Thème Antiphishing

Le phishing est le type d'escroquerie le plus utilisé par les cybercriminels et les e-mails constituent leur plateforme de prédilection : leur succès repose sur l'envoi de messages frauduleux comme s'ils provenaient d'organisations légitimes.

CAT - Cloud Antivirus Technologies - Partenaire officiel solutions de sécurité pour les entreprises Endpoint Avast et AVG en Tunisie vous présente : Le Guide de l’antiphishing pour les PRO sur SMB cyber-info : Instructions destinées aux entreprises et aux employés pour reconnaître un e-mail de phishing Le phishing est le type d'escroquerie le plus utilisé par les cybercriminels et les e-mails constituent leur plateforme de prédilection : leur succès repose sur l'envoi de messages frauduleux comme s'ils provenaient d'organisations légitimes. Avec ce guide vous apprendrez : Pourquoi les pirates utilisent les e-mails de phishing et comment repérer et alerter les employés. Quel est l’objectif principal du phishing ? Comment reconnaître les emails de phishing ? Que faire si vous soupçonnez une attaque de phishing ?

⭐ Pourquoi les pirates utilisent les e-mails de phishing et comment repérer et alerter les employés.

⭐ Quel est l’objectif principal du phishing ?

⭐ Comment reconnaître les emails de phishing ?

