Cybersécurité 2024 : Techniques de phishing sous-évaluées à surveiller
Soyez attentif à ces huit techniques de phishing sous-estimées
Le phishing par courrier électronique est de loin l’une des formes d’attaque les plus répandues. Cependant, il existe d’autres techniques de phishing moins connues mais tout aussi redoutables, souvent sous-estimées par les utilisateurs. Les cybercriminels les exploitent avec de plus en plus de sophistication. Cet article passe en revue huit méthodes de phishing sous-estimées qui méritent d’être surveillées de près.
1. Empoisonnement SEO
Le SEO (Search Engine Optimization) est souvent associé à des stratégies marketing, mais les cybercriminels l’utilisent également pour piéger les utilisateurs. Des milliers de nouveaux sites de phishing apparaissent chaque mois, dont beaucoup sont optimisés pour apparaître dans les premiers résultats de recherche. Par exemple, lorsque vous cherchez des termes populaires comme « télécharger Photoshop » ou « compte PayPal », il est possible que vous tombiez sur un faux site de phishing. Ces sites ressemblent aux pages légitimes, et les utilisateurs sont trompés en partageant leurs informations personnelles ou financières. Une variante de cette méthode implique le détournement de fiches d’entreprises Google. Les escrocs changent les coordonnées des entreprises légitimes, induisant les victimes en erreur lorsqu’elles les contactent, pensant parler à un représentant authentique.
2. Arnaques publicitaires payantes
Les escroqueries par publicité payante sont de plus en plus répandues. Les pirates utilisent des publicités sponsorisées sur des plateformes comme Google Ads ou les réseaux sociaux pour diriger les utilisateurs vers des sites malveillants. Ces publicités peuvent même contenir des logiciels malveillants, un phénomène connu sous le nom de malvertising. En un seul clic, l’utilisateur peut être redirigé vers un site qui semble légitime mais qui a pour but de voler ses données. Pire encore, certains utilisateurs téléchargent sans le savoir des applications contenant des chevaux de Troie.
3. Hameçonnage sur les réseaux sociaux
Les réseaux sociaux sont un terrain de jeu idéal pour les cybercriminels. Ils créent de faux comptes, imitant des contacts de confiance, des personnalités ou des célébrités, dans le but de convaincre les utilisateurs de cliquer sur des liens malveillants. Ils peuvent aussi poster des commentaires sur des publications légitimes, encourageant les gens à visiter des sites frauduleux. Les utilisateurs sont ainsi invités à participer à des jeux, des sondages ou des quiz qui demandent des informations personnelles. Ces techniques de phishing exploitent la confiance des utilisateurs envers les réseaux sociaux pour voler des informations sensibles.
4. Phishing par code QR (Quishing)
Le quishing est une technique récente qui repose sur l’utilisation de codes QR. Les pirates apposent des codes QR malveillants sur des supports physiques ou numériques, tels que des menus, des affiches ou des publications sur les réseaux sociaux. Lorsqu’un utilisateur scanne le code, il est redirigé vers un site malveillant qui peut lui demander des informations sensibles ou le pousser à effectuer un paiement frauduleux. Le phishing par code QR a explosé ces dernières années, et les utilisateurs ne réalisent souvent pas les risques associés à ces codes omniprésents.
5. Hameçonnage d’applications mobiles
Le phishing via les applications mobiles est une menace croissante. Les cybercriminels créent des applications malveillantes qui ressemblent à des applications légitimes et les diffusent sur les plateformes d’applications populaires comme Google Play ou l’App Store. Une fois téléchargées, ces applications peuvent voler des informations personnelles ou financières. Récemment, des chercheurs ont découvert plus de 90 applications malveillantes sur Google Play, téléchargées des millions de fois avant d’être supprimées. Cela souligne la nécessité de toujours vérifier la légitimité des applications avant de les installer.
6. Phishing par rappel
Le phishing par rappel est une forme de fraude par ingénierie sociale où les attaquants incitent les victimes à appeler un faux centre d’assistance ou un faux service clientèle. Ces escroqueries se propagent souvent via des emails ou des SMS contenant un numéro de téléphone. Les victimes pensent qu’elles appellent un service légitime, mais elles sont en réalité en contact avec des cybercriminels qui cherchent à obtenir des informations sensibles ou à leur extorquer de l’argent. Une variante de cette technique consiste à utiliser des formulaires en ligne qui incluent un numéro à appeler pour résoudre un problème inexistant.
7. Attaques de phishing basées sur le cloud
Les services cloud sont largement utilisés par les entreprises pour stocker et partager des informations, ce qui en fait une cible privilégiée pour les cybercriminels. Les attaquants exploitent des plateformes comme Microsoft Teams, SharePoint ou Google Drive pour envoyer des liens malveillants ou héberger des fichiers contenant des logiciels malveillants. Ces attaques peuvent également inclure des URL de phishing qui semblent provenir de services cloud légitimes. Les entreprises doivent sensibiliser leurs employés à ces risques et renforcer leur sécurité pour éviter les fuites de données par le biais de ces plateformes.
8. Attaques par injection de contenu
Les vulnérabilités dans les logiciels, les appareils ou les sites web sont exploitées par les cybercriminels pour injecter du contenu malveillant. Par exemple, un attaquant peut manipuler un site Web vulnérable pour remplacer les liens sur la page « Contactez-nous » par des liens vers des sites de phishing ou des fichiers infectés. Les utilisateurs ne se rendent souvent pas compte de la menace, car le site semble authentique. En exploitant ces failles, les pirates peuvent collecter des informations confidentielles ou pousser les victimes à télécharger des logiciels malveillants.
Les attaques de phishing deviennent de plus en plus sophistiquées, et les techniques sous-estimées présentées ici montrent à quel point les cybercriminels innovent constamment. Il est essentiel que les entreprises et les particuliers restent vigilants et adoptent des pratiques de sécurité rigoureuses pour se protéger. La sensibilisation et la formation continue en cybersécurité sont des moyens clés pour renforcer la résilience face à ces menaces toujours plus nombreuses.