[Part.4] Quels sont les différents types de phishing ?

img-post
Blog
Cybersécurité

Rédigé par colas Bonvicini , 7 juin 2024

Il existe en effet plusieurs types d’hameçonnage comme le phishing par e-mail, par appel téléphonique, par SMS, par QR Code ou encore celui dans votre agenda… L’ingénierie sociale développée par les pirates informatiques risque de voir apparaitre encore de nouveau types de phishing dans le futur.

En attendant, vous pourrez retrouver dans notre article une liste des 11 types phishing allant des plus connus aux moins fréquents et aux émergeants.

1. Le phishing par e-mail

L’e-mail phishing qui est le type de phishing le plus utilisé, est à l’origine de toutes les déclinaisons d’hameçonnages qui existent aujourd’hui. Tout se passe donc par courrier électronique, avec le schéma classique.

Un e-mail imitant une source fiable ou institutionnelle vous invite à cliquer sur un lien ou régler un montant en saisissant vos coordonnées bancaires. Le but peut être de récupérer vos données personnelles, de récupérer vos données bancaires ou de vous faire faire une transaction sur un compte tout en vous faisant croire que vous agissez pour le compte d’un tier de confiance.

La falsification d’un e-mail provenant d’une source réputée pour diffuser un e-mail de phishing est aussi appelée clone-phishing.

2. Le smishing, ou l’hameçonnage par SMS

Contraction des mots « SMS » et « phishing », le smishing est technique répandue qui consiste à envoyer un message sur un téléphone portable avec un SMS, qui contient un lien frauduleux et/ou un numéro de téléphone à rappeler, généralement en urgence.

3. Le vishing, ou l’hameçonnage vocal

Contraction des mots « voice » et « phishing », le vishing est déclinaison par appel téléphonique du phishing. 

Pour réaliser un vishing, les cybercriminels utilisent des numéros de téléphone frauduleux, ils peuvent aussi utliser des logiciels pour modifier leur voix, des messages texte ou encore des techniques d’ingénierie sociale pour inciter les utilisateurs à divulguer des informations sensibles. Le but reste le même, vous amener à dévoiler des informations personnelles ou vos coordonnées bancaires. 

Exemple : Vous recevez un appel de la part d’un salarié chez Microsoft ou de votre Antivirus vous indiquant que vous êtes en ce moment, victime d’un antivirus. Pour résoudre ce problème, il vous faut absolument mettre à jour votre système, et/ou réinstaller votre antivirus.

Ce qui est faisable dès maintenant avec votre faux agent au téléphone, moyennant un paiement en ligne, pour lequel il aura besoin de vos coordonnées bancaires. 

L’occasion pour le pirate de prendre vos coordonnées bancaires, et, d’installer un logiciel malveillant (Malware) sur votre PC pour vous voler ensuite plus de données.

4. Le whaling, ou l’hameçonnage de « gros poisson »

Contraction des mots « whale » qui signifie baleine en anglais et de « phishing », le whaling est un type de phishing qui ciblent la plus part du temps les entreprises, et plus particulièrement, les ressources situées au plus haut niveau de l’organigramme, à savoir les PDG, directeurs financiers ou autres directeurs ayant de grandes responsabilités, et idéalement, accès aux comptes de la société.

Exemple : un e-mail reçu stipule que l’entreprise du destinataire est poursuivie en justice.

Le destinataire doit alors cliquer sur le lien contenu dans cet e-mail afin d’obtenir plus d’informations. Le clic sur le lien redirige alors le destinataire vers un faux site officiel, ou devront être remplis le numéro d’identification fiscale, le numéro de compte bancaire etc, dans le but de régulariser la situation de l’entreprise et de payer une amende pour annuler les fausses poursuites.

5. Le spear phishing, ou « Harponnage »

Le harponnage est une méthode pour faire une attaque de phishing. Pas d’e-mail envoyé en masse cette fois, l’attaque est très ciblée. Cette attaque est méthodique et peu d’ailleurs s’organiser en groupe de pirates. Il s’agit plus généralement d’une attaque sur un haut fonctionnaire, ou des personnes détenant des secrets d’état, des secrets industriels. 

Basée sur de l’espionnage, le ou les pirates vont donc s’introduire dans le système informatisé d’une personne pour connaitre ses pratiques de connexion, ses recherches, ses temps de connexion, ses habitudes en ligne, son emploi du temps etc. 

La compréhension de la cible va permettre au pirate ou à son groupe de définir l’angle le plus efficace pour hameçonner la victime, et lui faire dévoiler les informations confidentielles qu’il détient en fonction de multiples variables. Les pirates vont mêmes jusqu’à infiltrer les réseaux sociaux pour observer quels sont les centres d’intérêts de leur cible, quelles sont ses préoccupations personnelles, ses points de vigilance etc.

6. Le spamdexing, ou phishing par moteur de recherche

Contraction du mot « spam » et du mot « index » pour l’indexation sur les moteurs de recherches, cette pratique frauduleuse consiste à vous amener sur un site frauduleux lors de votre recherche sur internet, en indexant en premier résultat de recherche, son lien frauduleux.

Une fois attiré sur un faux site internet, toutes les interactions avec les liens ou les pages qui en font partie sont exploitables par les pirates. Ils peuvent d’ailleurs se faire passer pour le chatbot du site pour que vous communiquiez toujours plus d’informations sur vous, pour récolter des données sensibles ou des données bancaires par exemple.

Ces sites pirates peuvent se faire passer pour n’importe quel site web, mais la tendance se porterait vers les imitations de site des banques, les imitations de site pour le transfert d’argent, avec des liens piégés qui devraient vous conduire vers les réseaux sociaux, ou encore les faux sites d’achat en ligne.

