Avez-vous entendu parler de ces SMS de phishing qui ont incité les utilisateurs d'Apple iMessage à désactiver la protection de leur téléphone ? Les nouvelles variantes du malware Medusa ont également ciblé les utilisateurs d'Android dans sept pays. UPS a révélé une violation de données après que des informations clients exposées aient été utilisées dans une campagne de phishing par SMS. L'IRS a également averti les Américains d'une augmentation massive du nombre d'attaques de phishing par SMS chaque année. L'extension Chrome d'une entreprise de cybersécurité a été piratée pour voler les données des utilisateurs.
Il s'agit là de cas de phishing et de smishing. L'usurpation de voix alimentée par l'IA alimente la nouvelle vague d'attaques de phishing. Les médias ne cessent de rapporter comment les escrocs utilisent le clonage vocal et les deepfakes pour voler des millions de dollars à des organisations. Les gouvernements ont déjà émis des alertes de haut niveau à l'intention des fonctionnaires concernant le partage de données lors d'appels téléphoniques. L'avis avertissait également les victimes que les attaquants pouvaient manipuler les informations d'identification de l'appelant pour faire croire que l'appel provenait d'un numéro officiel du gouvernement.
Le vishing, le smishing et le phishing sont des modes d'attaque sophistiqués. Cependant, un responsable a confirmé qu'une carte criminelle pouvait être remplacée par une attaque de phishing. Vous pouvez vous exposer à de sérieux ennuis si vous ne savez pas comment ces attaques fonctionnent.
Ce guide abordera les différences entre le phishing, le smishing et le vishing. Vous apprendrez comment éviter d'être victime d'une usurpation d'identité, comment prévenir ces attaques et quelles mesures vous pouvez prendre pour les éliminer.
Plongeons-nous directement dans le vif du sujet.
Qu'est-ce que le phishing ?
Le phishing est une tentative visant à vous piéger par le biais de messages électroniques afin de vous inciter à divulguer des informations sensibles. Un pirate informatique tentera de voler vos informations bancaires, vos mots de passe, vos noms d'utilisateur ou vos numéros de carte de crédit. Il peut cibler toute autre donnée sensible et se faire passer pour une entité réputée, ce qui peut séduire la victime.
Le phishing est appelé ainsi car il suit un modèle opérationnel similaire à celui utilisé par les pêcheurs qui utilisent des appâts pour attraper des poissons. Les exemples les plus courants de phishing sont les attaques on-path et les scripts intersites. Certaines attaques peuvent également se produire via la messagerie instantanée, il est donc essentiel de se familiariser avec leurs vecteurs. Il est difficile de repérer les attaques de phishing dans la nature. Un exemple classique est le célèbre e-mail du prince nigérian, une forme de phishing avancé.
L'arnaque à la désactivation de compte joue sur votre sentiment d'urgence et vous demande de mettre à jour des informations importantes, telles que vos identifiants de connexion. L'attaquant peut usurper l'identité de domaines bancaires et prétendre provenir de sources officielles. Si vous ne remplissez pas ces informations, il vous informera immédiatement que votre compte sera désactivé. Il faut agir rapidement. L'attaquant vous demandera votre identifiant et votre mot de passe pour empêcher le processus de désactivation.
Une autre version astucieuse de cette attaque consiste à rediriger l'utilisateur vers le site web officiel de la banque après avoir saisi les informations clés, afin que rien ne semble anormal. Cette attaque de phishing est difficile à repérer, vous devez donc vérifier la barre d'adresse URL et vous assurer que le site web est sécurisé. Votre banque ne vous demandera jamais votre identifiant et votre mot de passe dans ces circonstances.
Les escroqueries par falsification de site web sont un autre type d'attaque de phishing très répandu. L'attaquant crée un site web identique à celui utilisé par la victime, qui est original ou légitime. Il peut envoyer un e-mail ressemblant à celui de la source légitime. Toutes les informations saisies par la victime en réponse à ces e-mails peuvent être utilisées à des fins malveillantes ou vendues.