⭐ Que faire si vous soupçonnez une attaque de phishing ? La suite >>

CAT - Cloud Antivirus Technologies vous présente : Qu’est-ce que le phishing ? Le guide ultime des e-mails de phishing et des escroqueries. Alors arrêtez-moi si vous avez entendu ceci : un prince nigérian se retrouve dans une grave situation : son père lui a laissé une énorme somme d'argent sur un compte à l'étranger, environ 32 millions de dollars, qu'il doit réclamer dans un délai d'un mois. Téléchargez AVG AntiVirus GRATUITEMENT Obtenez-le pour Android , iOS , Mac AV-comp-top-produit-2022 Produit le mieux noté en 2022 Icône de produit AV-Test-Top Produit le mieux noté en 2022 What_is_Phishing-Hero Écrit par Joseph Regan Mis à jour le 11 octobre 2023 Le problème est qu’il y a un certain nombre de frais de signature et d’avocat qui doivent être payés avant qu’il puisse légalement transférer l’argent. Alors il vous envoie un e-mail pour tenter de conclure un accord : si vous pouvez lui envoyer l'argent dont il a besoin (environ 20 à 30 000 k) et cosigner le virement bancaire, il vous enverra 30 % de la fortune de son père : un cadeau sympa. 9,6 millions de dollars. Il n'est pas surprenant que si vous décidiez d'accepter son offre, il accepterait votre argent avec plaisir et ne vous contacterait plus jamais. C'est ce qu'on appelle une arnaque 419, et c'est l'une des versions les plus connues d'une escroquerie par phishing. …c’est pourquoi on ne le voit presque plus. Qu’est-ce que le phishing ? Le phishing, en plus d'être un grand mot pour les jeux de mots à base de poisson, est essentiellement toute tentative de tromper les gens par le biais d'un e-mail, de SMS, d'appels téléphoniques ou d'un faux site Web . L'objectif peut être n'importe quoi : essayer d'amener les gens à vous envoyer de l'argent, à vous transmettre des informations sensibles ou même simplement à télécharger des logiciels malveillants sans le vouloir, et les auteurs de ces attaques auront recours au mensonge, à la supercherie, à la contrefaçon et à la manipulation pure et simple pour les voir réussir. . Pour cette raison, le phishing est ce que nous appelons l’ingénierie sociale : une sorte d’attaque qui, pour fonctionner, s’appuie sur la faillibilité humaine plutôt que sur une faille matérielle ou logicielle. Le phishing est une tentative de tromper quelqu'un, généralement par courrier électronique. Cela dit, étant donné que la plupart des tentatives de phishing consistent à vous faire cliquer sur des liens corrompus pour télécharger des logiciels malveillants ou vous envoyer vers de faux sites Web, un bon antivirus vous aidera à vous protéger même des contrefaçons les plus sophistiquées. Tout est de la faute d'AOL Depuis qu'il existe un langage, les gens se mentent et s'arnaquent les uns les autres. Le phishing est donc, à bien des égards, la plus ancienne cybermenace au monde. Mais le premier cas de « phishing » en tant que terme a été enregistré le 2 janvier 1996, dans un groupe de discussion Usenet appelé AOHell, parlant de la montée des escrocs et des menteurs sur America Online. Le mot est évidemment inspiré du terme « pêche », car il s’agit d’essayer d’attirer quelqu’un dans un piège, mais remplacer le « f » par un « ph » fait référence à un autre vieux terme d’argot « phreaking », qui désigne l’étude, l’exploration, et la dissection des systèmes de télécommunications. Le « ph » a été emprunté pour relier les escroqueries au ventre sombre et miteux de la communauté phreaking (appelée communauté warez à l’époque) d’où elles sont originaires. Les toutes premières attaques de phishing consistaient en des personnes se faisant passer pour des employés d'AOL et demandant aux gens de confirmer leur adresse de facturation auprès de l'entreprise. Comme c'était avant que le phishing ne devienne bien connu et que les entreprises n'adhéraient pas à la même rigueur qu'aujourd'hui, les gens tombaient souvent dans le piège de ce type d'escroquerie. AOL est finalement devenue la première entreprise à avertir les gens qu'ils ne demanderaient jamais ce genre d'informations par courrier électronique, mais le mal était alors fait. La viabilité des attaques de phishing a été prouvée et il n’y avait aucun retour en arrière possible. Tous les enfants cool le font Bien que les ransomwares puissent faire l’actualité, les attaques de phishing sont de loin le type de menace en ligne le plus courant et le plus souvent réussi. Leur prévalence est en grande partie due à leur polyvalence : le phishing peut être à la fois un objectif en soi et une méthode de diffusion d'autres attaques. Si l’on ajoute à cela le fait que les gens tombent amoureux d’eux chaque jour, les pirates n’ont aucune raison de réparer ce qui n’est pas cassé. Voici quelques données concrètes pour vous : Le courrier électronique est le système de diffusion n°1 pour tous les logiciels malveillants. La fréquence des spams a quadruplé depuis 2016, et plus de la moitié d’entre eux sont malveillants. 76 % des organisations ont déclaré avoir été victimes d'une attaque de phishing en 2016. Une enquête mondiale menée l'année dernière indique que deux personnes sur trois ont été victimes d'une escroquerie au support technique au cours des 12 mois précédents , selon la Microsoft Digital Crimes Unit. Les cybercriminels créent en moyenne environ 1,4 million de sites Web de phishing chaque mois avec de fausses pages conçues pour imiter l'entreprise qu'ils usurpent. Les dix principaux leurres de phishing d'informations d'identification de 2016 Donc c'est comme du spam, non ? Même si le phishing et le spam se chevauchent souvent, les deux restent des bêtes très distinctes. Le spam est tout courrier électronique indésirable ou produit en masse qui tente d’encombrer votre boîte de réception, alors que le phishing poursuit un objectif très spécifique et très illégal. Les e-mails de phishing peuvent être du spam, et pour le profane comme moi, c'est généralement le cas. Mais si vous êtes PDG, propriétaire d'entreprise ou, par exemple, président de campagne, il est très possible que des pirates informatiques aient conçu à la main une escroquerie de phishing unique pour vous spécifiquement, auquel cas elle ne pourrait pas être classée comme spam.Phishing vs spam : ce n'est pas la même choseDe la même manière, le spam est ennuyeux mais pas illégal ou vraiment « mauvais » en soi. Comme beaucoup de choses dans la vie, le spam est aussi bon ou aussi mauvais que les personnes qui l'utilisent : peu importe si vous êtes une entreprise locale essayant de faire connaître vos bas tarifs ou un pirate informatique essayant de propager son supervirus qui met fin au monde. Il s’agit d’un outil populaire auprès des phishers, comme nous l’avons vu, mais les deux termes ne peuvent toujours pas être utilisés de manière interchangeable. Que se passe-t-il si je suis accro ? L’effet d’une arnaque par un e-mail de phishing dépend exactement de ce que l’escroc veut vous prendre. Dans l’exemple du début de cet article, c’est assez simple : ils veulent votre argent. Cela dit, certaines de ces escroqueries demanderont également une « preuve d'authenticité » en vous demandant de scanner et de leur envoyer votre passeport, votre permis de conduire, etc., ce qui signifierait qu'elles pourraient voler ou vendre votre identité. Mais comme ces types d’escroqueries