Les différents types de phishing
Le phishing est une technique de piratage informatique ayant pour but de récupérer des informations personnelles pour perpétrer une usurpation d’identité. Les hackers utilisent des procédés allant des plus classiques aux moyens les plus inventifs. Outre le phishing par email le plus connu, voici d’autres types d’hameçonnages.
Le spearphishing
Si dans son cadre générique le phishing vise une attaque massive du public ou des entreprises, le spearphishing lance son filet sur des personnes en particulier. Autrement dit, cette technique d’hameçonnage cible un groupe spécifique de personnes, par exemple, des administrateurs système d’une entreprise. Pour ce faire, le pirate informatique use de l’ingénierie sociale pour usurper l’identité d’une personne, soit un collègue de travail, soit une relation professionnelle. Par la suite, il se fait passer pour un individu haut placé et se montre très convaincant en prétendant connaître sa victime. En général, ce type d’attaque prend la forme d’une stratégie Business Email Compromise. Le cybercriminel peut solliciter des virements bancaires ou modifier des informations bancaires.
Le whaling
Plus que le spearphishing, le whaling est une attaque encore plus ciblée. En principe, il vise les PSG, les directeurs financiers ou encore d’autres dirigeants d’industrie ou d’entreprise. Ici, l’attaquant envoie un email stipulant que l’entreprise est poursuivie. Il incite la victime à cliquer sur un lien pour avoir d’amples informations. En revanche, ce lien mène le dirigeant sur une page où il doit saisir diverses données personnelles et sensibles sur l’entreprise. Les numéros d’identification fiscaux et les comptes bancaires sont les plus sollicités.
Le smishing
Pour avoir l’attention de ces victimes, ce type de phishing s’attaque dans la messagerie textuelle ou SMS. La victime reçoit un message sur son téléphone. Celui-ci contient généralement un lien à cliquer ou un numéro à appeler. Dans la plupart des cas, le SMS semble provenir de la banque en indiquant que le compte bancaire de la personne a été corrompu. Il incite la victime à appeler rapidement pour résoudre le problème. Durant la conversation, l’attaquant peut lui demander de faire certaines vérifications, entre autres, le numéro de compte bancaire, le numéro de sécurité sociale, etc. Par la suite, il aura le contrôle du compte bancaire.
Le vishing
Il utilise toujours le même principe que le phishing, c’est-à-dire que l’assaillant cherche à obtenir des données à caractère personnel ou commercial sensible. Toutefois, l’attaque se fait par appel vocal. Le pirate peut, par exemple, se faire passer pour une personne qui travaille chez Microsoft. Il peut appeler en faisant croire et en expliquant à sa victime que l’ordinateur de celle-ci est attaqué par des virus. En pensant résoudre le problème, l’utilisateur accepte d’acheter un antivirus payant et communique les informations de sa carte bancaire dans le but d’obtenir rapidement la meilleure version à installer. En plus d’avoir reçu ces informations sensibles, le hacker a aussi réussi à convaincre la victime, à installer un malware sur son ordinateur. Il peut s’agir d’un cheval de Troie qui observe les activités en ligne ou encore un robot logiciel contrôlé à distance.
