Phishing : comment les pirates dérobent vos données personnelles

La plupart des campagnes de phishing reposent aujourd’hui sur l’exploitation des failles humaines plutôt que sur des vulnérabilités informatiques.

Le phishing est l’une des formes de cyberattaques les plus faciles à mettre en place pour les cybercriminels, il est donc assez logique qu’elle soit l’une des plus utilisées. En plus d’être simple à mettre en place, ce type de cyberattaque fonctionne toujours bien, et ce, malgré les campagnes de sensibilisation pour informer les internautes. Le fait est que le phishing exploite surtout les vulnérabilités psychologiques humaines pour fonctionner plutôt que des failles informatiques – même si cela n’est pas exclu – et c’est pourquoi cette technique continue encore aujourd’hui d’être très utilisée et de faire de nombreuses victimes.

Qu’est-ce que le phishing ?

Le phishing ou hameçonnage est une technique utilisée par les cybercriminels pour obtenir des informations personnelles dans le but d’usurper l’identité de leurs victimes, de vider leur compte ou encore d’installer des logiciels malveillants sur leur appareil. Dans ce cas, le phishing n’est qu’un moyen pour les pirates informatiques de s’introduire sur une machine afin d’installer des malwares, chevaux de Troie ou encore des ransomwares et faire davantage de dégâts.

Dans la majorité des cas, les campagnes de phishing se déroulent par mail, mais elles peuvent également être diffusées par SMS, par appels vocaux ou encore sur les réseaux sociaux via des messages personnels, des publications ou simplement des publicités frauduleuses (concours, offres exclusives, etc.). Les messages envoyés via les différents canaux prétendent provenir d’une personne de confiance, d’une marque bien connue, d’un service de facturation d’une entreprise ou encore d’une autorité. Les cybercriminels adeptes de cette technique tentent en effet de tromper et de manipuler leur cible en se faisant passer pour quelqu’un d’autre. On parle ainsi d’ingénierie sociale.

Des messages persuasifs

Que ça soit par mail, SMS ou par message via les réseaux sociaux, les campagnes de phishing exploitent plusieurs astuces psychologiques pour atteindre leur but. L’objectif premier de ce type d’arnaques est de récupérer des données privées. Pour cela, les cybercriminels se font passer pour un proche, une marque ou une autorité afin de mettre en confiance ou la pression à leurs cibles. De cette manière, elles seront plus facilement manipulables.

En jouant sur l’urgence et la menace, les hackers cherchent à faire paniquer leurs victimes pour qu’elles suivent leurs instructions sans prendre le temps de se poser des questions. Ils peuvent par exemple se faire passer pour Netflix, un fournisseur d’Internet ou les impôts et prétendre que leurs victimes s’exposent à une résiliation d’abonnement ou à une amende pour une facture soi-disant impayée si elles ne se mettent pas rapidement en règle. Les délais pour régler une facture sont souvent très courts, de même que les montants à payer. Cela pousse les victimes à payer la somme demandées dans l’urgence, sans se poser plus de questions. L’objectif premier des victimes est d’éviter les frais de retard ou que leur abonnement soit résilié.

Certaines campagnes de phishing offrent soi-disant des cadeaux.

À noter que toutes les campagnes de phishing ne jouent pas sur la peur, même si c’est la forme la plus répandue. L’hameçonnage peut également prendre la forme de jeux-concours ou de cadeaux, mais le fonctionnement restera le même. Et la campagne peut malgré tout jouer sur l’urgence en indiquant au gagnant qu’il n’a plus que quelques heures pour remplir le formulaire et gagner une voiture ou un bon d’achat d’une certaine valeur.

La campagne de phishing est plutôt simple et repose sur l’exécution d’un virement bancaire ou le renseignement de diverses informations personnelles, mais il arrive que ce type de cyberattaque soit plus complexe et implique le téléchargement d’un fichier malveillant, la connexion à un site frauduleux ou encore l’installation d’un logiciel vérolé. Tout dépend des objectifs et de la complexité de la campagne de phishing.

Des objectifs divers et variés

L’un des objectifs du phishing est de soutirer de l’argent aux victimes, mais dans certains cas, les cybercriminels sont plus vicieux et veulent mettre la main sur les données bancaires de leurs cibles, afin de vider leur compte, ou sur leurs informations personnelles dans le but d’usurper leur identité. C’est pourquoi leur mail, SMS ou message va renvoyer les cibles vers une plateforme copiant le design du service pour lequel ils se font passer et vont récupérer toutes les données renseignées par leurs victimes (nom, prénom, adresse mail, identifiant, mot de passe, etc.).