Les pages fausses ou dupliquées étaient faciles à repérer aux débuts d'Internet, mais aujourd'hui, les sites frauduleux ressemblent à s'y méprendre aux originaux. Vous devez vérifier l'URL dans le navigateur Web et rechercher la certification HTTPS pour vous assurer que le site Web est sécurisé. Si un site Web ne dispose pas de certificats d'authentification, il s'agit d'un signal d'alarme.
Le clonage d'hameçonnage est une autre technique courante. Un e-mail légitime envoyé précédemment peut être copié, et son contenu et ses liens modifiés pour inciter la victime à l'ouvrir à nouveau. Il s'agit d'une série d'e-mails continus. Par exemple, l'attaquant peut utiliser le même nom de fichier que les fichiers joints d'origine pour ses fichiers malveillants.
Ces e-mails seront renvoyés avec une adresse e-mail usurpée qui semble provenir de l'expéditeur d'origine. Cette tactique exploite la confiance des victimes et les engage suffisamment dans la communication pour les inciter à agir.
Impact du phishing
Les attaques de phishing ne perturbent pas seulement vos activités commerciales. Une fois qu'un pirate informatique a trouvé le moyen de s'introduire dans votre réseau, il peut installer un ransomware ou des logiciels malveillants, ou provoquer des pannes du système. Nous savons tous que cela entraîne une perte de productivité et peut réduire l'efficacité de votre organisation. Le phishing peut avoir un impact sérieux sur vos temps de réponse ; parfois, ces attaques peuvent durer des mois.
Vous ne serez pas surpris d'apprendre à quel point il est difficile de se remettre d'une attaque de phishing. Vos employés peuvent se retrouver dans l'impossibilité de poursuivre leur travail, et vos données peuvent être volées, endommagées ou altérées. Vos services en ligne peuvent être mis hors ligne, rendant vos clients méconnaissables. Pour la plupart des organisations, la restauration des opérations peut prendre jusqu'à 24 heures.
Mais si vous n'avez pas de chance, les dommages ne se limiteront pas à une interruption des opérations. Vous perdrez de l'argent, des données et la réputation de votre entreprise, ce qui peut prendre beaucoup plus de temps à récupérer. Les amendes réglementaires ne sont pas non plus une plaisanterie. L'utilisation abusive ou la mauvaise gestion des données sont passibles de sanctions pouvant atteindre plusieurs millions.
Nous avons entendu parler de cas similaires chez British Airways, Facebook, Marriott Hotels et d'autres organisations.
Qu'est-ce que le smishing ?
Le smishing consiste à envoyer des SMS frauduleux pour inciter les gens à divulguer des informations sensibles ou à télécharger des logiciels malveillants. Les pirates ont tendance à acheter des informations personnelles sur le dark web et à cibler une personne en se basant sur des données volées lors de précédentes violations. À l'aide de passerelles SMS et d'outils d'usurpation d'identité, les pirates masquent leurs numéros de téléphone pour paraître légitimes. Parfois, ils peuvent infecter les téléphones avec des logiciels malveillants cachés, ce qui leur permet de siphonner des données au fil du temps.
Lorsqu'une victime répond ou clique sur un lien, les pirates collectent des informations personnelles ou financières afin d'effectuer des transactions non autorisées ou d'usurper son identité. Ils passent souvent inaperçus grâce aux filtres anti-spam des téléphones ou aux paramètres de sécurité par défaut d'Android/iOS, qui ne suffisent jamais à empêcher les escroqueries sophistiquées. Parmi les exemples de smishing, on peut citer les fausses notifications de gains, les alertes de fraude bancaire, les escroqueries fiscales, les canulars de support technique et les menaces de résiliation de service. Les attaquants peuvent également demander aux victimes de télécharger des applications malveillantes qui volent directement les données d'un appareil.
Impact du smishing
Les attaques de smishing peuvent entraîner le vol d'informations personnelles, conduisant à des fraudes financières et à l'usurpation d'identité à vie. Les victimes constateront des prélèvements non autorisés sur leurs comptes bancaires ou de nouvelles lignes de crédit souscrites à leur nom. Les entreprises peuvent voir leur réputation ternie si leurs employés divulguent involontairement des données clients via des liens de smishing. Les canaux de communication publics peuvent être compromis si les attaquants commencent à utiliser des téléphones piratés pour diffuser davantage de messages malveillants.