sont moins populaires de nos jours, il est peu probable que quiconque tombe dans le piège. Les types d'attaques de phishing les plus courants sont ceux qui tentent de vous inciter à fournir un nom d'utilisateur et un mot de passe, soit en créant un lien vers une fausse version d'un site en qui vous avez confiance et en vous demandant de vous connecter, soit en vous demandant de l'envoyer par e-mail (voir ci-dessous). ). Dans ces cas-là, non seulement vous compromettez spécifiquement ce compte, mais si vous faites partie des quelque 84 % de personnes qui réutilisent leurs mots de passe , vous risquez également de compromettre tous vos autres comptes. Enfin, si vous tombez dans le piège d'une attaque de phishing qui vous demande de télécharger une pièce jointe malveillante et que votre antivirus ne l'arrête pas, alors félicitations, vous avez un ordinateur infecté. Ce qui se passe ensuite dépend en grande partie de ce que le malware est censé faire, mais cela peut aller du vol de vos données, à la détention d'une rançon, à la suppression de tout, à l'obligation de rejoindre un botnet ou simplement à « emprunter » votre puissance de traitement pour extraire du Bitcoin. Types d'attaques de phishing Il existe de nombreux types d'attaques de phishing, mais elles reposent toutes sur le même mécanisme de base : exploiter la confiance humaine, l'ignorance ou l'apathie afin de nous amener à faire quelque chose que nous ne devrions vraiment pas faire. Spear phishing – Viser les étoiles (littéralement) Certains phishers se contentent de voler l’argent, les données et la sécurité de toute personne qu’ils peuvent attraper dans leur filet. Mais d’autres ont des objectifs plus ambitieux : que ce soit pour des raisons personnelles, politiques ou financières, ils décident de cibler des personnes spécifiques et de haut niveau. C'est ce qu'on appelle le spear phishing , à la fois parce qu'il est plus précis et parce qu'il cible souvent les « baleines », qui sont des politiciens de haut niveau, des célébrités et des PDG, qui ont tous accès à des données précieuses (et à une grande partie de cet argent). Le spear phishing est une attaque précise contre une cible spécifique et très médiatisée comme un PDG, alias une « baleine ». En imitant un contact connu, un employé, un ami, un associé ou même une autre organisation, les Spear Phishers envoient à leurs cibles des e-mails soigneusement conçus, bien documentés et souvent extrêmement spécifiques. Habituellement, l’objectif final est de les amener à télécharger des logiciels malveillants qui leur donneront accès au système, mais un nom d’utilisateur et un mot de passe pourraient également leur donner des pouvoirs administratifs sur le réseau, ce qui serait tout aussi désastreux. Si les pirates veulent harceler une entreprise ou une organisation dans son ensemble, ils tenteront probablement une attaque par point d'eau , dans laquelle les attaquants suivront l'organisation jusqu'à un site qu'elle utilise souvent (le plus souvent Whatsapp, Facebook ou Slack) et enverront des liens de phishing de cette façon. . Ceux-ci, tout comme les e-mails largement personnels envoyés aux individus, ont tendance à être bien documentés et difficiles à distinguer des messages plus authentiques. Parce qu'elles sont très personnalisées, ces attaques ont à peu près autant de succès que les anciennes attaques d'AOL et sont à l'origine de 91 % des piratages réussis contre des organisations . Phishing par clone – Jumeaux maléfiques Nous recevons tous des e-mails officiels de nos fournisseurs de services, y compris des pirates informatiques. Et tandis que nous voyons une gêne ou une corvée, eux voient une opportunité. Le phishing par clonage se produit lorsqu'un pirate informatique copie un e-mail légitime envoyé par une organisation de confiance, mais remplace ou ajoute un lien qui mène à un faux site Web malveillant. Ensuite, ils envoient cet e-mail en masse et voient qui clique. Parfois, le lien mènera à un site infecté, mais il est plus courant de nos jours d'essayer simplement de voler votre nom d'utilisateur et votre mot de passe avec un faux écran de connexion. De cette façon, ils peuvent accéder à n'importe quel compte auquel vous essayez de vous connecter… et à tout autre compte qui utilise le même mot de passe (d'où la raison pour laquelle vous ne devriez jamais utiliser deux fois le même mot de passe ). Si un logiciel malveillant présent sur votre PC ou votre routeur vous redirige vers un faux site, c'est ce qu'on appelle du pharming . Nom similaire, mais en dehors de l'objectif de voler les identifiants de connexion (et le « Ph » dans le nom), il n'y a pas grand-chose en commun entre ces deux attaques. 419 escroqueries – l’affaire d’une vie Bien qu’elle porte le nom de l’article du code pénal nigérian traitant de la fraude, une arnaque 419 peut provenir de n’importe où dans le monde. Traditionnels et bien connus au point de ne rien valoir, ces systèmes utilisent des histoires élaborées pour tenter de vous soutirer de l'argent, et éventuellement de voler vos données personnelles pour un bon vieux vol d'identité. De nos jours, les escrocs commencent comme correspondants ou partenaires à distance avant que le « malheur » ne les frappe et ils ont soudainement besoin d’argent. Dans le passé, ces histoires étaient beaucoup plus courantes et les histoires impliquées impliquaient généralement la promesse de récompenses plus importantes si vous payiez un montant relativement faible. De nos jours, les cibles ont tendance à se lier d'amitié au préalable en tant que correspondants ou partenaires à distance, avant qu'un « malheur » ne survienne et que l'escroc ait soudainement besoin d'argent, exploitant le caractère charitable de sa victime. Ces nouvelles escroqueries s'apparentent certes au phishing, mais elles s'apparentent techniquement davantage au « catfishing » ou au « spoofing », nous n'entrerons donc pas dans les détails ici. Pourtant, pour l’histoire, ils méritent d’être mentionnés. Phishing par téléphone : plutôt PHONE-IES amirite ? La plupart des attaques de phishing se produisent dans votre boîte de réception. Mais pas tout. Parfois, des phishers vous appellent ou vous envoient des SMS en prétendant provenir de votre banque locale ou de la police, affirmant qu'il y a des problèmes avec votre compte qu'ils doivent résoudre. Une fois que vous avez transmis vos numéros de compte et votre code PIN, ils vident votre compte, ce qui est à l’opposé du problème que vous cherchiez à résoudre. C'est ce qu'on appelle le phishing téléphonique, ou Vishing , pour « voice phishing ». Le phishing peut également se produire par téléphone Même s’il n’a pas autant de succès que le phishing par courrier électronique, le phishing par téléphone est en hausse. En plus de se faire passer pour votre banque, les fraudeurs peuvent également se faire passer pour l'IRS, le support technique ou une entreprise de services publics. Rien n’est vraiment hors de question. Livraison spéciale : c'est un malware ! En plus d'essayer de voler vos données, comme nous l'avons évoqué, presque tous les types de phishing peuvent être utilisés pour diffuser des logiciels malveillants sur le système de quelqu'un. Un lien peut mener vers un site Web compromis, une pièce jointe peut être un malware. Bon sang, même un document