Qu’est-ce qu’une attaque de phishing?

[ware_item id=33][/ware_item]

Une illustration d'un morceau de papier avec un champ de nom d'utilisateur et de mot de passe dessus. Mais prends ça! C'est sur un hameçon! Lol.


Le phishing est de loin le «hack» le plus couramment utilisé pour voler des mots de passe, reprendre des comptes et entrer dans des systèmes sans autorisation. Il s'agit principalement d'une attaque d'ingénierie sociale, plutôt que d'un véritable hack au sens technique. En tant que tel, il est beaucoup plus difficile de se défendre contre.

L'hameçonnage peut se produire par n'importe quel canal: par téléphone, courrier électronique, page Web ou même en personne. En bref, c'est une tentative de vous inciter à révéler un secret (tel que votre mot de passe ou toute autre donnée).

Le mot phishing fait référence au terme pêche, comme dans «pêche aux mots de passe», et est peut-être un portemanteau de téléphone et de pêche. Il est également probablement lié à un terme de piratage précoce, le phreaking, car le phishing était déjà une tactique d'ingénierie sociale courante avant même la montée d'Internet..

Le symbole <>< a été utilisé pour signifier des informations volées ou phishing sur les forums en ligne, car il était difficile pour les bots de les détecter ou de les bloquer, grâce à sa ressemblance avec du code HTML valide.

Comment se défendre contre les attaques de phishing

Le cœur de toute attaque de phishing est généralement l'incapacité des humains à s'authentifier facilement. Souvent, les systèmes informatiques ne sont pas conçus avec des problèmes d'authentification à l'esprit, et il faut beaucoup d'efforts pour valider correctement les schémas de signature cryptographique.

Phishing par téléphone

La vérification de l'identité d'un appelant peut être difficile. Les numéros qui apparaissent sur l'ID de l'appelant sont faciles à usurper, donc même si le numéro de téléphone de la personne autorisée est connu ou enregistré dans le répertoire téléphonique, il n'y a aucune garantie que la personne de l'autre côté de la ligne soit qui elle dit être.

Seul le rappel du numéro est une preuve sûre qu'il appartient vraiment à l'appelant, mais même dans ce cas, il est important de vérifier le numéro en le recherchant sur Internet ou dans un annuaire téléphonique. Vous pouvez également le considérer comme vérifié s'il a été collecté en personne, par exemple via une carte de visite.

Les banques, les gouvernements ou les tribunaux ne vous appelleront presque jamais pour demander des informations personnelles. Si tel est le cas, demandez le nom, le titre et le service de l'appelant, puis rappelez-le avec un numéro public et disponible de cette institution..

Email

Les e-mails de phishing sont de loin la menace la plus courante. Les attaquants enverront des courriels d'apparence légitime d'institutions financières, d'organisations gouvernementales ou de systèmes génériques comme des loteries pour inciter un utilisateur à visiter son site Web..

Les attaquants peuvent créer un faux site Web bancaire, par exemple, qui semble assez réel et incitera l'utilisateur à entrer des informations personnelles. Un tel site de phishing peut demander des mots de passe, des détails de carte de crédit ou des informations personnelles génériques à utiliser dans des programmes de vol d'identité..

Le moyen le plus robuste pour vérifier l'authenticité est le PGP, bien que peu d'individus et de sites l'aient configuré.

En règle générale, il ne faut pas cliquer sur les liens dans les e-mails, surtout pas ceux dans une correspondance inattendue. Au lieu de cela, les utilisateurs doivent accéder directement au site Web et suivre les invites. Utilisez les formulaires sur le site Web pour communiquer avec le personnel de soutien.

Sites Internet

Les sites de phishing peuvent usurper l'identité d'un site que la victime visite régulièrement. Ils peuvent également être simplement utilisés pour inciter l'utilisateur à appeler un faux numéro de support client ou pour solliciter des informations de carte de crédit auprès des utilisateurs, par exemple en les informant d'un jackpot de loterie..

Les victimes de sites de phishing sont souvent dirigées vers les sites via quatre canaux distincts:

  • Courriels: "Vérification du compte requise."
  • Publicités: "Vous êtes l'heureux gagnant!"
  • Typo-squatting: googel.com au lieu de google.com
  • Moteurs de recherche: "Vous avez recherché votre banque, voici votre" banque ""

Pour éviter d'être victime d'un site de phishing, il est judicieux de toujours vérifier les URL des sites que vous visitez et, idéalement, de naviguer uniquement vers eux en utilisant des signets enregistrés..

L'utilisation d'une méthode d'authentification matérielle à deux facteurs est également un excellent moyen de vous protéger contre le phishing, bien que tous les sites ne le proposent pas. Certains gestionnaires de mots de passe peuvent également vous aider à identifier les sites de phishing, car ils ne remplissent automatiquement vos mots de passe que dans les sites qu'ils ont précédemment authentifiés.

Soyez prudent avec vos informations personnelles

Les e-mails vous poussant à «vérifier votre compte» ou à «garder votre compte ouvert» sont presque toujours des tentatives de phishing visant à contraindre les victimes à cliquer sur des liens et à saisir des informations à la hâte.

Lorsque vous recevez de tels e-mails ou appels téléphoniques, restez calme et attendez d'être de retour sur un appareil avec lequel vous êtes à l'aise, comme votre ordinateur de bureau à la maison ou votre smartphone principal..

Pour atténuer la vulnérabilité aux attaques de phishing, utilisez des signets, des gestionnaires de mots de passe et des jetons d'authentification à deux facteurs matériels. Et enfin, n'hésitez pas à vérifier les informations, et méfiez-vous toujours des e-mails, des publicités et des appels téléphoniques.

Qu'est-ce qu'une attaque de phishing?
admin Author
Sorry! The Author has not filled his profile.