Même les opérateurs de télécommunications ne peuvent pas bloquer tous les SMS suspects, laissant les utilisateurs exposés. Pire encore, le smishing peut ébranler les fondements mêmes de la confiance dans les communications numériques, et les organisations pourraient également être exposées à des implications juridiques et réglementaires si des informations sensibles venaient à être divulguées. Les conséquences (difficultés financières, frais juridiques et atteinte à l'image de marque) pourraient persister longtemps après l'événement.
Qu'est-ce que le vishing ?
Le vishing, également connu sous le nom de phishing vocal, utilise des appels téléphoniques ou des messages pour inciter les gens à divulguer des données sensibles. Les attaquants peuvent usurper l'identité de l'appelant ou utiliser la technologie deepfake, donnant l'impression que l'appel provient d'une entité de confiance, comme une banque, un organisme gouvernemental ou même un collègue. La plupart des employés non formés seront des cibles de choix. Les escrocs créent des récits crédibles, tels que des demandes de paiement urgentes ou des urgences chez des fournisseurs, afin de forcer leurs victimes à prendre des décisions rapides.
Cette forme d'ingénierie sociale combine l'interaction humaine et la technologie. Les attaquants peuvent se faire passer pour le support informatique ou prétendre appartenir aux ressources humaines, en exécutant des scripts plausibles qui tentent d'extraire des identifiants, des informations d'authentification ou d'autres informations sensibles de l'entreprise. Les criminels peuvent également usurper l'identité de cadres supérieurs ou de membres de la famille à l'aide de logiciels de synthèse vocale. Le vishing peut tromper toute personne qui n'est pas sur ses gardes ou qui n'est pas sensibilisée à la sécurité. Les grandes entreprises sont particulièrement exposées à ce risque, car l'usurpation d'identité de l'appelant peut contourner même les systèmes de sécurité téléphonique les plus basiques, ouvrant ainsi la voie à des fuites de données ou à des fraudes financières.
Impact du vishing
Le vishing pose de sérieux problèmes tant aux particuliers qu'aux organisations. Les attaquants peuvent laisser de faux messages vocaux ou appeler des employés peu méfiants, ce qui peut leur permettre de voler des informations bancaires ou de la propriété intellectuelle. Les appels téléphoniques étant perçus comme plus personnels, les victimes peuvent instinctivement faire confiance à ce qu'elles entendent. Les tactiques d'urgence, comme prétendre qu'un paiement critique à un fournisseur est en retard, peuvent pousser les cibles à répondre sans vérifier les détails. L'absence d'authentification multifactorielle ou des processus d'approbation médiocres aggravent les dommages en permettant aux escrocs de modifier facilement des comptes critiques.
Cela a récemment concerné Retool, une plateforme de développement qui a disparu et a été compromise, affectant 27 clients cloud. Cet incident montre à quel point les appels d'ingénierie sociale peuvent compromettre la sécurité d'une organisation en quelques minutes. Il illustre les répercussions en termes de pertes financières, d'exposition des données et de méfiance à long terme parmi les employés et les partenaires.
6 différences essentielles entre le phishing, le smishing et le vishing
Vous trouverez ci-dessous six différences clés entre ces trois méthodes d'attaque, accompagnées de brefs exemples et d'informations sur la manière dont les organisations et les particuliers peuvent se protéger.
1. Principal canal de diffusion
Le phishing se présente généralement sous la forme d'e-mails ; le smishing repose sur les SMS ou les messages instantanés, tandis que le vishing repose sur les appels vocaux. Les attaquants choisissent le canal le mieux adapté à la cible qu'ils souhaitent atteindre : e-mails pour les comptes professionnels, SMS pour les utilisateurs de smartphones et appels téléphoniques pour un contact direct.
2. Modèle opérationnel
Les hameçonneurs créent de faux liens ou de fausses pages de connexion pour récolter des identifiants ; les smishers envoient des URL ou des pièces jointes malveillantes par SMS, et les vishers parlent à leurs cibles en temps réel. Chaque méthode consiste à piéger l'utilisateur pour qu'il divulgue des données personnelles ou professionnelles.
