PayPal semblait ne pas pouvoir souffler. La dernière attaque de phishing l'a pris par surprise et a contourné même les tentatives de phishing standard. Les pirates informatiques ont exploité une seule fonctionnalité et ont fait passer l'attaque pour authentique. Au lieu d'utiliser leurs anciennes tactiques, de faux e-mails ou liens, les escrocs ont profité de l'envoi de demandes d'argent directement via la plateforme.
L'application a envoyé aux victimes une demande de paiement authentique qui les redirigeait vers des micro-données compromises. La transaction semblait officielle, les victimes ne se sont donc pas méfiées. Le pire dans tout ça ? Les attaquants ont envoyé des demandes d'un montant suffisamment faible pour éviter d'éveiller les soupçons. Les victimes ne se sont pas interrogées sur ces petites incohérences, ce qui a fait grimper en flèche le taux de réussite de l'attaque. Qu'est-ce que cela nous apprend sur notre environnement de sécurité ? Personne n'est à l'abri. Et il ne s'agissait là que de phishing.
Le smishing consiste en des escroqueries par SMS. La désinformation est un autre domaine qui ne se limite pas à un moyen de communication ou à un mode opératoire particulier. Dans ce guide, nous aborderons le phishing, le smishing et la désinformation. Voici ce que vous devez savoir.
Qu'est-ce que le phishing ?
Le phishing est une forme d'ingénierie sociale qui utilise la tromperie pour inciter les destinataires à effectuer l'action souhaitée par l'attaquant. Il peut permettre de révéler des informations financières, des identifiants de connexion au système et d'autres données sensibles. Les auteurs de menaces peuvent se faire passer pour des entités officielles d'organisations réputées, ce qui peut induire les utilisateurs en erreur.
Le phishing impliquait principalement des e-mails, mais les adversaires font preuve de plus en plus de créativité ces derniers temps, car ils sont conscients que leurs victimes sont de plus en plus vigilantes. C'est là une différence essentielle entre le phishing et le smishing. Au milieu des années 1990, le phishing désignait la " pêche " aux victimes : les attaquants attiraient des utilisateurs peu méfiants.Cependant, le phishing est devenu très sophistiqué à l'époque moderne et s'est diversifié en différents types. Nous avons désormais le phishing par e-mail, le spear phishing, le smishing, le vishing et le whaling. Chaque type d'attaque de phishing est distinct et se caractérise par des canaux et des modes d'exécution différents. Néanmoins, l'intention sous-jacente reste la même : inciter la victime à fournir ce que l'attaquant souhaite obtenir.
Impact du phishing
Le phishing est un véritable fléau. Si vous l'ignorez, les attaquants continueront à lancer de nouvelles attaques ou à changer de cible. Vous devez vous attaquer au problème à la racine, sinon vous continuerez à en être victime. Une attaque de phishing peut faire fuir vos clients et vos employés. L'ampleur des dégâts dépendra de la quantité d'informations collectées par l'attaquant.
Vous vous souvenez de l'incident TalkTalk ? Lors de cet incident, 157 000 dossiers clients ont été compromis, ce qui a coûté 60 millions d'euros à l'entreprise. Au fil des ans, moins de 5 000 clients n'ont pas été affectés par cette violation. Les répercussions ne se sont pas seulement étendues, elles ont duré des années.
Les attaques de phishing peuvent perturber vos opérations et créer de nouvelles vulnérabilités dont vous n'avez pas conscience. Si un pirate installe un logiciel malveillant cachéque vous ne remarquez pas, vous risquez de subir des pannes de système. Vous ne vous rendez peut-être même pas compte où vous perdez en productivité, mais les attaques par hameçonnage peuvent être dévastatrices. Les pires attaques peuvent paralyser votre organisation. Vos clients ne pourront plus utiliser les services en ligne et, dans certains cas, votre entreprise pourrait être hors service pendant plus de 24 heures.
Cela peut entraîner une perte de confiance dans votre entreprise et réduire la valeur de votre organisation. On ne sait jamais ce qui peut arriver.
Qu'est-ce que le smishing ?
Le smishing est très astucieux. Les pirates peuvent simplement vous envoyer des SMS vous invitant à cliquer sur des liens. Mais du point de vue de l'utilisateur, nous savons que les SMS peuvent aujourd'hui être considérés comme du spam. Les pirates le savent, c'est pourquoi ils personnalisent leurs SMS. Des SMS bien rédigés peuvent ressembler à des messages provenant d'un ami, avec des liens en pièce jointe qui ne semblent pas suspects. Il se peut même que vous ne receviez pas de lien dans votre SMS et que le pirate vous attire en vous envoyant une série de SMS.
