Connaissez-vous les attaques de phishing les plus courantes ?

Une deuxième attaque de phishing Wikipédia est un exemple de techniques d’ingénierie sociale utilisées pour tromper les utilisateurs. Il s’agit principalement de tentatives frauduleuses d’obtention d’informations personnelles telles que des mots de passe, des coordonnées bancaires, des adresses personnelles et des noms d’utilisateur en se faisant passer pour un élément crédible dans les communications électroniques.

Le phishing vise généralement à inciter la victime à fournir des informations sensibles en obtenant des informations d’identification ou en téléchargeant des logiciels malveillants pour infecter le système. Il existe différents types d’attaques de phishing et vous devez connaître ces attaques pour vous assurer que vos informations sont en sécurité.

Hameçonnage

Hameçonnage

Ce type de phishing repose entièrement sur la personnalisation ; au lieu de cibler tout un groupe de personnes, les attaquants se concentrent sur une personne pour pénétrer dans le système. La victime est généralement recherchée principalement via les réseaux sociaux : de cette manière, les informations envoyées par l’escroc sont personnalisées pour convaincre la victime qu’elle a un lien. L’escroc utilise ensuite cette vulnérabilité pour persuader la victime de cliquer sur une URL ou une pièce jointe malveillante qui mène à l’accès aux données.

Hameçonnage trompeur

Les escrocs ont trouvé des moyens de créer de faux sites Web qui pourraient ressembler exactement à l’original d’une entreprise ou d’une organisation. Le site Web usurpé utilisera alors des menaces et un sentiment d’urgence pour inciter la victime à fournir des informations qui pourraient conduire à fournir des identifiants de connexion ou des informations personnelles. Un exemple serait un e-mail demandant à un titulaire de compte de vérifier les écarts dans son compte, mais le lien redirige vers une URL malveillante. Les connexions VPN fournies avec des détecteurs de sites Web malveillants peuvent aider à lutter contre ce type de phishing.

Pêche à la baleine

Imaginez ce qui arriverait aux informations d’une entreprise si un pirate informatique accédait aux identifiants de connexion des cadres supérieurs. Ce type d’hameçonnage est spécifiquement conçu pour cibler les personnes les plus importantes d’une organisation généralement connue sous le nom de « gros poisson ». Un cadre supérieur tel qu’un PDG sera très probablement en mesure d’accéder à de nombreuses informations sur l’entreprise, donc le profilage et l’obtention de ses informations d’identification conduiront facilement à accéder à de nombreuses informations sensibles.

pharmaceutique

Les méthodes de phishing traditionnelles commencent à échouer, les escrocs changent donc de tactique et utilisent désormais le pharming. Ce mode d’attaque résulte de l’empoisonnement du cache du système des noms de domaine. Ce qui se passe normalement, c’est qu’Internet utilise des serveurs DNS pour convertir les noms de sites Web alphabétiques en adresses IP numériques utilisées pour localiser les services et les appareils. En cas d’empoisonnement du cache DNS, l’attaquant cible un serveur DNS et modifie l’adresse IP associée au nom alphabétique d’un site Web, ce qui permet à l’attaquant de rediriger les utilisateurs avec le nom de site Web correct vers des sites Web malveillants. La chose la plus dangereuse à propos de ce type de phishing est que l’utilisateur n’a pas à cliquer sur une encre malveillante ou à télécharger un logiciel malveillant.

Compromis de messagerie professionnelle (BEC)

Recevoir un e-mail de votre PDG concernant des transactions financières peut amener un employé à agir en conséquence, mais cela peut n’être que le travail d’un escroc. L’idée est de cibler les employés du service financier ou comptable. L’attaque prend généralement la forme d’un e-mail qui semble provenir du collègue compromis et car les escrocs sont susceptibles d’avoir étudié les processus et procédures de l’entreprise ; ils sont susceptibles de pouvoir tromper l’employé.

Vishing

Avez-vous déjà reçu un message vocal de votre « banque » vous demandant d’appeler un numéro pour vérifier vos données ou votre code PIN ? Eh bien, vous venez peut-être d’être en contact avec un escroc. Le vishing est à la base un phishing mais au téléphone, donc en utilisant la voix. Le numéro fourni pour appeler sonne généralement directement sur le téléphone de l’attaquant via le service de voix sur IP, et la divulgation des informations conduira à l’accès aux données.

Cloner l’hameçonnage

Vous devez être très méfiant lorsque vous recevez un message similaire à celui que vous avez reçu précédemment mais avec une pièce jointe différente. Les attaquants sont connus pour cloner des messages légitimes antérieurs pour persuader les victimes de cliquer et d’ouvrir des pièces jointes malveillantes. Ils pourraient également avoir une explication de la raison pour laquelle le message a dû être renvoyé. Un attaquant peut également utiliser un site Web cloné avec un domaine usurpé pour obtenir un meilleur accès.

Conclusion

L’hameçonnage est l’une des formes les plus courantes de cyberattaques et démontre clairement que tout employé ou individu peut être utilisé pour accéder au système. Les organisations et les individus peuvent être vulnérables à ce qui précède et il est recommandé qu’ils s’intéressent beaucoup à la sécurité collaborative. La formation des utilisateurs doit être au premier plan de toute personne souhaitant protéger ses informations. Investir dans un bon logiciel antivirus pour tous les appareils, déployer régulièrement des mises à jour de la base de données de virus ainsi que des mises à jour de sécurité publiées par un fournisseur de services Internet de confiance sont quelques-unes des façons de les protéger, elles ne protègent peut-être pas entièrement les informations sensibles, mais c’est un bon début pour assurer le même.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.