Google ou une feuille de calcul peut désormais être un malware, grâce à la montée des attaques sans fichier – qui prennent un logiciel fiable et sûr et le rendent malveillant en recodant ses mécanismes internes. Les types d’astuces que les gens peuvent utiliser n’ont fait que croître à mesure que de plus en plus d’appareils et de services sont introduits dans nos vies. Les gens ont utilisé des invitations trompeuses sur Google Docs , le partage Dropbox , de fausses factures, factures, fax… tout ce à quoi ils peuvent penser pour vous inciter à cliquer et à télécharger le fichier. Comme nous l'avons mentionné, cette méthode est si courante et si efficace qu'elle est facilement devenue la méthode de choix pour diffuser des logiciels malveillants, trompant chaque année des millions de personnes dans le monde. La bonne nouvelle, cependant, est que les logiciels malveillants ne peuvent pas utiliser l’ingénierie sociale pour contourner un bon antivirus. Ainsi, même si le phishing peut introduire des logiciels malveillants dans votre boîte de réception, AVG peut les empêcher de causer des dommages. Mais nous prenons de l'avance. Exemples d'e-mails de phishing Le problème des attaques de phishing est qu'elles sont à la fois si courantes et si spécifiques à l'époque et aux circonstances qui les entourent, que chaque exemple individuel peut être assez banal. Nous analyserons ci-dessous un e-mail de phishing courant, mais il arrive encore de nombreux cas où le phishing fait la une des journaux. Jetons un coup d'oeil, d'accord ? Poursuivre les phishers en justice Nous avons déjà parlé des toutes premières attaques de phishing sur AOL, imitant les membres du personnel afin d'obtenir les informations de paiement des gens. Mais AOL a eu une autre première dans le monde du phishing : en 2004, la Federal Trade Commission des États-Unis a intenté la toute première action en justice contre un phisher présumé, un adolescent californien, qui aurait utilisé une fausse version du site Web d'AOL pour voler les informations de carte de crédit des gens. . Un an plus tard, le sénateur Patrick Leahy a présenté la loi anti-hameçonnage de 2005 , qui a solidifié la loi concernant la criminalité des faux sites Web et courriels, les contrevenants étant passibles d'une amende pouvant aller jusqu'à 250 000 dollars et d'une peine de prison pouvant aller jusqu'à cinq ans. Devenir grand au Royaume-Uni Dans ce qui a été appelé « le plus grand cas traité par l'unité d'action anti-fraude de la police du Met », trois hommes ont été arrêtés en 2013 après avoir escroqué 59 millions de livres sterling auprès de clients de banques dans plus de 14 pays en utilisant plus de 2 600 fausses pages imitant des sites Web bancaires. Vivant dans des hôtels luxueux au Royaume-Uni, ils ont finalement été arrêtés alors qu'ils utilisaient le Wi-Fi de l'hôtel pour se connecter à des serveurs stockant des informations bancaires compromises. (S'ils avaient connu les dangers du Wi-Fi ouvert, ils auraient peut-être échappé à la capture. Utilisez un VPN , criminels !). Chaque homme a été envoyé en prison pour un total de 20 ans et les données de près de 70 millions de clients bancaires ont été récupérées peu de temps après. Opération Phish Phry Non seulement cette enquête de deux ans menée par les autorités américaines et égyptiennes a révélé le meilleur nom de code au monde , mais elle a également conduit à l'inculpation de 100 personnes pour avoir utilisé des escroqueries par phishing afin de voler les détails des comptes de milliers de personnes en 2009. Alors qu'elles étaient en activité , les escrocs avaient réussi à voler 1,5 million de dollars. En fin de compte, certains des accusés passeraient environ 20 ans en prison. D’autres s’en tireraient plus facilement, mais tout le monde s’est félicité du travail bien fait dans cette enquête internationale de phishing, qui a été qualifiée de plus grande affaire internationale jamais menée. Et voici une anecdote amusante pour vous : le directeur du FBI qui a supervisé tout cela ? Robert Mueller. Ouais, c'est exactement la même chose. Reste sur la cible… Le piratage de Target en 2013 a attiré l'attention du monde entier lorsqu'il a été découvert que les données de plus de 110 millions de clients avaient été compromises, obligeant l'entreprise à se démener pour sécuriser ses avoirs et avertir les clients concernés. Mais ce que vous ne savez peut-être pas, c'est que tout a commencé à cause d'une attaque de phishing . Mais pas contre Target lui-même : les pirates ont plutôt hameçonné un entrepreneur en chauffage, ventilation et climatisation basé à Pittsburgh, qui était connecté au système de Target grâce à leur partenariat étroit. Le piratage de Target – l'une des plus grandes fuites de données de l'histoire – a commencé par une attaque de phishing Après que les informations d'identification du réseau ont été volées via une escroquerie par hameçonnage par courrier électronique, un logiciel malveillant a été injecté dans le système qui s'est propagé à Target et a récupéré les données de carte de crédit de milliers de caisses enregistreuses. Il s’agit également de l’un des premiers cas où la mauvaise gestion de l’exécutif pourrait être directement imputée à l’incident. Le PDG et le CIO de Target ont été licenciés parce qu'ils connaissaient les failles de leur sécurité mais n'avaient pas réussi à y remédier correctement. C'est bien de voir Karma boucler la boucle, mais ce n'était qu'un maigre réconfort pour les millions de personnes piratées. Et maintenant les choses deviennent politiques Les plus grandes escroqueries par phishing de l'année dernière sont peut-être venues de la scène politique américaine lorsque le président de campagne d'Hilary Clinton, John Podesta, est tombé dans le piège d'un e-mail de phishing qui a conduit à la fuite de ses e-mails privés. Souvent cité comme un moment charnière de l’élection de 2016, le piratage a révélé des informations personnelles et professionnelles sur l’ancien candidat et a déclenché à la fois une discussion sur la cybersécurité et une enquête sur le coupable. Mais l'autre côté du spectre politique a également eu des problèmes de phishing : Gizmodo a montré à quel point la Maison Blanche de Trump est vulnérable en hameçonnant l'ensemble de son personnel , montrant comment huit personnes (dont le conseiller Newt Gingrich et le directeur du FBI James Comey) sont tombées sous le charme de leur courrier électronique. Quels sont les indicateurs courants d’une tentative de phishing L’objectif des e-mails de phishing étant variable, il peut être difficile d’en identifier les signes. Voici quelques-uns des signes les plus courants à surveiller dans un e-mail de phishing : Mauvaise orthographe et grammaire : les messages de phishing sont souvent en proie à des erreurs d'inattention et à une formulation bâclée qui ne passeraient jamais devant les correcteurs d'épreuves d'une organisation légitime. Imprécision : dans le but de piéger autant de victimes que possible dans leur filet, les escrocs gardent généralement les messages de phishing vagues et incluent le moins d'informations spécifiques ou personnelles possible. Demandes inhabituelles : afin d' obtenir socialement la réponse souhaitée de la part de leurs victimes, les stratagèmes de phishing peuvent impliquer des