Ne mordez pas à l’hameçon : Reconnaître et prévenir les attaques par hameçonnage - ITSAP.00.101

Types d’hameçonnage

Les tentatives d’hameçonnage prennent souvent la forme d’un envoi massif de messages généraux en apparence légitimes et en provenance d’une source de confiance (par exemple, une banque, un magasin en ligne, un service de messagerie, ou une entreprise de service public). Les auteurs de menace tirent souvent avantage des crises, des conflits et des événements mondiaux pour lancer des attaques par hameçonnage contre des personnes, des institutions financières, des entités gouvernementales et des secteurs des infrastructures essentielles.

Il existe plusieurs types d’hameçonnage.

Hameçonnage trompeur

L’hameçonnage trompeur est l’un des types d’attaques les plus courants qui se produit lorsqu’une ou un cybercriminel prétend être une entreprise légitime afin de voler vos renseignements personnels ou vos justificatifs d’ouverture de session. L’auteur de menace peut vous envoyer un lien menant vers un site Web frauduleux qui imite de près un site officiel, en utilisant des fautes d’orthographe intentionnelles qui sont presque identiques à une adresse URL légitime. Les auteurs de menace peuvent aussi envoyer un code QR, ce qui rend plus difficile pour les victimes potentielles de détecter les attaques.

Les techniques courantes d’hameçonnage trompeur comprennent ce qui suit :

• Exploitation des homographes : les auteurs de menace utilisent des caractères de divers alphabets (par exemple, cyrillique ou grec) qui sont presque identiques aux lettres latines standards, mais qui sont codés différemment. Par exemple, dans « www.аррle.com », les lettres « a » et « p » ressemblent aux lettres latines équivalentes, mais proviennent de l’alphabet cyrillique.
• Typosquattage : les auteurs de menace consignent les noms de domaines qui comprennent souvent des fautes d’orthographe de sites Web bien connus, en exploitant les erreurs de frappe de manière à ce que les victimes potentielles ne remarquent pas toujours qu’elles sont sur le mauvais site.
• Sous-domaines en apparence légitimes : les auteurs de menace prennent le contrôle d’un sous-domaine qui n’est plus utilisé activement par sa ou son propriétaire légitime ou créent des sous-domaines qui imitent des sous-domaines légitimes (par exemple, « login.google.com.example.com » au lieu de « login.google.com »), souvent en utilisant des noms, des logos ou des éléments de marque qui sont semblables à ceux qui sont légitimes.

Harponnage

Le harponnage est une attaque personnalisée qui cible une personne, une entreprise ou une organisation en particulier. Le message contient des détails personnels concernant la victime potentielle, comme ses champs d’intérêt, ses récentes activités en ligne ou ses récents achats.

Chasse à la baleine (Whaling)

La chasse à la baleine est une attaque personnalisée qui vise les gros « poissons », comme une ou un PDG ou une ou un cadre. Un auteur de menace choisit ces cibles pour tirer avantage de leur niveau d’autorité et d’un possible accès à l’information la plus sensible ou à des sommes d’argent considérables.

Hameçonnage par code QR (Quishing)

L’hameçonnage par code QR est une attaque par hameçonnage qui utilise des codes QR. L’auteur de menace peut envoyer un code QR par courriel, couvrir un code QR légitime avec un code QR malveillant ou placer un code QR malveillant dans un endroit public ou très achalandé. La victime numérise le code QR, ce qui la redirige vers un site Web malveillant. L’hameçonnage par code QR peut contourner le mécanisme de sécurité mis en place pour analyser les pièces jointes et les liens malveillants.

Hameçonnage par message texte (SMS)

Une attaque par hameçonnage par SMS utilise un service d’envoi de messages courts (SMS) trompeurs, aussi appelés « messages texte », afin de manipuler les victimes pour les amener à divulguer des renseignements personnels sensibles, comme des renseignements bancaires, des numéros de carte de crédit ou des justificatifs d’ouverture de session.

Hameçonnage vocal (Vishing)

Fraudes et arnaques par téléphone qui visent à inciter les gens à divulguer des renseignements sensibles. Un auteur de menace peut simuler ou usurper l’information d’identification de l’appelant ou utiliser un changeur de voix pour faire croire aux victimes qu’il s’agit d’un appel légitime. Les voix générées par l’intelligence artificielle (IA) peuvent ressembler à celles des membres de votre famille ou à celles de vos amies et amis.

