Les 4 commandements du phishing — N° 1 : De tous les e-mails tu te méfieras.

Ce message est le premier d’une série de 4 qui mettra en lumière les principaux aspects du phishing (ou hameçonnage). L’objectif est de mettre en évidence les risques considérables qui y sont associés et de vous fournir des outils efficaces pour identifier les dangers afin (espérons-le !) de réussir à les éviter. Nous pensons qu’il s’agit de l’un des rares aspects de l’existence où la paranoïa doit être de mise.

« Dans cette course effrénée, tout le monde est coupable jusqu’à prouver son innocence ! »

Bette Davis (All About Eve, 1950)

Dans le monde en ligne, les apparences sont souvent trompeuses. 

Les comptes personnels de messagerie sont régulièrement piratés par des cybercriminels utilisant des bots automatisés qui attaquent en force pour deviner les mots de passe. Une fois ces comptes légitimes piratés, les cybercriminels ont accès aux listes de contacts et envoient des e-mails malveillants à des personnes ne se doutant de rien. Des sites Web populaires peuvent être clonés et modifiés pour inclure du contenu malveillant avec lequel les visiteurs interagiront. Des profils sur les médias sociaux peuvent être facilement créés pour piéger des cibles avec un contenu dangereux.

En résumé, nous sommes MazeBolt_Phishing_Simulator_Blog_Image_1_Resizedexposés à un grand risque si nous partons du principe que les e-mails ou d’autres moyens de communication numériques sont authentiques. Penser connaître l’expéditeur ne fait qu’aggraver la situation.

Le profilage des personnes n’a jamais été aussi facileMazeBolt_Social_Media_Image_2

Une part en constante augmentation de nos activités quotidiennes se reflète en ligne par le nombre croissant de plateformes de réseaux sociaux telles que : Facebook, LinkedIn, Google +, Twitter, Instagram et Pinterest, pour ne nommer que celles-ci. Notre famille, nos amis, nos connaissances et nos collègues publient des messages et des tweets, transmettent des contenus ou taguent d’autres personnes, même si nous ne le faisons pas. Avez-vous déjà cherché votre nom dans Google, c’est surprenant non ?

La quantité de renseignements personnels disponibles en ligne aujourd’hui est ahurissante, qu’il s’agisse de photos personnelles, de lieux associés à des photos (via la géolocalisation), du parcours personnel ou professionnel, d’informations au sujet d’amis, de la famille et de connaissances, de hobbies, de modes de vie, d’événements et de succès... Tout y est.

Combien de fois Facebook vous a-t-il proposé de taguer une connaissance dans une photo publiée par quelqu’un d’autre ?

Il faut aussi mentionner les outils de reconnaissance faciale et d’images qui permettent aux cybercriminels de reconstituer le puzzle complet d’un profil personnel. Être en mesure de profiler des cibles à ce niveau de détail permet aux cybercriminels de tout connaître d’une personne, et d’en deviner le point faible à utiliser pour réussir une attaque de phishing.

L’évolution de la communication numérique.

Avec l’évolution de la technologie et de la communication numérique,MazeBolt_Phishing_Simulator_Blog_Image_3_Resized depuis les e-mails jusqu’aux messageries instantanées, en passant par les chats et les blogs, le phishing adopte désormais de nombreuses formes différentes avec une créativité toujours plus poussée. Toute forme de communication numérique peut être manipulée pour en faire un vecteur d’attaque de type phishing. Ces attaques peuvent prendre la forme d’e-mails de « spear phishing » (harponnage) qui ciblent des personnes, d’un « chat phishing » sur les plateformes de réseaux sociaux et d’un « water hole » (attaque de point d’eau) sur des blogs. Chacune d’entre elles sera expliquée dans les prochains articles du blog.

Alors, que faire face à cet état de fait alarmant ?

Tout d’abord, nous ne pensons pas que les gens devraient s’abstenir d’utiliser les réseaux sociaux. Bien que le contexte de la communication numérique et des réseaux sociaux présente des défis et des dangers, il existe de nombreux moyens d’améliorer la sensibilisation et d’élaborer une « paranoïa saine » dans le comportement en ligne.

Seuls les paranos survivent

Nous espérons que ce message explique clairement les raisons pour lesquelles il faut se méfier de toutes les formes de communication numérique. Nous nous concentrerons dans les trois articles suivants sur les trois piliers du phishing, ce qui vous aidera à vous y retrouver et à vous sentir plus serein. Pour conclure, nous vous laissons réfléchir au sujet de cette citation d’Andy Grove, l’un des PDG légendaires d’Intel : « Seuls les paranos survivent ». Et nous sommes bien d’accord.

Picture of Yair Melmed

About Yair Melmed

Yair is Vice President of Business Development & Operations at MazeBolt. He brings more than 20 years of Account Management, Business Development & Finance experience and excels in rapid growth environments. Most recently, Yair spent five years in the homeland security industry where he established and led the Account Management team for multi-billion dollar projects. Yair holds an MBA from INSEAD, Fontainebleau and a B.A in Philosophy & Economics from the University of Haifa, and enjoys early morning open water swimming.