Principaux types d’attaques de phishing à surveiller

Les attaques de phishing sont plus dangereuses que jamais, coûtant en moyenne 4,88 millions de dollars aux particuliers et aux entreprises par violation, selon IBM. En plus des pertes financières, les attaques de phishing représentent une menace très réelle pour la réputation, la confiance perçue, la stabilité émotionnelle et la vie privée des personnes touchées.

En comprenant les différents types d’attaques de phishing et leur fonctionnement, les individus et les organisations peuvent mieux s’équiper des outils et des informations dont ils ont besoin pour se protéger. Suivez cette ressource pour obtenir un aperçu de toutes les attaques de phishing que vous pouvez rencontrer dans votre vie personnelle et sur votre lieu de travail, avec des conseils pratiques pour identifier et bloquer les attaques.

Pour plus d’informations sur l’évolution des attaques de phishing, consultez ces ressources sur le phishing amélioré par l’IA et sur la façon de détecter et de se protéger contre les attaques par IA.

L’hameçonnage est un type de cyberattaque dans lequel des acteurs malveillants tentent d’accéder à des informations sensibles telles que des numéros de carte de crédit, des informations d’identité et des identifiants de connexion, ou d’inciter les cibles à télécharger des logiciels malveillants. Selon le rapport sur les tendances en matière de phishing de Hoxhunt, 80 % des campagnes de phishing visent à voler des informations d’identification sensibles.

Les attaquants exploitent une variété de canaux pour atteindre leurs publics cibles, et bien que l’e-mail soit le plus populaire, environ 40 % des campagnes de phishing s’étendent désormais au-delà de ce canal (Phishing Trends Report). Les attaques les plus sophistiquées utilisent plusieurs canaux et techniques pour obtenir des informations sensibles.

Ce format d’attaque de phishing relativement nouveau met en évidence la puissance de l’IA pour générer un contenu convaincant qui trompe efficacement les destinataires. Les vidéos deepfake sont un type d’attaque de phishing où les attaquants utilisent des clips audio ou vidéo générés par l’IA de personnes de confiance, incitant les destinataires à révéler des informations sensibles ou à transférer des fonds.

Impact réel : Selon Forbes, « les cas de phishing et de fraude deepfake ont augmenté de 3 000 % ». Cette augmentation des attaques de phishing deepfake a un impact sur de vraies personnes et entreprises.

À Hong Kong, un employé de la finance a été amené à verser 25 millions de dollars à des attaquants en se faisant passer pour le directeur financier de son entreprise après avoir assisté à un appel vidéo généré par l’IA (CNN). L’attaquant a exploité la technologie vidéo deepfake pour se faire passer pour plusieurs autres membres du personnel de confiance, faisant croire à l’employé cible qu’il s’agissait d’un appel légitime. Il ne s’agit pas non plus d’un cas isolé de ciblage d’employés de la finance. Un récent rapport de Medus a révélé que les équipes financières sont ciblées de manière disproportionnée par les attaques de phishing deepfake : 53 % des professionnels de la finance ont été ciblés par des attaques de phishing deepfake et 43 % ont admis avoir été victimes de l’attaque.

Protégez-vous avec cette astuce : soyez à l’affût de tout contenu vidéo non naturel ou « parfait » que vous consommez. Une peau extra lisse, un manque de texture, des reflets qui semblent mal placés et un son qui semble trop net sont autant d’indicateurs que vous pourriez interagir avec une vidéo deep fake générée par l’IA.

Les tentatives de phishing par e-mail sont envoyées par e-mail et incitent souvent les cibles à ouvrir une pièce jointe ou à cliquer sur un lien malveillant.

L’hameçonnage par e-mail, bien que courant, peut être incroyablement dangereux. Les e-mails d’hameçonnage qui imitent les agences et les représentants du gouvernement ont augmenté de 35 % depuis 2024 (Phishing Trends Report) et tirent parti de la confiance et de l’autorité que ces agences ont sur le grand public, en les incitant à prendre des mesures dangereuses.

Protégez-vous grâce à cette astuce : si vous recevez un e-mail qui vous semble suspect, vérifiez d'abord l'adresse e-mail de l'expéditeur. Si son adresse e-mail comporte un domaine mal orthographié ou n’est clairement pas associée à la personne ou à l’agence qu’elle prétend être, ignorez-la. Des fautes de frappe ou de grammaire dans le contenu de l’e-mail peuvent également indiquer une attaque de phishing. Enfin, passez la souris sur les liens avant de cliquer pour confirmer la destination.

Lors d’attaques de phishing par SMS ou par SMS, les acteurs malveillants ciblent les individus par SMS ou d’autres applications de messagerie comme Whatsapp ou Slack. Ces types d’attaques de phishing sont également incroyablement courants, car ils incitent généralement les destinataires à effectuer une action, comme cliquer sur un lien ou virer de l’argent.

Protégez-vous avec cette astuce : si un message indique un sentiment d’urgence, essayez de contacter l’expéditeur via des canaux vérifiés avant de suivre les instructions.

Le quishing, ou hameçonnage par code QR, est une attaque dans laquelle des acteurs malveillants utilisent des codes QR apparemment légitimes pour inciter des personnes à visiter des sites Web de phishing ou à télécharger des logiciels malveillants. Ce type d’attaque de phishing peut tromper même les experts les plus sécurisés en raison de la prévalence des codes QR dans notre monde moderne. Les codes QR apparaissent sur des affiches, des panneaux d’affichage, des e-mails, même des menus de restaurants !

