Spearing, Whaling, Angling, BEC, CEO Fraud – ce sont tous des hameçonnages sous n’importe quel autre nom. L’hameçonnage a évolué, tout comme les noms qui l’accompagnent. Ce qui ne change pas vraiment, c’est que les attaques ont tendance à jouer sur les émotions et les désirs humains. Voici quelques exemples d’hameçonnage et les motivations dont profitent les « hameçonneurs » pour amener les gens à cliquer.

Vœux pieux : l’arnaque du prince

Probablement l’escroquerie originale par courriel, et c’est un exemple d’hameçonnage qui est malheureusement devenu synonyme de Nigeria, l’escroquerie The Prince ou 419 répand un large filet dans le but d’attirer l’utilisateur de courriel sans méfiance, solitaire et peut-être de jeu. Le vœu pieux suivait crédulement et envoyait une mise de fonds afin de libérer un montant beaucoup plus important.

Lonely Man : The Sexy Subject Line

S’attaquant aux tendances humaines, « Une belle femme veut te parler » suffit souvent à attirer l’attention d’une victime. Bien qu’il puisse être inoffensif d’ouvrir ce courriel, les choses tournent mal dès qu’un courriel est cliqué. Logiciels espions, rançongiciels, vol de données… vous l’appelez, c’est possible ici.

La peur de la bureaucratie : l’escroquerie fiscale

L’escroquerie fiscale continue de gagner en popularité auprès des escrocs, car les gains sont énormes. Il existe différentes formes d’escroqueries. Il y a l’attaque non ciblée à grande échelle qui demande souvent aux utilisateurs de mettre à jour les informations d’une manière ou d’une autre (souvent pour recevoir leurs remboursements). Il y en a cependant un plus sinistre, comme le W-2 qui permet aux criminels d’obtenir d’énormes volumes de données riches sur les employés en un seul coup. 870 organisations ont déclaré avoir reçu un courriel d’hameçonnage W-2, dont 200 ont perdu des données à cause de cette escroquerie. La peur et la crainte de la bureaucratie peuvent nous faire paniquer.

Action urgente : les arnaques PayPal

De nombreuses escroqueries utilisent la stratégie d’action urgente pour amener les utilisateurs à fournir des renseignements hautement confidentiels. Souvent en utilisant des domaines usurpés ou similaires , l’e-mail sera formaté comme prévu, et les différences, en particulier l’expéditeur et le domaine de réponse, ne seront que légèrement différentes. L’arnaque PayPal d’action urgente dira quelque chose comme « jusqu’à ce que vous le fassiez (vide), votre compte sera suspendu ». Avec urgence, comme on le voit dans de nombreuses escroqueries, la victime se sentira obligée d’agir et ne se demandera pas si le courriel est légitime. Et avec PayPal, on parle d’un accès facile à l’argent pour l’escroc.

Action de routine : La réinitialisation du mot de passe de Gmail (ou autre)

Qui peut oublier l’attaque du DNC de Fancy Bear? Il n’est pas exagéré de dire que cela a changé le cours de l’histoire – ok, l’histoire à court terme. En utilisant une stratégie d’usurpation similaire à celle d’un PayPal, il vous dira ironiquement que parce qu’il semble qu’une tentative malveillante d’accéder à votre compte ait été faite, vous devez réinitialiser votre mot de passe. Le reste, comme on dit, appartient à l’histoire.

Interface utilisateur inconnue : l’hameçonnage de Netflix

Une version légèrement différente des modèles précédents, c’est probablement plus efficace en raison de la confiance dans la marque, mais aussi parce qu’il est sans prétention. La plupart de notre expérience avec l’administration de Netflix est définie et oubliée. Nous recevons une facture tous les mois, mais nous avons rarement besoin de nous connecter. Donc, n’ayant pas de relation étendue avec elle, et donc moins susceptibles de repérer des irrégularités (appelez-le le facteur « clignement des yeux ») lorsque le courriel nous demande de réinitialiser notre mot de passe ou nos informations de facturation, nous sommes moins susceptibles de penser de manière critique. Une fois que nous avons franchi cette étape de l’hameçonnage et que le hameçonneur a franchi la porte, obtenir plus d’informations, comme des informations de carte de crédit mises à jour, se heurte malheureusement à peu de résistance.

Cupidité des Fêtes : le rabais Amazon

Dans la même veine que les précédents, celui-ci joue à la fois sur la cupidité et souvent sur la manne du magasinage des Fêtes. Offrant des rabais intéressants, des cartes-cadeaux gratuites ou autres, ces courriels similaires montent en flèche pendant les Fêtes et font trop de victimes.

Confiance dans l’autorité : fraude du BEC et du PDG

Exemple vraiment effrayant d’hameçonnage, la compromission des courriels d’affaires (BEC ou CEO Fraud) profite d’une pression élevée et d’un environnement de travail rapide combiné à notre confiance en l’autorité. L’escroquerie demande une action immédiate et semble provenir d’une personne ayant le pouvoir de la demander, comme un fournisseur, un avocat, un gestionnaire ou un PDG. Compte tenu de la nature routinière de ces demandes dans de nombreuses entreprises, elles ne sont souvent qu’un coup d’œil rapide. Elle est souvent accompagnée d’appels téléphoniques et de stratégies avancées d’ingénierie sociale.

« Qui l’aurait cru » : la facture en tant que pièce jointe malveillante

Une attaque d’hameçonnage par l’intermédiaire d’une pièce jointe? La plupart des gens ne savent pas que cela devrait être une préoccupation. Mais c’est trop facile. Une fois le fichier téléchargé, un code malveillant peut être installé sur votre ordinateur et obtenir toutes sortes d’informations sensibles. Cela peut installer un exploit zero-day, un enregistreur de frappe ou toutes sortes de menaces sinistres.

Jouer sur le désespoir : l’astuce de « trouver mon iPhone »

Outre une croyance encore trop répandue selon laquelle les produits Apple n’attrapent pas de virus, celui-ci est intéressant parce qu’il profite des personnes dans un état vulnérable. Le scénario (avec de nombreuses situations similaires) est essentiellement une recherche désespérée pour récupérer votre iPhone , vous essayez n’importe quel site Web qui promet de livrer. Il en va de même pour la récupération de fichiers supprimés ou de téléchargements sous-recherchés à partir de sites non sécurisés.

[highlight_sc bg_color= »#21c2f8″ text_color= »#ffffff » border_color= » »]Voici une liste rapide de 7 éléments pour repérer un courriel d’hameçonnage :[/highlight_sc]

1. Il ne s’agit pas d’un courriel dans un modèle ou un format que vous avez déjà reçu
2. Il demande une action que vous n’avez jamais faite auparavant
3. Il demande des informations confidentielles (aucune entreprise légitime ne le ferait dans un courriel).
4. Le domaine ressemble à un domaine officiel, mais a un modificateur étrange
5. Il n’y a pas le nom de la marque dans l’adresse courriel.
6. Les fautes d’orthographe sont un signe certain (les escrocs n’ont peut-être pas l’anglais comme langue maternelle et auront rarement des correcteurs!)
7. Pièces jointes avec des noms bizarres ou zippées.

Et surtout… Assurez-vous d’avoir une protection ciblée contre l’hameçonnage!