Quels sont les types d’attaques par hameçonnage les plus courants et comment vous en prémunir ?

Tout d’abord, il est important de souligner que, tout comme la plupart des pays européens, le Luxembourg ne dispose pas d’une vue d’ensemble du volume et de la nature des attaques par phishing. Cela s’explique principalement par le fait que les incidents ne sont que partiellement détectés et qu’un nombre limité d’entre eux sont effectivement signalés à différents organismes publics. En outre, le terme « phishing » couvre un large éventail d’activités criminelles, qui dépendent d’au moins trois variables :

Qui est la victime ?

• S’agit-il d’un individu ? D’une petite structure telle qu’une PME ? D’une grande entreprise ? D’une entité publique ? etc.

Qui est l’auteur de l’infraction ?

• S’agit-il d’une personne seule, et éventuellement inconsciente du fait ?
• S’agit-il d’une organisation criminelle pleine de ressources ?
• S’agit-il d’un groupe lié au gouvernement ?

Quelle est l’intention de l’auteur de l’infraction ?

• Est-il/elle à la recherche d’un « smash and grab » rapide, auquel cas il/elle ne sera pas vraiment ciblé(e) et sera très probablement fortement automatisé(e) ?
• S’agit-il d’obtenir un gain financier important de la part d’une entreprise précise ?
• S’agit-il d’accéder à une entreprise spécifique, ou à une catégorie d’entreprises, pour ensuite lui nuire ou la voler ? En fonction de ces dimensions, le mode opératoire et la ténacité de l’attaquant changeront considérablement. Cela aura un impact significatif sur le type de mesures de sécurité et les ressources correspondantes à mettre en place.

Il est cependant possible de se faire une idée de la fréquence des attaques par phishing au Luxembourg en accédant à l’observatoire des menaces de cybersécurité créé par le NC3 (https://nc3.lu/pages/observatory.html), qui donne un aperçu trimestriel des tendances à travers son bulletin. L’Observatoire NC3 aura bientôt un bulletin spécifique sur l’analyse des rapports SPAMBEE, visant à présenter les tendances en matière de’phishing et de spamming telles qu’elles sont rapportées par les résidents luxembourgeois. Certaines données spécifiques aux incidents sont également disponibles par le biais des statistiques ouvertes du CIRCL, le CERT de l’économie

(https://www.circl.lu/opendata/statistics/#ticketing-system-statistics).

En fonction de l’entité ciblée, il y aura différents types d’exigences, même si nous pouvons également mettre en évidence certaines exigences génériques.

Si la cible est un particulier ou une entité non réglementée, il existe principalement des « bonnes pratiques » à conseiller. L’objectif est d’améliorer la détection par la sensibilisation au problème. Il est conseillé aux utilisateurs de messageries électroniques ou de réseaux sociaux de se concentrer sur quelques points.

Y a-t-il quelque chose d’inhabituel dans le message s’il provient d’un expéditeur connu ?

• Le contenu est-il cohérent avec le style et les sujets habituels de cet expéditeur ?
• L’adresse de l’expéditeur est-elle la même que d’habitude ?
• Le message contient-il des fichiers inhabituels (PDF, documents Office, images...) ?
• Le message crée-t-il un sentiment d’urgence inhabituel ?
• Le message demande-t-il de cliquer sur un lien qui n’appartient pas à l’entreprise censée l’avoir envoyé ?

Différents types de campagnes de sensibilisation au niveau national ou d’une entreprise peuvent contribuer à réduire l’exposition aux techniques d’ingénierie sociale habituellement mises en œuvre pour attirer leurs victimes par le biais d’attaques de phishing. Certaines entreprises de sécurité proposent à leurs clients de fausses campagnes de phishing, afin d’aider les employés à mieux comprendre ce que signifie être ciblé et à acquérir de l’expérience dans la détection des astuces de phishing les plus courantes.

Afin de mieux authentifier l’expéditeur d’un message, les organisations qui disposent de ressources suffisantes peuvent mettre en œuvre tout ou partie des normes suivantes :

• DKIM (Domain Keys Identified Mail) - https://dkim.org/
• SPF (Sender Policy Framework)
• DMARC (Domain-based Message Authentication, Reporting & Conformance) - https://dmarc.org/ Le principal objectif est d’améliorer la résistance du protocole de courrier électronique original à la falsification et à l’usurpation d’identité.

Une autre série de mesures vise à réduire le risque de victimisation en rendant plus difficile l’exploitation des données hameçonnées.

Il s’agit principalement de l’utilisation d’un deuxième facteur d’authentification, qui est considéré comme solide parce qu’il n’est utilisable que pour une seule transaction et qu’il est disponible via un canal dont il est difficile, voire impossible, pour l’« hameçonneur / phisher » de prendre le contrôle.