Les stratagèmes d’hameçonnage vocal peuvent aussi cibler la voix de la victime. Dans un tel cas, l’auteur de menace collecte un échantillon de la voix de la victime pour commettre des fraudes (par exemple, l’utilisation de l’échantillon aux fins d’authentification vocale pour accéder à un compte).

Hameçonnage par les médias sociaux

L’hameçonnage par les médias sociaux est une cybermenace émergente qui tire profit des plateformes de médias sociaux pour publier de l’information attrayante, mais fausse, pour « attirer » les cibles à amorcer la communication. Les auteurs de menace peuvent usurper des marques ou des entreprises légitimes au moyen de faux comptes, de publications, de publicités ou de messages directs. Ils créent souvent de faux profils de soutien à la clientèle ou utilisent les interactions sur les médias sociaux (par exemple, répondre à des plaintes ou à des questions) pour convaincre les utilisatrices et utilisateurs de cliquer sur des liens malveillants, de consulter des sites Web contrefaits ou de divulguer des renseignements personnels.

Il s’agit d’une puissante attaque, car la cible communique en premier avec l’auteur de menace (contournant ainsi les préoccupations liées à la confiance) et fournit une interaction active et immédiate, plutôt qu’une interaction passive et différée.

Cyberimposture (Catfishing)

La cyberimposture se produit généralement sur des plateformes en ligne, comme des sites Web de rencontre. L’auteur de menace crée une fausse identité ou un personnage pour gagner la confiance de la cible en vue de l’escroquer ou de l’extorquer. L’auteur de menace (la cyberimpostrice ou le cyberimposteur) trouve généralement des excuses pour éviter toute interaction en personne. L’une des formes les plus communes de cyberimposture consiste à faire croire à la victime qu’elle est dans une relation amoureuse en ligne.

Détournement de domaine (Pharming)

Le détournement de domaine est une technique plus avancée dans le cadre de laquelle des cybercriminelles et cybercriminels tentent de rediriger les utilisatrices et utilisateurs vers de faux sites Web qui semblent identiques à des sites Web légitimes, comme des sites bancaires en ligne, des plateformes de commerce électronique ou des réseaux de médias sociaux. L’objectif de ces attaques est d’inciter les utilisatrices et utilisateurs à fournir des renseignements personnels ou sensibles, comme des noms d’utilisateur, des mots de passe ou des numéros de cartes de crédit.

Alors que l’hameçonnage repose sur les courriels ou les messages pour inciter les utilisatrices et utilisateurs à fournir des renseignements personnels, le détournement de domaine utilise des maliciels ou manipule les systèmes de noms de domaine (DNS pour Domain Name System) pour rediriger les utilisatrices et utilisateurs vers des sites Web frauduleux conçus pour recueillir leurs renseignements personnels.

Hameçonnage et intelligence artificielle

L’IA transforme rapidement le contexte de la cybersécurité, en introduisant de meilleures capacités de défense et de nouveaux moyens d’exploitation. Une menace émergente préoccupante est l’utilisation de l’IA pour automatiser et raffiner les attaques par hameçonnage. L’IA améliore l’efficacité des attaques par hameçonnage et réduit le temps et les efforts nécessaires aux auteurs de menace pour mener ces attaques.

Les récents progrès de l’IA générative rendent plus difficile pour les utilisatrices et utilisateurs de détecter les tentatives d’hameçonnage. L’IA générative peut être utilisée pour produire du contenu très réaliste, y compris du texte, des images, des vidéos et du contenu audio. Le contenu est meilleur et plus réaliste, ce qui rend plus difficile la distinction entre les communications légitimes et les communications frauduleuses.

En utilisant l’IA, les auteurs de menace peuvent recueillir et analyser des données publiques sur des cibles potentielles, leur permettant ainsi de concevoir des messages hautement personnalisés de chasse à la baleine et de harponnage.

Ces messages peuvent être personnalisés pour refléter les intérêts personnels, les activités en ligne, les liens familiaux ou les relations professionnelles, ce qui augmente considérablement la probabilité que des victimes interagissent avec les auteurs de menace.

L’IA joue aussi un rôle crucial dans le renforcement de notre cyberdéfense. Des systèmes de détection d’intrusion sophistiqués basés sur l’IA peuvent analyser de grands volumes de données, évaluer le comportement des utilisatrices et utilisateurs, examiner les métadonnées et le contenu des messages, et détecter les anomalies pouvant révéler l’existence d’une menace. Ces systèmes permettent une détection et une atténuation plus rapides et plus exactes des tentatives d’hameçonnage ou d’autres risques en matière de cybersécurité. Au fur et à mesure que le contexte des menaces évolue, les organisations doivent continuer à investir dans la technologie de l’IA et la sensibilisation de l’IA pour garder une longueur d’avance sur les attaques de plus en plus sophistiquées.