3. Exemples d'attaques
Vous souhaitez comparer les messages de phishing et de smishing ou voir la différence entre le smishing et le vishing ? Voici quelques exemples de ce à quoi pourraient ressembler vos SMS lorsque vous les recevez :
- Hameçonnage : Vous recevez une alerte soudaine concernant la sécurisation de votre compte. Elle provient d'un ami de votre organisation appelé Tom ou du PDG.
- Smishing : Un SMS " coupon de vente flash " qui force les utilisateurs à se rendre sur un site web malveillant.
- Vishing : Un appel téléphonique vous informant que votre abonnement au stockage cloud est sur le point d'expirer peut soudainement apparaître. Vous entendrez parler de votre fournisseur de cloud et serez convaincu. Il vous demandera d'effectuer un paiement urgent par téléphone.
4. Déclencheurs émotionnels
Le phishing a tendance à s'appuyer sur des tactiques d'intimidation ou d'urgence. Le smishing, quant à lui, mise sur l'excitation (gains à la loterie, cadeaux gratuits) ou la peur (alertes bancaires). Le vishing exploite l'anxiété en exerçant une pression en temps réel. Dans chaque cas, l'ingénierie sociale vise à provoquer des clics, des réponses ou des divulgations impulsifs.
5. Vulnérabilités des entreprises
Les organisations s'appuient souvent sur des solutions de sécurité pour les e-mails, mais négligent le filtrage des SMS ou la vérification des appels vocaux. Le phishing contourne les filtres anti-spam peu efficaces ; le smishing contourne les défenses des e-mails d'entreprise ; le vishing prospère grâce à des employés non formés qui supposent qu'un appel provenant du " support informatique " est légitime. L'authentification à deux facteurs n'est pas toujours obligatoire, ce qui expose les comptes à des risques sur tous les canaux.
6. Lacunes en matière de connaissances
Les pirates exploitent les lacunes en matière de sensibilisation : les employés formés uniquement aux menaces liées aux e-mails peuvent être victimes de smishing ou de vishing. De plus, la combinaison de plusieurs tactiques, comme un e-mail (phishing) suivi d'un SMS de confirmation (smishing), renforce la crédibilité. Une formation régulière et une attitude sceptique face aux demandes inhabituelles permettent d'atténuer ces risques.
Obtenir des informations plus approfondies sur les menaces
Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.
En savoir plusHameçonnage, smishing et vishing : principales différences
Voici une liste des principales différences entre le hameçonnage, le smishing et le vishing :
| Domaine de différenciation | Hameçonnage | Smishing | Vishing |
|---|---|---|---|
| Canal de diffusion | Cible les e-mails, souvent à l'aide d'adresses falsifiées ou de liens de phishing. | Repose sur des SMS ou des messages instantanés envoyés via des opérateurs mobiles ou des applications de messagerie. | Implique des appels téléphoniques ou des messages vocaux, utilisant parfois l'usurpation d'identité de l'appelant. |
| Cibles types | Comptes de messagerie professionnels ou personnels, réseaux sociaux, services en ligne. | Utilisateurs de smartphones, souvent équipés de filtres anti-spam ou de sécurités intégrées limités. | Personnes ou employés joignables par téléphone, en particulier ceux qui ne sont pas familiarisés avec les menaces vocales. |
| Outils courants | Faux formulaires de connexion, pièces jointes contenant des logiciels malveillants, e-mails à caractère urgent. | Liens frauduleux, invites de téléchargement d'applications malveillantes ou demandes d'informations personnelles. | Logiciels de manipulation vocale, centres d'appels usurpés ou messages vocaux frauduleux. |
| Arguments émotionnels clés | Peur de perdre l'accès, de manquer des délais urgents ou d'être bloqué hors d'un compte. | Excitation (gagner un prix), crainte (alertes de fraude bancaire) ou urgence (notifications de date limite fiscale). | Pression exercée par un interlocuteur en direct se faisant passer pour un patron, un fournisseur ou un fonctionnaire exigeant une action rapide. |
