Vous recevez un email d’un collaborateur de l’entreprise haut placé demander de régler une facture sur un compte précis. Vous renseignez les informations administratives et bancaires de l’entreprise. Plus tard, vous découvrez que le compte en question était celui d’un arnaqueur et que les données de l’entreprise subtilisées ont été utilisées de façon frauduleuse. Ce scénario typique correspond à un cas d’attaque phishing. Découvrez tout ce qu’il y a à savoir sur cette escroquerie en ligne, comment réagir et comment vous en protéger.
Qu’est-ce que le phishing ?
La définition du phishing (ou hameçonnage) est qu’il s’agit d’un type d’arnaque en ligne qui vise aussi bien les particuliers que les entreprises. Les campagnes de phishing consistent à récupérer vos informations personnelles afin d’en faire un usage malveillant.
Voici le type d’informations collectées :
- Civilité,
- Nom et prénom,
- Date et lieu de naissance,
- Adresse,
- Informations bancaires (carte, numéro de compte, etc.),
- Identifiants d’accès sécurisés et spécifiques au sein de l’entreprise (la comptabilité, etc.)
- Données médicales, etc.
Spam vs. phishing
Bien que le spam et l’attaque phishing constituent de réelles nuisances, ils diffèrent tant par la méthode employée que par la gravité.
Le spam est une action commerciale qui consiste principalement à envoyer des emails non sollicités afin de promouvoir des produits ou des services. Il peut parfois s’agir d’arnaques (par exemple, un produit commandé qui n’est jamais envoyé), mais l’email de spam en tant que tel n’est pas dangereux.
En revanche, la gravité d’une attaque phishing peut être bien plus conséquente. Ces menaces malveillantes ont pour but de vous amener à renseigner des coordonnées personnelles et autres données sensibles. Il s’agit purement d’une escroquerie, sans visée commerciale comme c’est le cas pour le spam.
Comment fonctionne le phishing ?
Voici comment fonctionne généralement une attaque phishing :
- Vous recevez un email frauduleux se faisant passer, par exemple, pour un supérieur hiérarchique, un collègue, le responsable des Ressources Humaines, etc.
- L’email vous informe d’une situation exceptionnelle et qui requiert votre attention : une facture impayée, des informations et données sensibles manquantes, etc.
- L’email contient un lien frauduleux sur lequel vous devez cliquer pour régler la situation
- Vous arrivez sur un site ou un logiciel contrefait
- Un formulaire vous demande de renseigner plusieurs informations et potentiellement d’autres données sensibles
- Les données sont volées et utilisées de façon malveillante
Quels sont les effets du phishing ?
Les effets d’une attaque phishing dépendent des informations collectées frauduleusement : par exemple, si les identifiants bancaires ont été subtilisés, des achats et virements peuvent être réalisés via le compte bancaire et les cartes de l’entreprise.
Les conséquences d’une attaque phishing peuvent être toutefois plus larges que des pertes financières. Les fraudeurs peuvent par exemple accéder à la base fournisseur et collecter les données, ce qui fait que des tiers sont impactés. La relation entre l’entreprise et les fournisseurs peut donc s’en trouver dégradée.
En fonction de la gravité d’une campagne de phishing, la réputation de l’entreprise peut également être entamée ; par exemple, dans le cas d’un vol massif de données.
Enfin, si des informations sensibles ont été volées, par exemple les données médicales de consommateurs, la responsabilité légale de l’entreprise peut être engagée.
Quels sont les différents types d’arnaques au phishing ?
Les types d’arnaques d’une attaque phishing diffèrent en fonction qu’elles visent des particuliers ou des entreprises.
Pour les particuliers, on retrouve principalement :
- L’arnaque à la fausse facture (facture impayée) ;
- L’arnaque à la conservation du compte (compte bloqué ou sur le point d’être supprimé) ;
- L’arnaque au remboursement (remboursement en votre faveur) ;
- L’arnaque au nouveau service (activation d’une nouvelle fonctionnalité) ;
- L’arnaque au compte bancaire (blocage de la CB).
Il existe également des cas de phishing se focalisant sur un service utilisé par de nombreux utilisateurs, comme PayPal, Google ou LinkedIn.
Les entreprises sont également victimes de types spécifiques d’attaque phishing :
- L’email d’un individu haut placé : un fraudeur usurpe l’identité d’un supérieur hiérarchique ou du dirigeant d’entreprise et vous contacte pour obtenir des renseignements confidentiels ;
- L’email de notification : une erreur a été détectée dans un logiciel de l’entreprise, vous devez vous connecter (via un lien frauduleux) et donc indiquer des informations sensibles pour résoudre le problème ;
- L’email de partage de document : un arnaqueur se fait passer pour un collègue et vous envoie un lien pour partager des documents et informations qu’il réclame.
Vecteurs de phishing : bien plus que de simples emails
D’après une enquête de Proofpoint, 83% des entreprises interrogées ont subi au moins une attaque phishing réussie par email en 2021. L’email demeure en effet le moyen de contact privilégié des fraudeurs.