Comment détecter une attaque par hameçonnage

Les attaques par hameçonnage peuvent être distribuées de diverses façons, mais elles reposent toutes sur la confiance, l’urgence et d’autres aspects psychologiques humains. La peur, l’excitation, l’autorité, la curiosité et la confiance pourraient être des réactions à un message d’hameçonnage. Les attaques par hameçonnage suivent généralement une séquence similaire. Le fait de reconnaître les étapes suivantes peut aider à protéger votre organisation contre l’hameçonnage.

Étape 1 : L’appât

Comme il est indiqué ci-dessus, il existe de nombreuses façons pour les auteurs de menace de poser l’appât. Ils peuvent concevoir un message qui semble provenir d’une banque ou d’un fournisseur de services bien connus. Ils utilisent des techniques de mystification et envoient le message à plusieurs destinataires dans l’espoir que certaines personnes mordent à l’appât.

Dans le cas d’une attaque par hameçonnage ou d’une chasse à la baleine, l’auteur de menace collecte d’abord les détails sur la cible. Il pourrait, par exemple, recueillir l’information tirée des profils de médias sociaux, des sites Web d’une entreprise et de l’activité Internet pour créer un message personnalisé.

En ce qui concerne les attaques par hameçonnage vocal, l’auteur de menace pourrait utiliser un composeur automatique informatisé (appel automatisé) ou une voix générée par l’IA d’une personne connue pour acheminer le message frauduleux à de nombreuses victimes.

Étape 2 : L’hameçon

L’hameçonnage se produit lorsque la victime croit que le message provient d’une source de confiance et que le message contient de l’information incitant la victime à prendre des mesures immédiates. Par exemple, le message peut demander à l’utilisatrice ou utilisateur de résoudre un problème urgent lié à son compte.

Si la victime clique sur le lien dans le message, elle sera redirigée à son insu vers la fausse version d’un site Web réel, qui a été créée par l’auteur de menace. La victime fournit de l’information sensible, comme ses justificatifs d’ouverture de session, et celle-ci est ensuite transmise à l’auteur de menace. Si la victime ouvre une pièce jointe infectée, son dispositif peut être infecté par un code malveillant si ce dernier s’exécute.

Étape 3 : L’attaque

Les auteurs de menace peuvent utiliser des justificatifs d’identité volés pour accéder aux comptes des victimes. Ils peuvent utiliser un compte de courriel infiltré pour envoyer plus de courriels d’hameçonnage aux contacts de la victime. Si la victime a un accès privilégié (p. ex. à un réseau, à un système ou à un compte d’une organisation ou entreprise), l’auteur de menace pourrait avoir accès aux données sensibles ou aux systèmes essentiels de l’organisation.

Si un auteur de menace réussit à déployer un maliciel sur les systèmes ou réseaux de votre organisation, il peut l’utiliser pour obtenir le contrôle des dispositifs, voler des données ou refuser l’accès à des fichiers—par exemple, en les chiffrant — jusqu’à ce qu’une rançon soit payée.

Caractéristiques de l’hameçonnage

Même si l’IA rend difficile la détection de certaines caractéristiques de l’hameçonnage, comme des fautes d’orthographe ou un ton robotisé, il existe d’autres signes à surveiller.

Il pourrait y avoir anguille sous roche si :

• la demande de l’expéditeur est urgente et vous devez respecter une échéance;
• l’expéditeur vous demande de fournir de l’information personnelle ou confidentielle;
• l’expéditeur vous demande d’ouvrir une session par l’intermédiaire du lien fourni;
• l’offre semble trop belle pour être vraie;
• la communication est non sollicitée et comprend ce qui suit :
  • Pièces jointes
  • Liens vers des sites Web ou des formulaires Web (peut-être trafiqués)
  • Codes QR
  • Pages de connexion
  • Allégation que l’expéditeur est un représentant du gouvernement ou d’une institution financière
• vous ne reconnaissez pas l’expéditeur.
  • N’oubliez pas que les adresses peuvent être usurpées.
  • Un expéditeur connu n’est pas nécessairement un expéditeur de confiance.

