Les raisons qui font que le phishing survit et prolifère même
Messagerie E-mail

Les raisons qui font que le phishing survit et prolifère même

Actuellement les techniques de phishing pour arnaquer les organismes et les individus se multiplient de plus en plus. Pour mieux comprendre les raisons qui font que ce soit le cas, deux chercheurs américains ont créé une expérience de phishing exprès pour voir ce qui marche le plus et pourquoi. Se mettre à la place des escrocs pourrait peut-être aider à maîtriser un peu plus le phénomène et ses dangers.

S’approprier le phénomène pour mieux le comprendre

Comme le phénomène de phishing n’est toujours pas maîtrisé pour être éradiqué, deux chercheurs américains ont cherché les points qui font qu’un e-mail de phishing soit efficace. En effet, le principe des arnaqueurs se base sur le fait de convaincre leur victime pour qu’ils leur fournissent des données sensibles telles que les coordonnées bancaires, mots de passe ou identifiants. Bien évidemment, ils n’ont pas fait l’expérience à l’insu de victimes lambda, ils ont fait appel à des volontaires qui ont été mis en situation. Certains de ces volontaires ont été briefés pour qu’ils créent des e-mails de phishing qu’ils devaient rédiger selon leur intuition ainsi que sur l’identité de l’expéditeur pour lequel ils vont se faire passer sans oublier le fameux lien qui aidera à récupérer les données. Avant d’agir, les chercheurs ont juste donné quelques pistes d’idées aux pseudo-arnaqueurs comme le fait que cela marchait plus lorsque les faiblesses des émotions humaines interviennent (cupidité, curiosité, obéissance à une autorité, urgence). A cet effet, ces faux escrocs se sont fait passer pour des amis ou des relations, proposant de l’aide ou informant les victimes d’une faille ou d’un problème, etc. Dans le but de s’assurer un résultat, les chercheurs ont proposé des points aux pseudo-escrocs en cas de réussite du phishing (un millier de points était égal à un dollar).

L’influence de l’administration, un piège qui marche souvent

En face des pseudo-escrocs, il faut qu’il y ait bien sûr des pseudo-victimes. Dans le but d’assurer la neutralité des résultats, ces derniers ont été briefés par les chercheurs comme quoi ils assisteraient à une simple expérience sur la façon de gérer leur courriel. Ils n’avaient aucune idée du fait que c’était une expérience de phishing. À cet effet, ils ont reçu vingt e-mails dont la moitié était inoffensive et l’autre moitié dangereuse avec des liens permettant un phishing. Cela a permis de découvrir que les attaques sous forme de promesse de gain comme les loteries, de bonnes occasions ou de vente de produits qui nécessitent l’inscription du destinataire de l’e-mail pour en profiter n’étaient pas très efficaces. L’arnaque semblait trop évidente aux yeux des pseudo-victimes. Au contraire les e-mails sévères et à caractère sérieux comme venant d’une administration ou tout autre type d’autorité (à l’exemple des impôts, etc.) fonctionnaient beaucoup plus. À côté de cela, le fait de se faire passer pour un proche se défend pas mal aussi comme technique. En d’autres termes, les e-mails proposant aux destinataires de profiter de quelque chose comme de l’argent ou une bonne occasion ne sont pas aussi efficaces que les e-mails comprenant des avertissements pour un problème sur l’e-mail, les coordonnées ou mots de passe et qui nécessite le remplissage d’un formulaire en ligne via le lien inclus dans le courriel. Toutefois, il est répété à de nombreuses reprises par les experts en sécurité que les banques, sites de commerce électronique, administrations, services en ligne quels qu’ils soient ne font jamais de telles demandes.

- 29 mars 2018 - 1680 Views