Néanmoins, récemment, de nouveaux vecteurs ont été mis en place sous l’impulsion conjointe de la technologie et de l’ingénierie sociale. L’ingénierie sociale consiste à se renseigner sur une personne afin de pouvoir la manipuler à des fins malveillantes.
Cette approche de l’attaque phishing est donc davantage personnalisée. L’arnaqueur peut recourir à des solutions technologiques, comme les deepfakes, afin de gagner la confiance de son interlocuteur. Il peut aussi commettre d’autres cybercrimes pour faciliter son attaque, par exemple un hacker exploitant les vulnérabilités dans la cyberdéfense de l’entreprise.
Stratégies de phishing courantes
Le spear phishing est la stratégie d’attaque phishing la plus répandue : d’après le SANS Institute, c’est la technique employée dans 95% des cas d’attaque par phishing réussies. Elle consiste à cibler une personne spécifique en se renseignant au préalable. De cette façon, le fraudeur peut personnaliser son email de phishing et ainsi obtenir plus facilement la confiance de la personne visée. C’est un exemple évident d’ingénierie sociale comme on en parlait précédemment.
Un dérivé du spear phishing est le whaling (littéralement « chasse à la baleine »), qui consiste à cibler personnellement le dirigeant de l’entreprise. Celui-ci détient évidemment de nombreuses informations confidentielles pouvant être utilisées à des fins malveillantes.
Le pharming est une stratégie d’attaque phishing moins employée, car plus technologique, mais tout aussi pernicieuse. Elle consiste à infecter le système informatique d’un collaborateur de l’entreprise ou le réseau DNS de cette dernière. Ensuite, quand l’utilisateur tape une URL, le programme malveillant (malware, chevaux de Troie) le renvoie vers un faux site à l’apparence similaire au site officiel. S’il s’agit d’une banque, par exemple, le collaborateur peut ainsi être amené à saisir des identifiants bancaires qui seront ensuite utilisés de manière frauduleuse.
Quelques exemples d’attaques de phishing
Quels sont les emails les plus courants ?
Les attaques malveillantes de phishing les plus courantes émanent de prétendues entités publiques, comme la Caf ou les impôts. Pour une entreprise, il peut aussi s’agir d’une prétendue communication de l’URSSAF.
La plupart des emails, néanmoins, se font passer pour quelqu’un de l’entreprise ou qui y est lié. De cette façon, ce sont bien les données de l’entreprise qui peuvent être collectées, et non pas (seulement) les données personnelles de la personne visée.
A quoi ressemble un email de phishing ?
Un email de phishing reprend souvent les éléments suivants :
- L’identité visuelle de l’organisme ou de la personne usurpée : un faux email de notification peut par exemple reprendre le logo et les couleurs du logiciel ;
- Des informations personnelles : le nom et le prénom, le statut au sein de l’entreprise, etc. C’est là qu’intervient l’ingénierie sociale.
- Un lien frauduleux : le lien apparaît distinctement, comme une URL (en bleu). Il peut aussi s’agir d’un bouton, par exemple « S’identifier »
Comment gérer les emails de phishing ?
Quand vous avez repéré un email de phishing, classez-le immédiatement comme « spam » et signalez-le à l’opérateur de votre service de messagerie.
Vous pouvez ensuite effectuer un signalement d’attaque phishing :
- Sur le site Phishing Initiative, une base de données permettant de bloquer l’accès aux sites frauduleux ;
- Aux services de police sur le site Pharos
Principaux conseils de prévention contre le phishing
Pour vous protéger contre une attaque phishing, analysez les emails reçus et repérez les signaux d’alerte, comme des fautes d’orthographe. Dans le doute, ne cliquez pas sur le lien.
Il est également recommandé de procéder manuellement. Par exemple, si l’email vous invite à vous connecter sur un site web, saisissez l’adresse officielle du site dans votre navigateur. Si quelqu’un se fait passer pour un collaborateur de l’entreprise, contactez le collègue en question en rédigeant un email à part (et non pas en réponse au potentiel email frauduleux).
La prévention reste votre meilleure arme contre une attaque phishing. C’est aussi pourquoi il est recommandé de mener des actions de prévention au sein de l’entreprise.
Evitez le phishing grâce à un logiciel de cybersécurité
Un logiciel de cybersécurité peut détecter les potentielles tentatives d’attaque phishing et vous alerter. Une telle solution est d’autant plus efficace en entreprise, au sein de laquelle tous les collaborateurs peuvent potentiellement être ciblés pour accéder à des renseignements confidentiels.
Votre entreprise peut adopter Trustpair, la plateforme nouvelle génération de gestion des risques tiers contre la fraude au virement. Conçu pour les ETI et grandes entreprises, Trustpair a recours à l’Intelligence Artificielle (IA) afin de lutter contre la fraude au paiement B2B. Grâce à cette plateforme agile et collaborative, les Directions financières et équipes compliance optimisent le processus Procure-to-Pay et sécurisent les relations avec les tiers de l’entreprise.