Comment protéger votre organisation contre l’hameçonnage

Vous pouvez protéger l’information et l’infrastructure de votre organisation contre les attaques par hameçonnage en faisant ce qui suit :

• utiliser une technologie anti-hameçonnage de confiance, comme le résolveur DNS du Bouclier canadien de l’Autorité canadienne pour les enregistrements Internet (CIRA);
• utiliser un logiciel anti-hameçonnage conforme au protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) (en anglais seulement);
• sauvegarder l’information de manière à toujours en avoir une copie;
• appliquer les mises à jour logicielles et les correctifs;
• bloquer les adresses IP, les noms de domaines et les types de fichiers reconnus pour être malveillants;
• favoriser les interactions en personne, en utilisant de l’argent comptant et en vous rencontrant au bureau dans la mesure du possible (les auteurs de menace essayeront de trouver des moyens d’éviter les interactions en personne);
• mettre en place des protocoles et des procédures que vos employées et employés pourront adopter pour vérifier les communications suspectes à l’interne;
• utiliser l’authentification multifacteur (AMF) sur tous les systèmes, surtout les comptes organisationnels de médias sociaux partagés;
• mettre à jour le plan d’intervention en cas d’incident de votre organisation de manière à ce qu’il fasse mention de la façon d’intervenir si vous faites l’objet d’une attaque par hameçonnage.

Vos employées et employés peuvent réduire les risques d’être victimes d’une attaque par hameçonnage en faisant ce qui suit :

• demeurer clame (l’hameçonnage repose sur la création du sentiment d’urgence);
• éviter d’envoyer de l’information sensible par courriel ou par message texte;
• réduire la quantité de renseignements personnels qu’ils publient en ligne;
• activer un anti-spam dans leurs paramètres d’application de leur dispositif mobile;
• éviter d’utiliser tout moyen de réponse simplifié (hyperliens, codes QR ou réponse à des messages texte suspects);
• filtrer les pourriels (courriels indésirables envoyés en bloc);
• vérifier la légitimité de l’expéditeur en communiquant avec l’expéditeur par l’intermédiaire d’un canal séparé. Par exemple, si vos employées et employés reçoivent :
  • un appel de leur banque, ils peuvent raccrocher et visiter ou appeler leur succursale locale;
  • un courriel de leur fournisseur d’accès Internet, ils peuvent communiquer avec le fournisseur de services par l’intermédiaire de son formulaire Web;
  • un message texte d’une entreprise ou d’un fournisseur sur leur téléphone, ils peuvent y répondre en envoyant un courriel à partir de leur ordinateur.
• éviter les SMS par radiocommunication, les appels éclair (un appel presque instantané qui est automatiquement transféré vers un numéro de téléphone mobile) et les SMS comme méthode d’authentification multifacteur.

Formation et sensibilisation

Les employées et employés devraient comprendre à quel point il est important de protéger leur information personnelle et celle de l’organisation. Les employées et employés qui ne connaissent pas les signes d’une attaque de piratage psychologique pourraient révéler de l’information, sensible ou non. Sans le savoir, ils pourraient infecter les réseaux, les systèmes et les dispositifs de l’organisation.

Les attaques par hameçonnage ont moins de chance de réussir lorsque votre effectif est informé et qu’il a reçu les formations sur comment gérer les renseignements personnels, comme la formation sur la sensibilisation à la sécurité et à la confidentialité et celle sur les pratiques exemplaires en cybersécurité. Les organisations devraient mener des simulations d’hameçonnage internes pour que les membres du personnel comprennent mieux les risques. Ces simulations aideront les employées et employés à détecter et à prévenir les attaques par hameçonnage dans un environnement sécurisé.

Les organisations peuvent discuter des mécanismes de protection contre l’hameçonnage vocal et l’hameçonnage par SMS avec leurs fournisseurs de services de télécommunications. Les opérateurs de réseau mobile sont souvent les mieux placés pour bloquer les tentatives avant que celles-ci n’atteignent les utilisatrices et utilisateurs.

Pour en savoir plus

• Sauvegarder et récupérer vos données (ITSAP.40.002)
• Application des mises à jour sur les dispositifs (ITSAP.10.096)
• Protéger l’organisme contre les maliciels (ITSAP.00.057)
• Sécurisez vos comptes et vos appareils avec une authentification multifacteur (ITSAP.30.030)
• Reconnaître les courriels malveillants (ITSAP.00.100)
• Directive de mise en œuvre – protection du domaine de courrier (ITSP.40.065 v1.1)
• Facteurs relatifs à la sécurité à considérer pour les codes QR (ITSAP.00.141)