7. L’hameçonnage sur les réseaux sociaux

Le but est de capter les victimes depuis des réseaux sociaux tels que Facebook, Instagram, Twitter ou encore LinkedIn, soit pour vous faire cliquer au mauvais endroit et voler vos données personnelles, ou bien pour prendre le contrôle de votre propre compte sur les réseaux sociaux, et donc, usurper votre identité.

8. Le quishing, ou le phishing par QR Code

Ce petit dernier, qui a été plus fortement repéré en fin d’année 2023, est une aubaine pour les pirates puisque le QR code, aussi appelé flashcode s’est très largement démocratisé suite à la pandémie de Covid-19. On peut le retrouver sur les tables de nos restaurants, dans les musées, sur des affiches publicitaires, des brochures et des plaquettes commerciales, lors de salons et même au dos de certaines cartes de visite…

Pour les pirates, ce nouveau format par QR code présente une opportunité supplémentaire, celui de passer plus facilement à travers les mailles de filtres anti-spam ou anti-phishing.

Ce qui change vraiment d’un autre type de phishing c’est le format, puisque l’arnaque débute non pas sur le net ou avec un format digital, mais sur papier. L’hameçon est donc du print.

Il y a deux types de Quishing dont on entend un peu plus parlé que les autres :

a. Le faux QR code lié au paiement d’une amende pour stationnement

Vous avez eu la surprise de recevoir une amende de stationnement sous votre essuie-glace, avec un petit papier qui a tout d’une reproduction officielle, et naturellement, un QR code pour payer votre amende en ligne. Pour régler votre faux PV, vous vous rendrez alors sur un site non officiel qui ressemble en tout point au site amendes-gouv.fr, où votre parcours de paiement vous conduira à payer votre amende directement vers le compte d’un fisher.

b. Le faux QR code lié au paiement d’une borne de recharge aux véhicules électriques

Une fois encore, cette arnaque au QR code est très difficilement détectable. Si vous disposez d’un véhicule électrique, il est fort probable que vous ayez eu à recharger votre véhicule ailleurs qu’à votre domicile.

Sur les places de stationnement où se trouvent des bornes de recharges électrique, vous avez donc pour habitude de payer à la borne depuis votre smartphone. A l’aide d’un QR code apposé à la station de recharge elle-même, vous paierez depuis votre mobile la recharge de votre véhicule sur un site prévu à cet effet, et la recharge de votre véhicule sera censé se faire dans un laps de temps adéquat.

Et si le stickers où se trouve le QR code était recouvert de son jumeau malfaisant ? Et si ce QR code ainsi que le site vers lequel vous étiez redirigé depuis votre mobile étaient eux aussi des copies exactes de ceux que vous avez pour habitude d’utiliser pour recharger votre véhicule ?

Vous paierez donc en toute quiétude votre recharge électrique, et la transaction ne se fera non pas sur le compte du fournisseur de votre station de recharge électrique mais bien vers celui d’un pirate. Aussi, vous n’aurez naturellement pas mis en service la borne rechargeable (qui s’active suite à un paiement), et votre véhicule électrique ne sera pas du tout rechargé.

9. Le phishing du faux rendez-vous dans votre agenda

Ce type de phishing ne porte pas encore de nom mais on pourrait s’appeler le meetphishing (ou encore le meetshing ?).

Cela consiste à vous envoyer directement une invitation dans votre agenda. Ce dernier comportant un lien frauduleux, vous devez absolument vous assurer que cette source est connue par vous-même avant de l’accepter en vérifiant le lien (s’il ne comporte pas une suite aléatoire de chiffres et de lettres, le nom d’un expéditeur inconnu, un début ou une terminologie étrange etc.).

Ces invitations peuvent concerner tous les types d’appareils, allant de Google Meet à votre Smartphone.

Si jamais vous avez un doute, ne cliquez pas sur ce lien, n’acceptez pas le rendez-vous, et bloquez immédiatement l’expéditeur.

10. Le BEC – Business E-mail Compromise

Les attaques BEC sont un type de phishing par courrier électronique dans lequel un dirigeant d’entreprise ou un autre représentant est usurpé. Il peut invoquer une situation urgente et vous demander d’agir immédiatement (cliquer sur un lien, envoyer des informations). Il est très différent des autres types de phishing puisqu’en plus d’être ciblé, il n’est pas doté d’un malware, d’un lien ou d’une pièce jointe corrompue.

Cette demande va probablement à l’encontre de la politique de sécurité de l’entreprise et du bon sens, mais le faux sentiment d’urgence vise à vous faire paniquer et agir avant de réfléchir.

11. L’EAC – Email Account Compromise

L’EAC est une attaque qui vise à compromettre le compte de messagerie d’un utilisateur, puis à accéder à sa boîte de réception par divers techniques d’ingénierie sociale. Une fois le compte de messagerie compromis, l’attaquant l’utilisera ensuite pour envoyer des e-mails de phishing aux contacts de l’utilisateur dans le but de voler des données, des fonds et des informations personnelles et sensibles.

Vers une Europe cybersolidaire, le Conseil de l'Europe et le Parlement Européen ont tranché.
Le 6 mars 2024 marquera l'accord politique conclu entre le Parlement européen et le Conseil de l'Union Européenne sur la loi sur la cybersolidarité (Cyber Solidarity Act). Motivée en grande partie par la hausse des cyberattaques depuis le début de la guerre aux portes de l'Europe, la législation de l’Union Européenne sur la cybersolidarité a été motivée par l'ensemble des 27 pays membres de l'UE en faveur d'une cyberrésilience européenne (Cyber Resilience Act). Lire l'article