Dans certains cas, les hackers peuvent faire en sorte d’intégrer des logiciels capturant toutes données saisies sur une page de connexion ou simplement afficher une fausse page de connexion, afin de récupérer les identifiants des utilisateurs.

Dans d’autres cas, le but des pirates informatiques peut être, comme nous l’avons déjà évoqué, de prendre le contrôle des ordinateurs et smartphones de leurs victimes. Dans ce cas, les messages frauduleux envoyés ne seront pas tout à fait les mêmes. Ils joueront toujours sur l’urgence et la menace pour tenter de duper la vigilance de leurs victimes et les pousser à agir vite, sans se poser de questions, mais ici, ils chercheront à les pousser à ouvrir une pièce jointe ou à cliquer sur un lien de téléchargement.

Si les internautes veulent éviter de payer une amende ou des frais supplémentaires, ils vont en effet devoir télécharger un formulaire à remplir ou se rendre sur un site Internet pour installer un logiciel. Malheureusement, la pièce jointe cachera un logiciel malveillant qui se déploiera sur la machine de la victime pour en prendre le contrôle et installer un virus tiers ou pour voler des données privées dans le but de faire chanter ses victimes. Dans certains cas, le site vers lequel le mail renvoyait exécutera le téléchargement d’un logiciel malveillant qui permettra aux hackers d’avoir le contrôle de l’ordinateur sur lequel il a été téléchargé.

Exploiter les « vulnérabilités » informatiques

L’une des techniques fréquemment utilisées dans ce type de cyberattaques repose sur l’exploitation des macros Microsoft Office. Il s’agit d’une fonctionnalité du logiciel de traitement de texte de Microsoft qui permet d’activer des commandes automatiques pour exécuter facilement des tâches. Ces commandes sont souvent activées par défaut et peuvent servir à exécuter du code malveillant à distance, à  l’insu des utilisateurs.

Un mail provenant du service des impôts ou de son supérieur peut contenir un fichier Microsoft Office lisible uniquement si les macros sont activées sur le logiciel. Le message va alors indiquer à ses cibles qu’elles doivent activer cette fonction pour voir correctement le contenu du fichier. Malheureusement, en faisant cela, elles vont surtout permettre aux pirates informatiques d’exécuter du code malveillant sur leur ordinateur et donc potentiellement leur fournir le contrôle de sa machine.

Les personnes malveillantes peuvent également mettre à profit une fonctionnalité utile de Windows 10 pour réaliser leur méfait : PowerShell. Il s’agit d’un outil qui permet – entre autres – l’exécution de commandes. Pour exploiter cet outil présent par défaut sur l’ensemble des machines sous Windows, les pirates informatiques incitent leurs victimes à cliquer sur un lien pour l’une ou l’autre réseau. Ce lien est évidemment frauduleux et exécutera une commande PowerShell malveillante. Vu que l’attaque utilise une fonction légitime de Windows, elle sera plus difficile à repérer.

L’actualité et les tendances comme toile de fond 

Que ça soit par mails ou via les réseaux sociaux, les campagnes de phishing s’inspirent souvent de l’actualité ou des tendances pour cibler leurs victimes. C’est pourquoi la plateforme de steaming Netflix – particulièrement populaire – fait  souvent l’objet d’une usurpation d’identité que ça soit à travers des mails, mais aussi des publicités sur les réseaux sociaux ou simplement de faux sites reprenant son nom et le design de sa plateforme.

Voici un exemple de site qui imite le design de la plateforme Netflix.

La pandémie de coronavirus a été également particulièrement exploitée par les hackers pour lancer des campagnes d’hameçonnage que ça soit pour recevoir des informations exclusives, connaitre des moyens de s’en protéger ou encore de se faire vacciner. Les grands événements tels que la Coupe du monde de football sont également exploités par les pirates informatiques pour des campagnes de phishing.

L’hameçonnage se répand donc de différentes façons et poursuivre divers objectifs. Il arrive que certaines campagnes soient particulièrement bien faites. C’est pourquoi il faut toujours se montrer prudent lorsqu’on reçoit un mail urgent ou que l’on voit passer une publicité trop alléchante sur la toile. On vous explique ici comment faire pour éviter de vous faire avoir par une campagne de phishing.