les réseaux sociaux utilisés à des fins professionnelles, tels que LinkedIn ou XING. |
Pêche à la baleine |
Comme pour le spear phishing, les victimes sont spécifiquement sélectionnées pour la chasse à la baleine. Ce sont des victimes particulièrement riches. |
Pharming : |
Dans le pharming, autant de données que possible devraient être exploitées auprès de nombreuses victimes. Le terme est composé de « phishing » et « farming ». Les victimes sont dirigées vers de faux sites Web à l'aide d'astuces techniques. |
Hameçonnage du PDG | Dans ce cas, les criminels prétendent être le directeur général d'une entreprise. Depuis cette position supposée digne de confiance, ils demandent à leurs victimes des informations de paiement ou des mots de passe sensibles. |
Comme vous pouvez le constater, le phishing utilise également différentes méthodes techniques. Cela inclut également ce que l'on appelle les scripts intersites, dans lesquels les données des utilisateurs sont exploitées à l'aide de faux scripts.
Comment reconnaître un e-mail de phishing ?
Les e-mails de phishing peuvent être reconnus en fonction de diverses propriétés.
- Forte accumulation de fautes d'orthographe et de grammaire : la plupart des e-mails de phishing sont traduits automatiquement. Cela se traduit parfois par des formulations étranges pour les locuteurs natifs. Dans d'autres cas, vous pouvez reconnaître les faux e-mails par des caractères qui ne sont pas courants, par exemple des lettres cyrilliques ou des accents incorrects. Les destinataires allemands doivent également être sceptiques si l'e-mail ne contient pas de trémas.
- Courrier dans une langue que vous ne parlez pas : si vous recevez du courrier d'un expéditeur inconnu dans une langue que vous n'utilisez pas, il peut s'agir de courrier de phishing. Cela est particulièrement vrai si vous recevez soudainement des courriels de votre banque en anglais ou en français avec des questions sur vos comptes.
- Pas d'adresse personnelle dans les e-mails : si vous n'êtes généralement adressé que comme « Cher client » ou avec votre mauvais nom dans des e-mails apparemment « officiels », cela peut indiquer un e-mail de phishing, ou au moins un e-mail de spam . Certains pirates tentent de dériver un nom de l'adresse e-mail, puis de l'ajouter à la salutation. Souvent, le prénom et le nom sont alors échangés.
- Vous disposez d'un délai très court pour agir : si un e-mail est traité avec des délais courts pour confirmer des données ou avec une menace, cela peut indiquer un hameçonnage. Une entreprise ou une banque ne vous menacerait jamais si elle avait besoin de vos données.
- Il vous sera demandé de saisir des informations de connexion ou des informations de compte : Une banque ou une entreprise ne demandera jamais aux clients de la banque de confirmer leur identité ou leurs informations bancaires par e-mail. Le PIN ou le TAN n'est pas non plus demandé par e-mail.
- Demande de téléchargement ou d'ouverture d'un fichier : L'attaque a lieu via un e-mail avec la demande spécifique d'ouvrir ou de télécharger rapidement un fichier.
- Vous recevez des e-mails ou des messages d'une banque ou d'une entreprise, alors que vous n'êtes ni un client ni un interlocuteur : aucune banque ou aucune entreprise réputée ne vous écrira sans votre consentement, par exemple en vous demandant de saisir les coordonnées de votre compte.
Contenu typique des e-mails d'hameçonnage ou des sites Web d'hameçonnage
Le contenu suivant peut généralement être trouvé sur des pages d'hameçonnage ou dans des e-mails d'hameçonnage :
- Évidemment, il y a des problèmes avec une facture ou un paiement. Il vous sera demandé de cliquer sur un lien qui vous mènera au processus de paiement.
- Vous êtes accusé d'une infraction administrative ou pénale par une autorité prétendument officielle et il vous est demandé de payer une somme d'argent.
- Vous serez informé d'un bénéfice supposé que vous pourrez retirer après avoir entré vos coordonnées bancaires.
- On vous demande une aide financière parce qu'un parent supposé a besoin d'argent. Vous êtes promis de récupérer le double après l'aide.
- Vous recevez un message prétendument urgent de votre banque ou d'une boutique en ligne vous demandant de régler immédiatement un solde.
Fondamentalement, le but du phishing est toujours de cibler la crédulité, la peur, la curiosité ou une autre émotion ou caractéristique de la personne. Les victimes doivent alors agir par l'approche émotionnelle, la pression ou l'intimidation.