Par exemple, imaginons que vous receviez un SMS d'un ami qui n'est pas votre ami, mais le pirate. Il vous convainc de discuter avec lui, et vous répondez. Il peut alors vous envoyer deux ou trois autres SMS. Dans le quatrième SMS, il peut vous demander de vérifier quelque chose, et vous cliquez alors sur ce lien sans vous méfier. C'est ainsi que cela fonctionne.
Votre véritable ami n'est peut-être pas disponible ces jours-ci, peut-être est-il à l'hôpital ou occupé à autre chose. Mais vous ne pouvez pas le savoir, car l'attaquant a usurpé son identifiant d'appelant et masqué son numéro de téléphone. Ses SMS vous ont donc été transmis. C'est ainsi que le smishing est devenu si effrayant de nos jours. Ne croyez donc pas que le smishing est une arnaque par SMS classique. Ce n'est pas le cas.
Les offres de codes promotionnels, les remises spéciales et les liens alléchants qui vous promettent des cadeaux peuvent être partagés, mais les pirates savent que ce ne sont pas les seuls moyens d'appâter leurs victimes. C'est pourquoi ils font preuve de plus en plus d'innovation dans leurs stratagèmes de smishing.
Impact du smishing
L'impact du smishing ne se limite pas à la divulgation de vos coordonnées ou de vos informations bancaires. Les banques ne vous demanderont jamais votre code PIN ou ne vous enverront jamais de lien pour réinitialiser votre mot de passe par SMS, mais certains clients peu familiarisés avec les technologies tombent dans le piège de ces astuces élémentaires. L'impact du smishing peut s'étendre à d'autres personnes. Si vos informations concernent des membres de votre famille ou des amis, le pirate peut commencer à les surveiller. Il peut recueillir davantage d'informations simplement en répondant à leurs SMS.
Vous finirez probablement par répondre, surtout si le SMS est attrayant ou semble justifier une réponse de votre part. Il y a de fortes chances que vous ne l'ignoriez pas, mais le problème est que vous ne pouvez pas le vérifier. Que se passe-t-il si vous répondez à un SMS et tombez dans le piège d'une tentative d'hameçonnage ? La première chose qui se produira est que votre numéro de téléphone sera divulgué. L'attaquant peut alors utiliser vos informations personnelles et votre numéro de téléphone pour vous rechercher sur d'autres plateformes en ligne.
Il peut utiliser les données collectées grâce à vos réponses par SMS pour approcher les services que vous utilisez. L'attaquant peut détourner ces services et aggraver encore davantage les dommages. Les conséquences d'être victime d'une tentative de smishing ne s'arrêtent pas là. Ce n'est que la partie émergée de l'iceberg.
Qu'est-ce que la désinformation ?
La désinformation est délicate, car il peut être difficile de discerner si les informations falsifiées sont exactes ou temporairement fausses. Les attaquants sont rusés et savent lire les émotions des gens. Ils peuvent exploiter vos faiblesses ou vos vulnérabilités, vous poussant à agir différemment. Ils ne falsifient et ne diffusent peut-être pas directement de la désinformation, mais ils peuvent vous tester de manière à vous rendre vulnérable à leurs provocations et à vous faire tomber dans leurs pièges. Vous ne vous en rendrez même pas compte, c'est ainsi que fonctionne la manipulation émotionnelle.
Une autre façon de diffuser de la désinformation consiste pour les attaquants à falsifier délibérément des informations. Par exemple, si une nouvelle concernant un incident est publiée, l'attaquant peut diffuser une version fausse de celle-ci et l'étayer avec des faits authentiques, la rendant ainsi très convaincante. Comme la nouvelle est récente et que l'attaquant en parle beaucoup, les gens sont susceptibles de le croire. Ils supposent qu'il n'y a rien d'autre à vérifier lorsqu'ils voient les données.
Comme l'incident est très récent, aucune information supplémentaire à son sujet n'est disponible en ligne ou ailleurs. La désinformation peut être effrayante, selon la manière dont elle est causée. Une différence importante entre le smishing et la désinformation est que cette dernière ne se limite pas aux canaux textuels. Ce n'est pas quelque chose à prendre à la légère.
Impact de la désinformation
L'impact de la désinformation ne touche pas seulement les personnes qui vous entourent. Elle peut avoir des répercussions sur les démocraties, les gouvernements, les banques, les agences de voyage et les entités privées ou publiques. La peur, la colère et la méfiance sont des sentiments courants chez les personnes victimes de désinformation. Elles perdent du temps et de l'énergie à essayer de distinguer le vrai du faux.