Protégez-vous avec cette astuce : ne scannez jamais un code QR provenant d’une source non fiable. Si vous scannez un code QR à partir d’un menu ou d’un autre élément physique, assurez-vous qu’il s’agit de l’original et que vous ne scannez pas un autocollant placé au-dessus du code QR réel.

Les attaques de phishing vocal utilisent des appels téléphoniques ou des mémos vocaux pour accéder à des informations sensibles telles que les informations d’identification, les numéros de carte de crédit et les numéros de sécurité sociale. Une fois obtenues, ces informations sont souvent utilisées pour usurper l’identité d’individus ou voler leurs comptes bancaires. Ces attaques peuvent également être difficiles à identifier lorsque des acteurs malveillants se font passer pour des agences gouvernementales ou des institutions financières.

Protégez-vous avec ce conseil : faites attention à toutes les émotions qui surgissent lorsque vous parlez avec quelqu’un au téléphone. Cette personne a-t-elle fait appel à votre désir inné d’aider ? Vous ont-ils offert quelque chose en retour, par exemple une part des fonds ? Ces stratégies d’ingénierie sociale indiquent généralement une escroquerie par hameçonnage.

Le contenu des médias sociaux, y compris les publicités ciblées, les messages directs (DM), les comptes et les publications organiques, peut également être utilisé comme attaques de phishing. Les attaquants peuvent créer des profils de comptes de médias sociaux fabriqués avec des images de personnes ou de produits réels pour inciter les victimes à révéler des informations sensibles, à payer pour de fausses offres ou à télécharger des logiciels malveillants.

Protégez-vous avec cette astuce : vérifiez l’identifiant du compte utilisateur d’un profil avant de cliquer sur un lien fourni ou d’envoyer des informations. Le compte est-il vérifié et utilise-t-il l’orthographe attendue ? Si le pseudo est suspect, n’interagissez pas avec le compte.

Il existe plusieurs stratégies d’attaque par hameçonnage basées sur le navigateur qui sont déployées par des acteurs malveillants.

Une attaque BitB (browser-in-the-browser) exploite une fausse fenêtre de navigateur pour convaincre les utilisateurs qu’ils interagissent avec un site légitime. Cette fenêtre de navigateur stimulée est hébergée dans le navigateur réel à l’aide de HTML et de CSS pour reproduire le site. Cette technique réplique généralement une fenêtre d’authentification unique pour inciter les utilisateurs à fournir leurs identifiants de connexion.

Protégez-vous avec cette astuce : si la fenêtre ne se redimensionne pas, cela peut indiquer une fausse fenêtre et être une source d’inquiétude.

Un système d’archivage dans le navigateur (AitB) exploite un domaine .zip et convainc les utilisateurs qu’ils ouvrent un fichier de confiance directement dans leur navigateur. Une fois ouverte, les utilisateurs peuvent être invités à interagir avec la fausse archive, déclenchant des téléchargements de logiciels malveillants ou des attaques de fausses pages de connexion.

Protégez-vous avec cette astuce : méfiez-vous des domaines de .zip site Web et ne cliquez pas sur les liens provenant d’expéditeurs inconnus.

Une attaque de phishing de type « spray-and-pray » cible un large éventail de destinataires, en supposant qu’un petit pourcentage de victimes tombera dans le piège. Ce type d’attaque comporte souvent un contenu générique et n’est pas adapté ou personnalisé pour certains groupes de personnes. Bien que le phishing par pulvérisation ne soit pas aussi efficace que les cyberattaques de spear phishing en raison de sa nature générique, il peut tout de même présenter de graves risques pour les personnes touchées.

Protégez-vous avec cette astuce : évitez tout message contenant des fautes de grammaire, des fautes de frappe ou des liens suspects.

Les cyberattaques de spear phishing sont très ciblées et personnalisées pour un individu spécifique ou un petit groupe de personnes. Ces attaques ciblent souvent le destinataire sur plusieurs canaux, en exploitant les informations recueillies sur la personne en ligne. Ces informations peuvent être collectées à partir de diverses sources, notamment des comptes de médias sociaux, des sites Web d’entreprise et des sites de courtage de données. Les attaquants peuvent également se faire passer pour des sources fiables pour rendre le message plus crédible.

Le spear phishing étant hautement personnalisé, les destinataires sont beaucoup plus susceptibles de tomber dans le piège de l’escroquerie et de partager des informations confidentielles, comme des informations d’identification, ou de télécharger des logiciels malveillants.

Protégez-vous avec cette astuce : Limitez ce que vous partagez sur vous-même et votre famille en ligne ! Rendez les comptes de médias sociaux privés lorsque cela est possible et envisagez des offres qui suppriment toutes les informations et données sensibles que vous pourriez avoir en ligne.

Les attaques de phishing se présentent sous de nombreuses formes, notamment par e-mail, SMS, appels téléphoniques, réseaux sociaux, appels vidéo, etc. En reconnaissant ces attaques et en prenant des précautions pour vous protéger, tout le monde peut rester en sécurité en ligne.

Malheureusement, même les experts en sécurité les plus aguerris peuvent être trompés par les attaques de phishing. Avec Bitwarden, bénéficiez d’une protection renforcée contre le phishing avec les fonctionnalités suivantes :

• Prise en charge des clés d’accès pour l’authentification résistante au phishing

• Remplissage automatique des identifiants uniquement sur les sites de confiance associés aux connexions

• Lancez directement le site Web associé à partir des éléments de connexion enregistrés

De plus, améliorez votre posture de sécurité globale en générant des mots de passe uniques pour chaque compte et en les stockant dans le gestionnaire de mots de passe Bitwarden chiffré de bout en bout. Créez votre compte gratuit dès aujourd’hui ou commencez avec un essai professionnel gratuit.