scénarios assez farfelus et des demandes inhabituelles. Sollicitation d'informations personnelles : les entreprises réputées ne recherchent pas d'informations personnelles par e-mail ou par SMS. Si vous recevez des demandes de confirmation d’informations de connexion ou d’autres données sensibles, c’est un énorme signal d’alarme. Liens ou pièces jointes étranges : ne cliquez pas sur des liens et ne téléchargez pas de pièces jointes que vous ne vous attendez pas à recevoir ou qui proviennent d'expéditeurs inconnus. Avant de cliquer, survolez le lien pour vérifier son URL. Et méfiez-vous des pirates qui créent de faux sites Web avec des URL trompeuses ressemblant à des URL légitimes. Adresses de retour inhabituelles ou mal orthographiées : il s'agit d'un autre signe d'avertissement majeur indiquant que les choses ne sont pas ce qu'elles pourraient paraître. Recherchez les coordonnées de l'organisation sur leur site Web et vérifiez directement toute communication avec eux. Comment repérer un e-mail de phishing Parce que les objectifs des e-mails de phishing sont très variés, le « look » de chacun est également assez différent. Bien que nous examinions quelques exemples, la plupart d'entre eux ont les mêmes « attributs » de base : Mauvaise orthographe/grammaire Imprécision Liens/pièces jointes étranges Adresses de retour inhabituelles ou mal orthographiées Malheureusement, ces attributs ne se retrouvent pas dans les e-mails de spear phishing, qui sont conçus pour tromper des personnes ou des organisations spécifiques. Ils ne sont donc ni vagues et n'utilisent pas stratégiquement l'orthographe et la grammaire médiocres d'autres e-mails de phishing plus courants. Mais n’allons pas trop loin. Phishing par clone Un faux e-mail de phishing de TrustedBankIl s’agit d’un exemple typique d’e-mail de phishing par clonage, et il contient tous les indices : d’une part, vous n’êtes pas adressé directement et aucun indice personnel n’est inclus dans le corps de l’e-mail. Pour prouver l'authenticité, les e-mails envoyés par les services réels incluront votre nom, votre numéro de compte ou toute autre information dont ils disposent pour montrer qu'ils sont la vraie affaire. Cet e-mail manque complètement de cela. Mais le deuxième indice, le plus évident, est le lien électronique : il mène à un site http, qui n'est ni vérifié ni sécurisé. Tout lien authentique mènerait à un site HTTPS, mais parfois ils essaieront de masquer le lien en utilisant l'hypertexte :Un faux email de phishing Netflix avec des liens hypertextes corrompusmais vous pouvez toujours passer la souris sur pour voir où il mène. Cela dit, la chose la plus sûre à faire si jamais vous recevez un tel e-mail est de ne pas cliquer sur le lien, mais de visiter la page directement depuis votre navigateur Web. De cette façon, vous pouvez être sûr d’aller sur le site authentique. L’e-mail ci-dessus montre également certaines des autres marques d’un e-mail de phishing : une mauvaise grammaire. Non, ce n'est pas strictement dû au fait que tous les hackers ont échoué en anglais au lycée. Souvent, une mauvaise grammaire et une mauvaise orthographe sont intentionnelles. Les pirates pensent que si quelqu'un ne remarque pas les erreurs d'orthographe ou de grammaire, il est négligent et peut-être même un peu stupide, ce qui signifie qu'il réagira plus lentement au vol de ses informations, s'il le remarque. Examinons l'autre type d'e-mail le plus courant… E-mails de livraison de logiciels malveillants Ce sont délicieusement simples.Un e-mail d'invitation de phishing à Google DocCeci est un exemple du récent malware Google Doc, dont nous avons parlé en passant ci-dessus. Dès que vous cliquez sur le bouton « Ouvrir dans Docs », vous invitez des logiciels malveillants à pénétrer dans votre ordinateur. Regardons-en un autre :Pièce jointe d'un logiciel malveillant dans un e-mail de phishinget d'autres sont encore moins subtils :Un e-mail ordinaire avec une pièce jointe malveillanteces e-mails n'essaient pas vraiment de vous « tromper » : le bon sens et un peu de pensée critique conduiraient la plupart des gens à simplement les supprimer. Au contraire, les pirates exploitent l’apathie et la curiosité dans une égale mesure : les mêmes outils qu’ils utilisent pour inciter les gens à brancher des clés USB infectées. Pourtant, leurs marques sont très révélatrices : d’une part, les extensions de fichiers dans les deux derniers e-mails sont des signes évidents. Il n'y a aucune raison pour qu'une image numérisée soit un fichier ZIP, et personne n'est obligé de vous envoyer une page HTML pour résoudre les problèmes de compte. Les expéditeurs sont également assez étranges : je suis presque sûr que personne chez Buzzfeed n'a besoin de votre collaboration sur des articles, et « hortonhouse1@horntonhouse1.karzoo » n'est pas le nom d'utilisateur le plus crédible. Pour le second, l’adresse de retour est plus convaincante, mais leur support client aurait-il vraiment le .com à son nom ? Si vous n'êtes pas sûr, vous pouvez toujours consulter la page de contact du site Web. Mais bien sûr, vous ne devriez jamais télécharger quoi que ce soit dont vous n’êtes pas sûr. C'est le conseil numéro 1 pour les e-mails, et dans la vie, à certains égards. Hameçonnage Le spear phishing est une bête plus délicate.Un e-mail de spear phishing se faisant passer pour un e-mail de confirmation de GoogleComme vous pouvez le constater, un e-mail de spear phishing bien conçu évite bon nombre des avertissements précédents. Il est destiné à une personne spécifique, il utilise un site Web HTTPS et aucune faute de grammaire ou d’orthographe n’est trouvée. Dans ce cas, le principal révélateur serait l’expéditeur : Google ArAutoBot, ce qui devrait faire sourciller quelqu’un. Mais si vous êtes occupé au travail et que vous ne faites que jeter un coup d'œil, ce serait un détail facile à manquer. Parfois, les faux comptes seront plus difficiles à repérer : l’utilisation de caractères d’autres langues qui semblent identiques aux caractères anglais peut signifier que quelqu’un a techniquement une URL différente, mais qu’elle est exactement la même. Par exemple, utiliser un A majuscule grec plutôt qu'un A anglais : cela semble identique à un humain, mais à un ordinateur, ils semblent très différents. La nature personnalisée de ces e-mails explique en partie leur succès. Une meilleure planification, comme avertir quelqu'un avant d'envoyer un e-mail ou vérifier à nouveau ce que sont exactement les pièces jointes ou les liens avant de les ouvrir, pourrait empêcher ces attaques, mais pour beaucoup, le risque d'attaques de phishing ne vaut pas la peine de se préparer. pour eux. C’est la raison pour laquelle les pirates informatiques aiment tant utiliser cet outil. Aide! J'ai un e-mail de phishing dans ma boîte de réception ! Alerte sirène rouge appelant à l'aideSi vous disposez d'une adresse e-mail, il y a de fortes chances que vous l'ouvriez et y découvriez un e-mail de phishing. Cependant, il n'y a pas de raison de paniquer : nous avons dressé une liste facile à suivre des mesures à prendre si ou quand vous vous trouvez dans cette situation. Étape 1 : Supprimez-le Et tu as fini! …d'accord, très bien, il y a un peu plus que ça. Même si une attaque de phishing normale est inévitable et ignorable, si vous détectez une tentative