Le « jeton » fourni par une banque à ses clients est un exemple de ce deuxième facteur d’authentification.

Un autre moyen de réduire le nombre de victimes est de supprimer les sites de phishing identifiés. Les organisations signalent aux fournisseurs d’hébergement les pages frauduleuses. Les utilisateurs peuvent également contribuer en signalant les URL de sites web suspects à un service tel que « URL Abuse » (https://www.circl.lu/urlabuse/). Le signalement des courriers électroniques par l’intermédiaire de SPAMBEE (spambee.lu) est un autre moyen pour l’utilisateur final de s’assurer que les pages suspectes sont vérifiées et, si leur caractère frauduleux est confirmé, qu’elles sont supprimées.

Des outils tels que SPAMBEE, mais aussi les navigateurs eux-mêmes, sont capables d’avertir les utilisateurs lorsqu’ils accèdent à une page web déjà considérée comme une page de phishing. Un avertissement visuel leur permettra de ne pas poursuivre la lecture de cette page.

Pour les entités réglementées, il y aura des obligations fixées par une autorité de réglementation, pour utiliser ou mettre en œuvre des mécanismes de sécurité spécifiques. Ils sont généralement choisis parmi ceux énumérés ci-dessus. Au Luxembourg, on peut citer en exemple la « Circulaire CSSF 15/603 », qui oblige les prestataires de services de paiement à recourir à l’authentification forte du client pour les paiements par Internet. Un autre point important concernant les entités réglementées est qu’elles doivent souvent se soumettre à des audits réguliers des risques opérationnels pour le compte de l’autorité de réglementation, ce qui signifie qu’elles doivent mettre en œuvre un cadre solide de gestion des risques, qui devrait englober les opérations liées à Internet. Cela les amène généralement à mettre en œuvre des contrôles de sécurité appropriés, réduisant ainsi l’exposition de leurs clients à des attaques telles que le phishing.

Au départ, la plupart des attaques de phishing se produisaient par courrier électronique, et le« phishing ciblé » était l’une d’entre elles. La principale caractéristique du« phishing ciblé » n’est pas le canal de communication qu’il utilise, mais la nature de la cible qui le définit. Il s’adresse en effet à une personne, ou à une catégorie de personnes, dans une organisation donnée. Dans une entreprise, une attaque par phishing ciblé peut par exemple viser le service comptable, dans le but d’inciter au moins l’un des comptables à fournir des informations d’identification susceptibles d’être utilisées ultérieurement pour déclencher des virements bancaires frauduleux. Comme toute attaque ciblée, le phishing ciblé nécessite un travail de reconnaissance avant l’attaque proprement dite, afin d’identifier les personnes susceptibles d’être ciblées, leurs centres d’intérêt, leur motivation éventuelle ou toute autre information personnelle qui permettra d’instaurer un climat de confiance et de les manipuler.

Le « whaling » est une attaque qui vise généralement un décideur clé au sein d’une organisation. Il peut s’agir, par exemple, du PDG ou du directeur financier d’une entreprise. C’est un type particulier de fraude du président, qui nécessite un travail préparatoire important de la part des attaquants, afin d’être en mesure d’identifier la meilleure approche pour inciter les victimes à révéler des informations sensibles ou à installer des logiciels malveillants sur leur ordinateur.

L’attaque « angler » consiste à se faire passer pour des employés du service clientèle d’une entreprise connue sur un réseau social, afin d’inciter les utilisateurs plaignants de ce service à divulguer des informations personnelles et éventuellement des identifiants. Elle repose sur le fait que les clients savent que les entreprises réagissent souvent plus rapidement aux problèmes soulevés sur les médias sociaux, car ceux-ci sont plus visibles et peuvent entraîner des problèmes de réputation de la marque en cas de non-réponse.

Une attaque « smishing » est une escroquerie par phishing qui utilise les SMS comme canal de communication pour diffuser son contenu préjudiciable. Comme il s’agit d’un moyen de communication écrit et asynchrone, ce type d’attaque ressemble beaucoup aux attaques de ’phishing traditionnelles basées sur le courrier électronique. Il s’agit en fait de l’une des premières « innovations » des gangs de phishing lorsqu’ils ont réalisé que les opérations basées sur le courrier électronique devenaient moins fructueuses en raison de l’impact positif des formations de sensibilisation.

Le « vishing » est une attaque par phishing qui se déroule sur un canal vocal. Il peut s’agir d’un appel téléphonique ou d’un appel par l’intermédiaire de l’un des nombreux outils de communication par « Voix sur IP » (VoIP) ou messageries. Ce type d’attaque peut être ciblé ou « aveugle ». Les mécanismes d’ingénierie sociale sont les mêmes que pour tout autre type de phishing. Il n’est pas rare de voir des attaques sophistiquées telles qu’une fraude du président commencer par des courriels, puis passer à des appels directs.