La désinformation peut être source de fatigue, car elle vous oblige à traiter plusieurs sources d'informations. La situation empire lorsque vous travaillez dans le monde connecté d'aujourd'hui. Avec l'avènement d'outils d'IA tels que ChatGPT et Grok AI, les acteurs malveillants peuvent lancer des attaques plus sophistiquées, recueillir des idées, obtenir des informations et combiner ces connaissances avec des expériences réelles.
De nombreux récits font état de campagnes de désinformation coordonnées orchestrées par des acteurs étatiques et non étatiques. L'influence de la désinformation peut aller au-delà des croyances individuelles et avoir un impact sur la société. Les données falsifiées peuvent être utilisées dans des secteurs tels que la santé et l'industrie pharmaceutique, ce qui peut être très dangereux et avoir des implications profondes pour le travail civil.
Lorsque l'incertitude s'installe, l'environnement qui vous entoure devient dangereux. Les dommages émotionnels causés par le fait d'être victime de désinformation peuvent durer des années. Vous ne vous en remettrez peut-être jamais complètement en raison de la manière dont vous avez été trompé ou dont vous avez réagi à la situation.
2 Différences essentielles entre le phishing, le smishing et la désinformation
Voici quelques différences essentielles que vous devez connaître concernant le phishing, le smishing et la désinformation :
1. Mode d'attaque
Le phishing peut se produire par le biais d'e-mails, mais les attaquants ne se limitent pas à cela. Ils peuvent tenter de vous appâter en créant de faux sites web, de fausses pages de connexion, de faux formulaires en ligne ou en vous engageant sur d'autres supports. Le smishing implique généralement des SMS, mais il ne se limite pas toujours à cela. Vous pouvez également être approché par messagerie instantanée ou chat en direct.
La désinformation ne se limite pas à un support spécifique. Elle peut se produire sur les réseaux sociaux, par le biais de tweets, ou même par le biais de fausses informations diffusées par des voisins. Contrairement au phishing ou au smishing, il n'y a pas de voie spécifique pour la désinformation, ce qui est essentiel à noter.
2. Ampleur des dommages et recherche
Les dommages causés par le phishing peuvent souvent se limiter aux applications, sites web et plateformes avec lesquels vous interagissez. Si vous divulguez accidentellement vos informations, vous pouvez au moins remonter jusqu'à l'attaquant, la plateforme ou l'application et prendre des mesures pour remédier à la situation. Dans le cas du smishing, vous disposez au moins des coordonnées de l'expéditeur et pouvez identifier l'origine des SMS. Avec un mandat de perquisition ou une enquête approfondie menée par les forces de l'ordre, il peut être possible de remonter à l'origine de ces escroqueries, même si les auteurs utilisent de faux numéros de téléphone. Vous pouvez également remonter la piste des escroqueries par smishing en examinant les opérateurs téléphoniques utilisés par les attaquants.
La désinformation, en revanche, est beaucoup plus difficile à détecter et à retracer. Il peut être très difficile de retrouver quelqu'un qui diffuse de la désinformation s'il se dissimule. Il peut disparaître après avoir causé des dommages importants. Hors ligne, il peut diffuser des mensonges et disparaître, tandis qu'en ligne, il peut créer de faux comptes, diffuser de fausses informations, puis supprimer les comptes sans laisser de traces. Une fois les comptes supprimés, il devient presque impossible de les contacter.
Si quelqu'un semble véritablement diffuser de la désinformation, il y a plus de chances de le retrouver ou de le confronter. Cependant, cela est rare, car les auteurs de menaces sont brillants et ont tendance à effacer efficacement leurs traces. Dans certains cas, au lieu de diffuser eux-mêmes de fausses informations, ils peuvent influencer d'autres personnes pour qu'elles les diffusent à leur place. Ces cas sont beaucoup plus complexes à suivre ou à enquêter, ce qui fait de la désinformation une attaque particulièrement insidieuse.