| Méthode de collecte des données | Cliquer sur des liens ou télécharger des fichiers qui capturent les identifiants de connexion, les informations financières ou les données personnelles. | Cliquer sur des liens dans des SMS, fournir des informations par SMS en réponse ou installer des applications malveillantes qui collectent des données sensibles. | Partager des mots de passe ou des informations financières par téléphone ou suivre des instructions vocales pour vérifier des informations confidentielles. |
| Stratégie de prévention | Utilisez des filtres de messagerie, vérifiez les URL, mettez en place une authentification multifactorielle (MFA) et restez vigilant face aux pièces jointes suspectes. | Vérifiez l'authenticité de l'expéditeur, ne cliquez jamais sur des liens inconnus, installez des solutions de sécurité mobile et signalez les SMS suspects. | Formez vos employés à vérifier l'identité des appelants, à éviter de divulguer des données sensibles par téléphone et à utiliser des procédures de vérification par rappel. |
Conclusion
Les attaques par hameçonnage, smishing et vishing peuvent cibler n'importe quelle organisation, quelle que soit sa taille ou son secteur d'activité. Il est essentiel de se prémunir contre ces menaces en constante évolution en faisant preuve de vigilance et en adoptant les meilleures pratiques en matière de sécurité. N'oubliez pas que l'exploitation de la confiance humaine est la première ligne de front des campagnes d'ingénierie sociale ; la formation et la sensibilisation doivent donc être au premier plan. Que vous travailliez avec des données confidentielles ou que vous utilisiez simplement des services en ligne au quotidien, il est important d'être vigilant et d'avoir plusieurs longueurs d'avance.
"FAQs
Le phishing, le smishing et le vishing utilisent l'ingénierie sociale, mais diffèrent dans la manière dont les attaquants vous contactent. Le phishing repose sur des e-mails contenant de fausses pages de connexion, le smishing utilise des SMS frauduleux et le vishing recourt à des appels vocaux pour obtenir des informations privées. Les criminels se font souvent passer pour des sources fiables et proposent des offres urgentes ou alléchantes pour inciter leurs victimes à révéler des informations sensibles.
Les personnes ayant une connaissance limitée de la cybersécurité ou des protections obsolètes sur leurs appareils sont les cibles privilégiées, qu'il s'agisse de phishing, de smishing, de vishing ou de toute autre escroquerie par ingénierie sociale. Les attaquants se concentrent également sur les grandes organisations où un seul employé non formé peut permettre un accès non autorisé. Les personnes de grande valeur (cadres, personnalités publiques ou personnel de santé) peuvent être confrontées à des attaques intensifiées en raison des données qu'elles traitent.
Connaître la différence entre le phishing, le smishing et le vishing peut vous aider à repérer les signaux d'alerte. Vérifiez les sources des e-mails et les URL pour détecter le phishing, méfiez-vous des liens textuels dans le smishing et remettez en question les appels non sollicités qui vous demandent des informations personnelles dans le vishing. Les escroqueries se caractérisent souvent par des salutations génériques, un langage urgent ou des pièces jointes suspectes. Vérifier l'authenticité via un deuxième canal peut permettre d'éviter ces menaces.
Tout le monde peut être victime de phishing, de smishing ou de vishing, mais les personnes qui effectuent des transactions financières, les télétravailleurs ou les employés disposant de comptes privilégiés sont souvent exposés à des risques plus élevés. Les attaquants s'attaquent aux utilisateurs occupés et distraits, trop concentrés sur leurs tâches pour examiner attentivement chaque appel ou message. Les petites et grandes entreprises sont des cibles potentielles si la formation à la sécurité est négligée.
Les outils antivirus permettent de bloquer certaines menaces spécifiques, mais ne peuvent pas offrir une protection totale contre l'ingénierie sociale. Il est essentiel de comprendre la différence entre le phishing, le smishing et le vishing, car ces tactiques exploitent la confiance humaine plutôt que les vulnérabilités logicielles. Les solutions antivirus complètent les formations de sensibilisation, les filtres de messagerie et l'authentification multifactorielle, mais les utilisateurs doivent rester vigilants et méfiants face aux liens, appels ou messages suspects.
