Qu’est-ce que le phishing et comment s’en protéger ?

Vous recevez un email d’un collaborateur de l’entreprise haut placé demander de régler une facture sur un compte précis. Vous renseignez les informations administratives et bancaires de l’entreprise. Plus tard, vous découvrez que le compte en question était celui d’un arnaqueur et que les données de l’entreprise subtilisées ont été utilisées de façon frauduleuse. Ce scénario typique correspond à un cas d’attaque phishing. Découvrez tout ce qu’il y a à savoir sur cette escroquerie en ligne, comment réagir et comment vous en protéger. 

Trustpair vous protège des conséquences financières du phishing grâce à un contrôle continu des données financières. Contactez un expert pour en savoir plus !

Qu’est-ce que le phishing ?

La définition du phishing (ou hameçonnage) est qu’il s’agit d’un type d’arnaque en ligne qui vise aussi bien les particuliers que les entreprises. Les campagnes de phishing consistent à récupérer vos informations personnelles afin d’en faire un usage malveillant. 

Voici le type d’informations collectées : 

• Civilité,
• Nom et prénom,
• Date et lieu de naissance,
• Adresse,
• Informations bancaires (carte, numéro de compte, etc.),  
• Identifiants d’accès sécurisés et spécifiques au sein de l’entreprise (la comptabilité, etc.) 
• Données médicales, etc.

Spam vs. phishing

Bien que le spam et l’attaque phishing constituent de réelles nuisances, ils diffèrent tant par la méthode employée que par la gravité. 

Le spam est une action commerciale qui consiste principalement à envoyer des emails non sollicités afin de promouvoir des produits ou des services. Il peut parfois s’agir d’arnaques (par exemple, un produit commandé qui n’est jamais envoyé), mais l’email de spam en tant que tel n’est pas dangereux. 

En revanche, la gravité d’une attaque phishing en entreprise peut être bien plus conséquente. Cette arnaque malheureusement trop courante a pour but de vous amener à renseigner des coordonnées personnelles et autres données sensibles. Il s’agit purement d’une escroquerie, sans visée commerciale comme c’est le cas pour le spam. 

Comment fonctionne le phishing ?

Voici comment fonctionne généralement une ce type d’arnaque : 

1. Vous recevez un email frauduleux se faisant passer, par exemple, pour un supérieur hiérarchique, un collègue, le responsable des Ressources Humaines, etc. 
2. L’email vous informe d’une situation exceptionnelle et qui requiert votre attention : une facture impayée, des informations et données sensibles manquantes, etc. 
3. L’email contient un lien frauduleux sur lequel vous devez cliquer pour régler la situation
4. Vous arrivez sur un site ou un logiciel contrefait 
5. Un formulaire vous demande de renseigner plusieurs informations et potentiellement d’autres données sensibles
6. Les données sont volées et utilisées de façon malveillante

Quels sont les effets du phishing ?

Les effets d’une attaque phishing dépendent des informations collectées frauduleusement : par exemple, si les identifiants bancaires ont été subtilisés, des achats et virements peuvent être réalisés via le compte bancaire et les cartes de l’entreprise. 

Les conséquences d’une attaque phishing peuvent être toutefois plus larges que des pertes financières. Les fraudeurs peuvent par exemple accéder à la base fournisseur et collecter les données, ce qui fait que des tiers sont impactés. Ils peuvent aussi détourner les paiements des fournisseurs dans le cadre d’une fraude au faux fournisseur. Dans les deux cas, la relation entre l’entreprise et les fournisseurs peut donc s’en trouver dégradée.

En fonction de la gravité d’une campagne de phishing, la réputation de l’entreprise peut également être entamée. Une attaque assez courante consiste par exemple à un vol massif de données.  Si des informations sensibles ont été volées, par exemple les données médicales de consommateurs, la responsabilité légale de l’entreprise peut être engagée. 

Une forme de cyber-fraude est de plus en plus courante : il s’agit des attaques XSS. L’attaque XSS consiste en l’injection d’un script malicieux dans un site légitime. Une fois le script injecté, le script malicieux récupère les données sensibles sur le site. Ici, le phishing va être utilisé pour activer l’injection du script. L’utilisateur ciblé par l’arnaque au phishing va sans le savoir activer la charge XSS. Ce type d’attaque peut également être suivi d’emails de phishing: une fois les données récupérées sur le site légitime, le fraudeur les utilise pour réaliser des emails de phishing personnalisés.

Les types d’arnaques au phishing les plus courantes 

Les types d’arnaques d’une attaque phishing diffèrent en fonction qu’elles visent des particuliers ou des entreprises. 

Pour les particuliers, on retrouve principalement : 

• L’arnaque à la fausse facture (facture impayée) ;
• L’arnaque à la conservation du compte (compte bloqué ou sur le point d’être supprimé) ; 
• L’arnaque au remboursement (remboursement en votre faveur) ;  
• L’arnaque au nouveau service (activation d’une nouvelle fonctionnalité) ; 
• L’arnaque au compte bancaire (blocage de la CB). 

Il existe également des cas de phishing se focalisant sur un service utilisé par de nombreux utilisateurs, comme PayPal, Google ou LinkedIn.  

Les entreprises sont également victimes de types spécifiques d’attaque phishing : 

• L’email d’un individu haut placé : un fraudeur usurpe l’identité d’un supérieur hiérarchique ou du dirigeant d’entreprise et vous contacte pour obtenir des renseignements confidentiels. Il peut aussi ordonner un virement urgent – on parle alors de fraude au président.
• L’email de notification : une erreur a été détectée dans un logiciel de l’entreprise, vous devez vous connecter (via un lien frauduleux) et donc indiquer des informations sensibles pour résoudre le problème ;
• L’email de partage de document : un arnaqueur se fait passer pour un collègue et vous envoie un lien pour partager des documents et informations qu’il réclame. 