de spear phishing dans votre boîte de réception, il est alors essentiel de la signaler à votre responsable et au service informatique, si votre entreprise en a un. Aucun pirate informatique ne se contentera d'envoyer un seul e-mail et ciblera probablement plusieurs employés sur des semaines, des mois ou même plus : il est donc important non seulement de préparer tout le monde à rester sur ses gardes, mais également de découvrir si un autre employé moins informé accidentellement a mordu à l'hameçon. Plus tôt les failles de sécurité pourront être corrigées, moins vous risquez de subir des dommages. Vous pouvez également signaler les escroqueries par phishing courantes à la Federal Trade Commission des États-Unis si vous le souhaitez, sur OnGuardOnline.gov, qui contient également des informations intéressantes sur les escroqueries, le phishing ou autre. Il est possible que votre rapport conduise à des arrestations, si vous avez de la chance ! Comment puis-je éviter les attaques de phishing ? Comme je l'ai mentionné plus haut, le phishing est une triste réalité : un anti-spam réduira le nombre d'e-mails que vous recevez, mais il est probable que quelques-uns passeront entre les mailles du filet. Mais plutôt que de vous soucier de garder votre boîte de réception exempte de ces désagréments, il est préférable de simplement rester attentif à leurs dangers et de vous armer contre toutes les répercussions possibles si vous faites une erreur et tombez dans le piège de leurs tromperies. Faites attention Le meilleur moyen d’éviter les e-mails de phishing est simplement de penser à vérifier tout e-mail que vous trouvez, même légèrement suspect. Vérifiez l'orthographe et la grammaire Assurez-vous que les liens sont sécurisés ou utilisez simplement votre navigateur Web Faites attention aux extensions de fichiers Regardez l'adresse de retour et vérifiez-la Assurez-vous que tout est spécifique et que l'expéditeur peut prouver son identité Cela ne prend que quelques secondes de vérification, mais cela peut vous épargner toute une vie de tracas. Alors ne vous relâchez pas ! Utiliser un anti-spam La plupart des fournisseurs de messagerie intègrent une sorte d’ anti-spam , mais ils ne sont pas toujours les meilleurs. Obtenir un filtre anti-spam externe peut aider à prendre le relais et à récupérer tous les e-mails de phishing sneaker, mais souvent, ils ne fonctionnent qu'avec les boîtes de réception basées sur un ordinateur de bureau. Réfléchissez avant de donner une adresse email Une adresse e-mail « libre » publiquement connue invitera à envoyer des e-mails de phishing. C'est souvent une bonne idée d'avoir deux adresses e-mail ou plus : une pour s'inscrire sur des sites Web et créer des comptes, et une autre pour un usage privé ou professionnel. De cette façon, la plupart des e-mails de phishing devraient être dirigés vers l'ancien compte, que vous visiterez à peine de toute façon. Bon vieux logiciel de sécurité Comme nous l'avons mentionné précédemment, un e-mail de phishing transmettra un virus à votre porte, mais c'est tout : il ne laissera pas le malware passer devant l'antivirus que vous avez sur votre PC ou votre téléphone. Ainsi, quelque chose d'aussi simple que, par exemple, AVG AntiVirus FREE protégera votre ordinateur si vous essayez accidentellement de télécharger des pièces jointes trompeuses. Une bonne protection peut également vous protéger contre les faux sites Web, qui vérifieront chacun d'entre eux pour obtenir un certificat de sécurité approprié et authentique : et cela signifie que vous n'aurez jamais la chance de visiter ce faux site Web sur lequel les pirates ont travaillé si dur. Téléchargez AVG AntiVirus GRATUITEMENT Obtenez-le pour Android , iOS , Mac Une note sur le « Vishing » Évidemment, les mesures que nous avons énumérées ci-dessus ne s'appliquent pas si vous êtes « voué », mais cela ne veut pas dire que vous ne pouvez rien faire pour vous protéger. D’une part, Apple, Microsoft et d’autres géants de la technologie ne vous appelleront jamais à cause d’un « problème » avec votre appareil, surtout pas avec des « agents indépendants ». Donc, si jamais vous recevez un appel comme celui-là, n'hésitez pas à raccrocher ou à déranger la personne à l'autre bout du fil. Tirez le meilleur parti de la situation. Et si vous êtes appelé par quelqu'un comme une banque, ils vous appelleront toujours par votre nom, et même s'ils peuvent poser des questions de vérification pour s'assurer que vous êtes bien, ils ne vous demanderont pas de code PIN, de SSN ou tout autre numéro compromettant. . Il en va de même si quelqu'un vous appelle en prétendant être la police : il n'aura jamais besoin que vous vérifiiez vos coordonnées bancaires par téléphone. Les géants de la technologie ne vous appelleront jamais à cause d'un "problème" avec votre appareil, alors n'hésitez pas à vous embêter avec l'escroc involontaire. De même, si quelqu'un prétend faire partie de l'IRS ou d'une autre organisation à qui vous « devez », mais vous demande de payer par virement bancaire ou par carte prépayée, alors vous savez que vous avez affaire à une arnaque. Ces méthodes d’envoi d’argent sont impossibles à suivre, c’est exactement pourquoi les escrocs aiment les utiliser. Et si vous n'êtes toujours pas sûr ? Raccrochez et rappelez. Mais rappelez en utilisant le numéro figurant sur le site officiel de l'organisation. N’importe quelle véritable organisation n’aurait aucun problème à ce que vous fassiez cela, seuls les escrocs protesteraient. Emballer Arrêtez-moi si vous avez déjà entendu celui-ci : Un couvreur professionnel de 29 ans se connecte à sa messagerie électronique après une longue journée de travail et, en parcourant ses e-mails, il tombe sur une réponse inhabituelle : un inconnu lui demande de collaborer sur un document Google. Il est légèrement intrigué par l'identité de l'expéditeur, et le voyeur en lui est extrêmement intéressé par ce qui se trouve réellement sur le document. Mais avant de cliquer sur le bouton « Ouvrir dans Docs », il fait une pause et pose simplement sa souris dessus. Il regarde l'URL qui apparaît dans le coin et se rend compte que peu importe où va le lien, il ne s'agit certainement pas d'un document Google. Soupirant de soulagement, il supprime immédiatement l'e-mail et continue ses affaires. Peut-être pas aussi excitant et dramatique que les millions perdus par un prince nigérian, mais c'est l'histoire dont nous voulons entendre davantage : des gens faisant preuve de bon sens et de retenue face aux choses étranges, curieuses et probablement dangereuses sur Internet. Parce qu'avec un peu de prévoyance et un peu de prudence, l'outil le plus important et le plus populaire de la boîte à outils du hacker ne vaut absolument rien. Et n’est-ce pas le sentiment le plus stimulant au monde ? *C.A.T - Avast Tunisie : Cloud Antivirus Technologies – Partenaire officiel en Tunisie des antivirus Avast et AVG à el Menzah 7 – Ariana. En Tunisie, notre société est spécialisée dans la vente en ligne des solutions de protection, de performance et de confidentialité pour Windows, Mac, Android et iOS destinés à la famille et des solutions Endpoint et des services gérés dans le cloud destinés à la protection des réseaux des entreprises tels que les antivirus, la gestion des correctifs de sécurité, le Cloud Backup.

