Dans son rapport annuel 2024 sur l’état de la fraude, Interpol évoque les modèles d’affaires de bandes organisées utilisant entre-autres le phishing comme business model[1].
En effet, le phishing reste une des techniques les plus insidieuses, et la menace s’est professionnalisée pour mieux faire croire à un email lié à une relation d’affaire existante.
D’où vient le terme phishing ?
Le terme « phishing » est un jeu de mots combinant les mots « password » et « fishing » (pêche en anglais), illustrant bien l’idée de lancer un appât pour attirer une proie et obtenir ses mots de passe.
En français, on utilise parfois le terme de « hameçonnage », mais la terminologie « phishing » s’impose dans les milieux experts.
Les premiers cas de phishing remontent aux années 1990, lorsque des fraudeurs ont commencé à envoyer des e-mails frauduleux pour inciter les utilisateurs à divulguer leurs informations personnelles et financières. Ces e-mails étaient souvent mal orthographiés et peu sophistiqués, bref, faciles à identifier, mais leur impact était déjà significatif.
Au-delà du simple mail, le phishing a évolué pour intégrer :
- Un design de l’email et du site web associé (landing page) beaucoup plus proche, voire identique à celui de l’entité sensée être représentée – des institutions légitimes telles que des banques, des entreprises ou des organisations gouvernementales
- En amont des données ciblées, souvent issues de vols de données, afin de personnaliser l’approche,
- En aval, un relais avec des techniques de social engineering proche du web call back – un centre d’appel prend le relais pour confirmer le mail envoyé et extorquer les informations confidentielles souhaitées.
Méthodes et techniques du phishing
Les fraudeurs utilisent une combinaison de méthodes intégrant :
- L’email frauduleux : Les fraudeurs envoient des e-mails prétendant être d’une institution légitime, demandant aux utilisateurs de cliquer sur un lien et de fournir leurs informations personnelles.
- SMS frauduleux : Les fraudeurs envoient des SMS frauduleux contenant des liens ou des demandes de renseignements personnels, dans le but de voler des informations sensibles. Il s’agit souvent de SMS liés à la livraison de colis.
- Sites Web de phishing : Les fraudeurs créent des sites Web frauduleux qui imitent parfaitement les sites légitimes, afin de tromper les utilisateurs pour qu’ils saisissent leurs identifiants de connexion ou leurs informations de paiement. Les emails et SMS envoyés précédemment pointent vers le site web pour donner une unité et vraisemblance.
Lutter contre le phishing
La territorialité des emails et sites web est souvent localisée en dehors de l’Europe, d’où la difficulté de trouver une juridiction compétente pour supprimer ces agissements.
Si les moyens de recours sont limités, il existe toutefois des mesures existantes pour se protéger :
- Sensibilisation et Formation : Les utilisateurs doivent être sensibilisés aux dangers du phishing et formés à reconnaître les signes d’une tentative d’hameçonnage. En particulier, vérifier les coordonnées de l’envoyeur (le nom de domaine de l’envoyeur est-il celui de l’entité qu’il est sensé représenter ? ) ainsi que du destinataire (êtes-vous destinataire en propre, ou bien en copie cachée ? )
- Filtrage des emails : Les filtres anti-phishing peuvent aider à détecter et à bloquer les e-mails frauduleux avant qu’ils n’atteignent la boîte de réception des utilisateurs. Il s’agit toutefois d’une solution imparfaite, certains emails réguliers se retrouvant parfois dans le dossier indésirables par excès de prudence.
- Vérification de l’URL : Les utilisateurs doivent toujours vérifier l’URL d’un site Web avant de saisir des informations sensibles, en s’assurant qu’il s’agit bien du site légitime.
En cas de doute, il ne faut jamais réaliser de paiement en urgence. Si un paiement a été réalisé avec une authentification sécurisée de type 3DS, cela risque de conduire la victime à faire opposition sur sa carte bancaire, car l’empreinte peut alors être utilisée pour réitérer le paiement de type abonnement.
Interrompre les transactions financières associées au phishing
Les transactions financières associées au phishing laissent souvent une signature que la solution Heptalytics détecte immédiatement. Dès lors les transactions peuvent être bloquées, et l’utilisateur final, victime d’une fraude, préservé.
[1] https://www.interpol.int/fr/Actualites-et-evenements/Actualites/2024/INTERPOL-Financial-Fraud-assessment-A-global-threat-boosted-by-technology