Hameçonnage, smishing et désinformation : principales différences
Voici quelques différences clés entre le phishing, le smishing et la désinformation :
| Domaine de différenciation | Hameçonnage | Smishing | Désinformation |
|---|---|---|---|
| Technique de manipulation | Vous pouvez être ciblé par la peur, l'urgence ou la curiosité afin de vous inciter à révéler des informations sensibles. | Les pièges psychologiques sont conçus pour inciter à une action immédiate via des appareils mobiles, comme des alertes urgentes concernant votre compte bancaire ou la livraison de colis. | Les campagnes de désinformation manipulent les croyances et les perceptions des gens au fil du temps. Elles utilisent souvent des contenus chargés d'émotion ou polarisants pour influencer les opinions et les comportements des gens sans qu'ils en aient immédiatement conscience. |
| Moyen d'exploitation | Les hameçonneurs peuvent envoyer des pièces jointes malveillantes ou exploiter les vulnérabilités de n'importe quelle application, service ou support dans le seul but de voler et de détourner vos données. | Le smishing exploite les protocoles SMS et les vulnérabilités des réseaux mobiles, en intégrant des liens ou des invites malveillants directement dans les messages texte afin de compromettre la sécurité de votre smartphone. | La désinformation peut utiliser des algorithmes avancés et des botnets sur les plateformes de réseaux sociaux pour amplifier de faux récits, en utilisant l'analyse de données pour cibler et influencer vos intérêts et vos préjugés spécifiques. |
| Impact et perception | Être victime d'hameçonnage peut éroder la confiance dans les canaux de communication numériques, rendant les utilisateurs plus prudents, mais pouvant également entraver leurs interactions en ligne. | Le smishing peut vous amener à vous méfier des communications par SMS, vous poussant à ignorer des messages légitimes ou à hésiter à interagir avec des numéros inconnus. Cela peut avoir un impact sur vos habitudes de communication mobile. | La désinformation a un effet profond et durable sur votre perception de la réalité et votre confiance dans les sources d'information, pouvant potentiellement modifier votre vision du monde et vos convictions sociales sur la base de vérités manipulées. |
| Mesures de prévention et renforcement de la résilience | Pour vous protéger contre le phishing, vous devez mettre en place un filtrage efficace des e-mails, utiliser l'authentification multifactorielle et vous tenir informé des tactiques de phishing courantes afin de reconnaître et d'éviter les e-mails suspects. | Pour se prémunir contre le smishing, il faut se méfier des SMS non sollicités, éviter de cliquer sur des liens inconnus et vérifier l'authenticité de l'expéditeur avant de répondre ou d'agir suite à une demande par SMS. | Pour lutter contre la désinformation, il faut faire preuve d'esprit critique, recouper les informations avec des sources fiables, comprendre les médias et prendre l'habitude de remettre en question et de vérifier l'authenticité des contenus. |
Conclusion
Il est essentiel de savoir faire la différence entre le phishing, le smishing et la désinformation pour protéger votre vie personnelle et professionnelle. Grâce à ces connaissances, vous serez suffisamment informé et vigilant pour détecter et repousser efficacement ces nouvelles menaces en constante évolution. Ne sous-estimez jamais la sécurité numérique : la prévention commence par la compréhension. Veillez à mettre en œuvre des mesures de sécurité rigoureuses, tenez-vous informé des derniers vecteurs d'attaque et instaurez une culture de sensibilisation au sein de votre organisation.
Préparez-vous de manière proactive non seulement pour protéger vos données, mais aussi pour protéger la confiance et l'image dont vous jouissez en ligne.
Améliorez votre veille sur les menaces
Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.
En savoir plusFAQs
Le phishing utilise des e-mails trompeurs pour voler des informations sensibles, le smishing utilise des SMS pour des escroqueries similaires par texte, et la désinformation diffuse de fausses informations pour manipuler les croyances et les perceptions. Alors que le phishing et le smishing sont des cyberattaques directes visant les données personnelles, la désinformation vise souvent à influencer l'opinion publique ou les points de vue de la société au fil du temps.
Oui, la désinformation est un type de cyberattaque. Contrairement au phishing et au smishing, qui ciblent des individus dans le but de voler des données, la désinformation cherche à tromper et à manipuler l'opinion publique, souvent à plus grande échelle. Elle sape la confiance et peut influencer l'opinion publique, ce qui la rend très puissante entre les mains de ceux qui pratiquent la cybermanipulation.
Dans un sens large, tout le monde et toutes les organisations, quel que soit leur domaine, sont exposés à ce risque ; cependant, les groupes vulnérables comprennent les personnes âgées, les utilisateurs moins familiarisés avec les technologies et les organisations ou individus ayant accès à des informations sensibles. Les entreprises, en particulier celles qui traitent des données financières ou personnelles, sont des cibles de choix. Même le grand public devient vulnérable aux campagnes de désinformation lors d'événements ou de crises à grande échelle.
Bien qu'il soit difficile d'éradiquer ces menaces, elles peuvent être évitées grâce à une sensibilisation et à des mesures de sécurité adéquates. Apprenez à reconnaître les e-mails et SMS malveillants, mettez en place des protocoles d'authentification forts, utilisez des outils de sécurité pour détecter et bloquer les menaces, et vérifiez la source des informations pour réduire les risques liés à la désinformation.
La finance, la santé, le gouvernement et la technologie sont les secteurs les plus ciblés, car ils disposent de données précieuses. Les campagnes de désinformation visent également les médias et les relations publiques. Les secteurs à forte interaction avec la clientèle, comme le commerce de détail et les télécommunications, sont fréquemment la cible d'attaques de phishing et de smishing.