Le phishing, en plus d'être un grand mot pour les jeux de mots à base de poisson, est essentiellement toute tentative de tromper les gens par le biais d'un e-mail, de SMS, d'appels téléphoniques ou d'un faux site Web . L'objectif peut être n'importe quoi. Lire la suite >>

Promo PC

Promo 10 Appareils

Promo Avast 10 PC 47dt

Promo 10 Multi-Appareils

Antivirus 10 PC

Antivirus 10 appareils

Real Site, agent site réel ou agent site frauduleux vous protège contre le piratage du DNS (Domain Name System) afin de vous assurer l'accès au site Web que vous souhaitez effectivement consulter est légitime. Le piratage DNS (ou manipulation de l’espace des noms de domaine) désigne un type d’attaque malveillante vous redirigeant depuis le site que vous souhaitez visiter vers un autre qui y ressemble vers un faux site Web pour détourner des informations telles que des noms d’utilisateur, mots de passe et informations de carte bancaire particulièrement sur des sites bancaires et marchands. Dans certains cas, le piratage DNS peut être reconnu uniquement après que vos données sensibles ont été compromises

Promo Mac

Promo Avast 10 Mac 47dt

Antivirus 10 Mac

Le phishing est le type d'escroquerie le plus utilisé par les cybercriminels et les e-mails constituent leur plateforme de prédilection : leur succès repose sur l'envoi de messages frauduleux comme s'ils provenaient d'organisations légitimes. Lire la suite >>