Comment se protéger contre le phishing
Le bon sens associé à un logiciel antivirus qui peut également analyser les e-mails, par exemple, vous protège du phishing. Le logiciel filtre ensuite automatiquement les e-mails en tant que spam contenant des éléments suspects tels que des expéditeurs cryptiques ou des lignes d'objet et des salutations ostentatoires.
Une protection très simple : supprimez simplement les e-mails que vous trouvez suspects et dont le contenu ou le sujet ne vous concerne pas. Informez les entreprises ou vos amis si vous recevez des e-mails de phishing en leur nom.
Vous pouvez également signaler le phishing au Groupe de travail anti-hameçonnage par e-mail : [email protected]
Quoi d'autre aide à protéger :
Restez informé des possibles vagues de phishing qui déferlent sur le pays. |
Soyez sceptique à l'égard des e-mails ou des messages de messagerie que vous ne connaissez pas de l'expéditeur. |
N'ouvrez aveuglément aucun lien dans les messages ou les e-mails. |
Ne visitez que des sites Web réputés et faites attention aux éventuels avertissements de votre navigateur. |
Vérifiez auprès des entreprises si on vous demande de fournir des informations de compte ou de contact en leur nom. |
Assurez-vous que vous visitez uniquement des sites Web avec un certificat de sécurité SSL valide. Vous pouvez reconnaître les sites Web sécurisés par le petit symbole de verrouillage dans la barre du navigateur. La connexion SSL garantit qu'aucun tiers ne peut lire les données que vous échangez avec le site. Ceci est particulièrement important lors de la saisie des coordonnées bancaires. |
Échangez régulièrement vos mots de passe et vos données d'accès. Les mots de passe facilement déchiffrables sont une véritable invitation pour les hackers. |
Vérifiez régulièrement vos relevés bancaires pour les frais suspects. |
Évitez de visualiser les e-mails sous forme de fichiers HTML. Les chevaux de Troie de phishing peuvent se cacher dans les fichiers HTML. |
Utilisez des bloqueurs de publicités lorsque vous surfez. Entre autres choses, cela empêche les pop-ups qui pourraient vous conduire vers des sites Web de phishing. |
Un e-mail de phishing est-il également dangereux si je ne clique sur aucun lien et n'ouvre pas la pièce jointe de l'e-mail ?
Si vous ouvrez l'e-mail en question en texte brut, le risque de phishing est pratiquement éliminé. Mais dans le cas du courrier HTML, le simple fait d'ouvrir le courrier peut suffire à être victime d'hameçonnage, même si vous ne cliquez pas sur les liens ou ne chargez pas les pièces jointes des courriers électroniques.
J'ai été victime d'hameçonnage. Comment récupérer mon argent ?Dans ce cas, signalez le vol. Dans certains cas, votre assurance habitation couvrira les dommages jusqu'à un certain montant.
J'ai cliqué sur un lien dans un e-mail de phishing. Ai-je été piraté maintenant ?Tant que vous n'avez pas entré activement de données sur la page qui s'est ouverte après le clic, le vol de données est initialement peu probable. Cependant, vous devez faire attention à l'alarme de votre protection antivirus. Parce que via les sites Web de phishing, les criminels peuvent également installer des chevaux de Troie ou des logiciels espions sur votre ordinateur.
Comment sécuriser davantage ma banque en ligne ?La banque en ligne n'est jamais sécurisée à 100 %. Néanmoins, cela aide si vous passez à la procédure PUSH-TAN ou utilisez un générateur TAN.
Conclusion : le phishing peut affecter n'importe qui - la protection est fournie par des programmes antivirus avec détection de phishing et votre propre prudence
Les e-mails de phishing et les sites Web de phishing deviennent de plus en plus sophistiqués et à première vue, les contrefaçons ne sont pas immédiatement évidentes pour les profanes. C'est pourquoi il est important de toujours regarder très attentivement et, surtout, d'être sceptique lorsqu'on est invité à saisir des coordonnées bancaires ou des données personnelles. Il vaut mieux demander à nouveau à l'expéditeur ou au fournisseur avant de cliquer sur un lien sans y réfléchir à deux fois ou de saisir vos données sous une forme prétendument sécurisée.
Dans tous les cas, il est judicieux de disposer d'un antivirus capable de scanner vos e-mails et de vous avertir du phishing lorsque vous surfez. Il est important que vous mainteniez toujours votre programme de protection antivirus à jour afin que le logiciel puisse également détecter les dernières astuces de phishing.