Vecteurs de phishing : bien plus que de simples emails

D’après une enquête de Proofpoint, 83% des entreprises interrogées ont subi au moins une attaque phishing réussie par email en 2021. L’email demeure en effet le moyen de contact privilégié des fraudeurs. 

Néanmoins, récemment, de nouveaux vecteurs ont été mis en place sous l’impulsion conjointe de la technologie et de l’ingénierie sociale. L’ingénierie sociale consiste à se renseigner sur une personne afin de pouvoir la manipuler à des fins malveillantes. 

Cette approche de l’attaque phishing est donc davantage personnalisée. L’arnaqueur peut recourir à des solutions technologiques, comme les deepfakes, afin de gagner la confiance de son interlocuteur. Il peut aussi commettre d’autres cybercrimes pour faciliter son attaque, par exemple un hacker exploitant les vulnérabilités dans la cyberdéfense de l’entreprise.

Stratégies de phishing courantes

Le spear phishing est la stratégie d’attaque phishing la plus répandue : d’après le SANS Institute, c’est la technique employée dans 95% des cas d’attaque par phishing réussies. Elle consiste à cibler une personne spécifique en se renseignant au préalable. De cette façon, le fraudeur peut personnaliser son email de phishing et ainsi obtenir plus facilement la confiance de la personne visée. C’est un exemple évident d’ingénierie sociale comme on en parlait précédemment. 

Un dérivé du spear phishing est le whaling (littéralement « chasse à la baleine »), qui consiste à cibler personnellement le dirigeant de l’entreprise. Celui-ci détient évidemment de nombreuses informations confidentielles pouvant être utilisées à des fins malveillantes. 

Le pharming est une stratégie d’attaque phishing moins employée, car plus technologique, mais tout aussi pernicieuse. Elle consiste à infecter le système informatique d’un collaborateur de l’entreprise ou le réseau DNS de cette dernière. Ensuite, quand l’utilisateur tape une URL, le programme malveillant (malware, chevaux de Troie) le renvoie vers un faux site à l’apparence similaire au site officiel. S’il s’agit d’une banque, par exemple, le collaborateur peut ainsi être amené à saisir des identifiants bancaires qui seront ensuite utilisés de manière frauduleuse. 

Quelques exemples d’attaques de phishing

Quels sont les emails les plus courants ?

Les attaques malveillantes de phishing les plus courantes émanent de prétendues entités publiques, comme la Caf ou les impôts. Pour une entreprise, il peut aussi s’agir d’une prétendue communication de l’URSSAF. 

La plupart des emails, néanmoins, se font passer pour quelqu’un de l’entreprise ou qui y est lié. De cette façon, ce sont bien les données de l’entreprise qui peuvent être collectées, et non pas (seulement) les données personnelles de la personne visée. 

A quoi ressemble un email de phishing ?

Un email d’arnaque au phishing reprend souvent les éléments suivants : 

• L’identité visuelle de l’organisme ou de la personne usurpée : un faux email de notification peut par exemple reprendre le logo et les couleurs du logiciel ;
• Des informations personnelles : le nom et le prénom, le statut au sein de l’entreprise, etc. C’est là qu’intervient l’ingénierie sociale. 
• Un lien frauduleux : le lien apparaît distinctement, comme une URL (en bleu). Il peut aussi s’agir d’un bouton, par exemple « S’identifier »

Comment gérer les emails de phishing ?

Quand vous avez repéré un email de phishing, classez-le immédiatement comme « spam » et signalez-le à l’opérateur de votre service de messagerie. 

Vous pouvez ensuite effectuer un signalement d’attaque phishing : 

• Sur le site Phishing Initiative, une base de données permettant de bloquer l’accès aux sites frauduleux ; 
• Aux services de police sur le site Pharos 

Principaux conseils de prévention contre le phishing

Pour vous protéger contre une attaque phishing, analysez les emails reçus et repérez les signaux d’alerte, comme des fautes d’orthographe. Dans le doute, ne cliquez pas sur le lien. 

Il est également recommandé de procéder manuellement. Par exemple, si l’email vous invite à vous connecter sur un site web, saisissez l’adresse officielle du site dans votre navigateur. Si quelqu’un se fait passer pour un collaborateur de l’entreprise, contactez le collègue en question en rédigeant un email à part (et non pas en réponse au potentiel email frauduleux). 

La prévention reste votre meilleure arme contre une attaque phishing. C’est aussi pourquoi il est recommandé de mener des actions de prévention contre le phishing au sein de l’entreprise. Cela peut aller de la simple formation à des simulations d’attaques de phishing.

Evitez le phishing grâce à des solutions dédiées

Certains outils de cybersécurité – anti-virus, pare-feux, etc – peuvent détecter les potentielles tentatives d’attaque phishing et vous alerter. Ces solutions sont efficaces, mais le sont encore plus si elles sont doublées d’une solution anti-fraude comme Trustpair, qui bloquera tout effet financier d’une arnaque au phishing. 

Votre entreprise peut adopter Trustpair, la plateforme nouvelle génération de gestion des risques tiers contre la fraude au virement. Conçu pour les grandes entreprises, Trustpair bloque les effets financiers des fraudes au virement. Grâce à cette plateforme agile et collaborative, les Directions financières et équipes compliance optimisent le processus Procure-to-Pay et sécurisent les relations avec les tiers de l’entreprise.