Internet Security 20 PC

Fiche AVG 20 Multi-appareils

Promo AVG 20 PC

20 appareils à 99 DT

CAT - Cloud Antivirus Technologies - Avast Tunisie - Partenaire officiel Avast et AVG en Tunisie vous présente : Une nouvelle étude révèle 8 leurres uniques de phishing sur les réseaux sociaux. Êtes-vous actif sur les réseaux sociaux ? Vous pourriez être la cible d’attaques de phishing sur les réseaux sociaux conçues pour voler vos informations privées. C'est l'une des conclusions d'une nouvelle étude menée par Norton Labs. L’équipe Labs a analysé une année complète d’attaques de phishing contre les sites de réseaux sociaux, notamment Facebook, Instagram, TikTok, Twitter, LinkedIn et Snapchat. Parmi les principales conclusions de l’étude : Les campagnes de phishing ciblant les réseaux sociaux utilisent diverses histoires pour tromper l'utilisateur. Les attaques sur les réseaux sociaux sont devenues plus sophistiquées, aidées par des outils qui rendent les campagnes plus convaincantes et plus faciles à lancer. Voici les huit principales attaques de phishing sur les réseaux sociaux trouvées par Norton Labs dans l'étude : Phishing de connexion classique Avis de comptes verrouillés Avis de violation des droits d'auteur Arnaques aux badges vérifiés Services de piratage de profil Services de génération de followers Interception d'authentification à deux facteurs Fraude au paiement Nous examinons de plus près chaque leurre avec des exemples ci-dessous, mais voici d'abord un aperçu de ce qui motive les attaques. Pourquoi les fraudeurs ciblent-ils les réseaux sociaux ? Les médias sociaux connectent les gens du monde entier. Des plateformes comme Facebook, Instagram, TikTok, Twitter, LinkedIn et Snapchat sont souvent utilisées pour interagir avec des amis et des collègues. Ils sont également utilisés comme outil pour accéder aux actualités, acheter des produits, trouver un emploi, regarder des vidéos et bien plus encore. Plus de 4 milliards de personnes utilisent les réseaux sociaux dans le monde, partageant leurs informations personnelles, où ils vivent, ce qu'ils aiment, ce qui les intéresse et avec qui ils interagissent. Les données des utilisateurs fournissent aux sociétés de médias sociaux des informations qui permettent aux annonceurs de cibler des publics spécifiques avec un marketing qui, selon eux, sera efficace sur ce groupe spécifique. Pour ces mêmes raisons, les acteurs de la menace apprécient également les médias sociaux. Ces plateformes sont devenues l’une des principales cibles des attaques de phishing ces dernières années et représentent un moyen simple de cibler des milliards de personnes partout dans le monde. La liste des leurres de phishing : méfiez-vous de ces huit astuces de phishing sur les réseaux sociaux Voici un aperçu plus approfondi des huit leurres que nous avons détectés, avec des exemples concrets et un contexte. Ce sont toutes des pages de phishing ; aucun ne vient de la société officielle qu’ils prétendent être. 1. Phishing de connexion classique La création d'un site Web dont le nom et l'apparence sont similaires à la page de connexion officielle des réseaux sociaux représente le stratagème de phishing le plus courant et le plus répandu. Ce modèle est utilisé pour tromper les utilisateurs en leur faisant croire que la page est légitime et pour voler leurs informations d'identification une fois qu'ils tentent d'accéder à leur profil. 2. Avis de comptes verrouillés Ce phishing exploite la peur des utilisateurs de perdre l'accès au compte pour voler leurs informations d'identification. Les sites Web de phishing de ce type effraient généralement les consommateurs et les incitent à révéler des informations sensibles en signalant une fausse nouvelle connexion non autorisée à leur compte, la présence d'informations obsolètes qui doivent être mises à jour ou la nécessité de passer par une liste de contrôle de sécurité pour assurer la sécurité d'un compte. 3. Avis de violation du droit d'auteur Les plateformes sociales ne sont pas autorisées à publier du matériel sans l'autorisation du détenteur des droits d'auteur et ont des règles strictes pour empêcher leurs utilisateurs de publier du matériel protégé par le droit d'auteur d'un tiers. Une telle clause est exploitée dans les attaques de phishing pour tromper les utilisateurs et prétendre que le compte de la victime a été verrouillé parce qu'elle a violé les règles du droit d'auteur. Avec ce type de site Web malveillant, les victimes doivent se connecter et divulguer leurs informations d'identification pour déverrouiller leur profil. 4. Arnaques aux badges vérifiés Les badges vérifiés sont des icônes qui apparaissent sur certains sites de médias sociaux pour indiquer que la plateforme a confirmé qu'un compte est la présence authentique de la personnalité publique/populaire, de la célébrité ou de la marque qu'elle représente. En général, les comptes qui ont été vérifiés sont plus fiables et peuvent bénéficier d'autres avantages, comme une portée plus large de leur contenu. Les campagnes de phishing utilisent la promesse d'obtenir un badge vérifié pour inciter les utilisateurs à fournir leurs informations de connexion au site cible. Les pages malveillantes présentent aux utilisateurs une invite leur demandant de se connecter pour obtenir ou ne pas perdre leur statut vérifié sur la plateforme. 5. Services de piratage de profil Les services de piratage de profil représentent une variante récente des attaques de phishing ciblant les réseaux sociaux. Les campagnes malveillantes basées sur des services de piratage prétendent souvent offrir aux utilisateurs un moyen de pirater un profil ou de révéler les informations d'autres clients telles que leurs adresses e-mail ou leur liste d'interactions. Dans la plupart des cas, l'objectif de ces campagnes n'est pas de voler des informations d'identification, mais de rediriger continuellement les victimes et de monétiser d'autres services tels que des publicités ou des enquêtes. 6. Services de génération de suiveurs Générer des abonnés et des interactions est l'un des principaux objectifs de certains utilisateurs qui souhaitent atteindre et influencer. Ce n’est pas une tâche facile, et certaines personnes souhaitent prendre des raccourcis, comme payer pour des abonnés et d’autres types d’engagement. Ce désir est exploité par un autre système de phishing qui promeut des services permettant de le faire à un coût faible, voire gratuit. De telles attaques peuvent générer des profits en redirigeant les victimes vers des sites Web contrôlés par des attaquants qui affichent des publicités, peuvent inciter les utilisateurs à révéler leurs identifiants de connexion ou peuvent faciliter la propagation de logiciels malveillants que les victimes doivent installer. 7. Interception d'authentification à deux facteurs Si de nombreux utilisateurs sont déjà familiers avec l’authentification à deux facteurs, ils pourraient être surpris d’apprendre que leurs codes d’authentification à deux facteurs provenant d’une application ou d’un SMS peuvent également être capturés via le phishing. Pour ceux qui sont déjà habitués à se connecter avec un code à deux facteurs, un site de phishing leur demandant un code suit simplement un comportement de connexion appris. Les campagnes de phishing sournoises visent plutôt à intercepter des codes temporaires pour pénétrer dans des profils avec l'authentification à deux facteurs activée. Ces jetons sont généralement liés au numéro de téléphone de la victime ou à une application génératrice de code sur son appareil et sont généralement requis pour se connecter et apporter des modifications à un compte. 8. Fraude au paiement Les acteurs malveillants conçoivent également des campagnes de phishing visant à voler des informations financières aux utilisateurs. Les sites Web malveillants exploitent généralement des marques de médias sociaux connues et demandent des informations sur la carte de crédit de leurs victimes en simulant un problème avec leur compte. Conclure La raison pour laquelle ces leurres sont importants est qu’ils ont un impact au-delà de la révélation de vos informations de connexion pour une entreprise ou un service. Ils peuvent avoir des conséquences financières sur la victime ou ses contacts, sont utilisés pour propager davantage la campagne de phishing, et bien plus encore. Selon la FTC, les consommateurs ont déclaré 770 millions de dollars de pertes liées à la fraude qui a commencé sur les réseaux sociaux en 2021. Bien que tout cela ne soit pas entièrement lié aux escroqueries par phishing, cela montre pourquoi les escrocs s'efforcent si fort d'amener les gens à révéler leurs informations de connexion. et pourquoi vous devriez être à l'affût de ces escroqueries ainsi que de tout ce qu'elles proposent ensuite. Note éditoriale : nos articles vous fournissent des informations pédagogiques. Les offres NortonLifeLock peuvent ne pas couvrir ou protéger contre tous les types de crime, de fraude ou de menace sur lesquels nous écrivons. Notre objectif est de sensibiliser davantage à la cybersécurité. Veuillez consulter les conditions complètes lors de l'inscription ou de la configuration. N'oubliez pas que personne ne peut empêcher tout vol d'identité ou cybercriminalité et que LifeLock ne surveille pas toutes les transactions dans toutes les entreprises.

Les campagnes de phishing ciblant les réseaux sociaux utilisent diverses histoires pour tromper l'utilisateur. Les attaques sur les réseaux sociaux sont devenues plus sophistiquées, aidées par des outils qui rendent les campagnes plus convaincantes et plus faciles à lancer. Voici les huit principales attaques de phishing sur les réseaux sociaux trouvées par Norton Labs dans l'étude : Phishing de connexion classique Avis de comptes verrouillés Avis de violation des droits d'auteur Arnaques aux badges vérifiés Services de piratage de profil Services de génération de followers Interception d'authentification à deux facteurs Fraude au paiement Nous examinons de plus près chaque leurre

identité et antiphishing

Premium Security 10 Mac 1 AN

Catalogue

Internet Security 1 PC 2 ANS

Antivirus Famille et antiphishing

Antivirus entreprise et antiphishing

Premium Security 1 Mac 1 AN

Promo 2025

Premium Security 1 PC 3 ANS

Boutique

Internet Security 10 PC 2 ANS

Promo Mobiles Android et iOS

Promo Avast 10 Android 47dt

Promo 10 ios à 47dt

Antivirus 10 Android

Antivirus 10 ios

10 Android

Êtes-vous actif sur les réseaux sociaux ? Vous pourriez être la cible d’attaques de phishing sur les réseaux sociaux conçues pour voler vos informations privées. C'est l'une des conclusions d'une nouvelle étude menée par Norton Labs. L’équipe Labs a analysé une année complète d’attaques de phishing contre les sites de réseaux sociaux, notamment Facebook, Instagram, TikTok, Twitter, LinkedIn et Snapchat. Parmi les principales conclusions de l’étude : Les campagnes de phishing ciblant les réseaux sociaux utilisent diverses histoires pour tromper l'utilisateur.