L'hameçonnage consiste à placer un appât devant un utilisateur d'ordinateur sans méfiance et à espérer qu'il mordre : c'est depuis longtemps le fléau des éditeurs d'antivirus. Tout comme quelqu'un qui pêche utilise un appât sur un hameçon pour tenter d'attraper un saumon, un acteur malveillant utilisera un appât virtuel sous la forme d'un e-mail (généralement) avec un lien, pour tenter d'inciter l'utilisateur à cliquer sur ce lien, dans celui qui sera "accro" et probablement infecté par une sorte de logiciel malveillant, et tout un monde de douleur et de dépenses.
Vous avez du courrier indésirable
Comme mentionné, la méthode de livraison la plus courante pour une tentative de phishing est le courrier électronique, mais ce type d'attaque peut cibler des personnes sans méfiance via des messages texte sur un téléphone, sur des sites de réseaux sociaux ou même sur d'autres canaux en ligne. Le thème commun est que, quel que soit le canal de distribution que vous choisissez, le message semblera provenir d'une entité légitime, et si l'attaquant vous connaît vraiment, comme les services auxquels vous êtes abonné, il peut sembler encore plus crédible puisqu'il semble provenir d'une entreprise qui utilise. Étant donné que la communication semble provenir d'une entité légitime, cela peut vous empêcher de réfléchir au contenu réel du message, en particulier lorsque l'e-mail de phishing combine cela avec la suggestion que quelque chose doit être fait de toute urgence, ce qui est une autre tactique courante.
![Mensaje de phishing]()
(Crédit d'image: Shutterstock / DRogatnev)
Alors, comment fonctionne exactement le phishing?
Souvent, l'escroc par hameçonnage vous donnera l'impression que vous devez agir immédiatement, en espérant que cela vous incitera à agir rapidement par peur, plutôt que de considérer le contenu de l'e-mail de quelque manière que ce soit. Prenons un exemple : vous pouvez recevoir un message concernant une facture impayée, marqué urgent, et vous informant que votre compte est sur le point d'être annulé si le paiement n'est pas effectué immédiatement. La facture sera jointe, et si vous l'ouvrez, vous êtes curieux de savoir ce dont vous avez besoin et pourquoi, le fichier factice (bien sûr, pas une vraie facture) infectera votre PC avec des logiciels malveillants. Un deuxième exemple est un e-mail qui dit quelque chose comme : "Suivez ce lien pour vous connecter et réinitialiser votre mot de passe MAINTENANT car votre compte a été compromis et vos informations de paiement sont en danger". L'ironie est que si vous cliquez sur ce lien et que vous êtes pris en flagrant délit de phishing, vous obtiendrez un faux portail de connexion (probablement assez convaincant), et lorsque vous saisirez votre mot de passe et/ou vos coordonnées bancaires, ils seront volés et votre compte sera effectivement l'air engagé.
À quel point est-ce grave si vous êtes hameçonné?
À la suite de nos exemples précédents, si le phishing vous fait ouvrir une pièce jointe chargée de logiciels malveillants, votre système sera infecté et toutes sortes de mauvaises choses pourraient se produire. Par exemple, vous pourriez être victime d'un ransomware, qui verrouille tous vos fichiers et nécessite un paiement important pour les récupérer (aucune garantie que cela se produira, même si vous payez). Avec notre deuxième exemple, la partie malveillante aura votre nom d'utilisateur et votre mot de passe, peut-être même vos coordonnées bancaires, et pourra alors se connecter à votre compte, peut-être en changeant le mot de passe pour vous bloquer lors de votre prochaine tentative de connexion. Selon la nature exacte du service ou de l'abonnement qui a été compromis, l'escroc peut prendre diverses mesures, s'il s'agit d'un site d'achat en ligne, par exemple, vous pourriez y être. capable de commander des produits à partir de votre compte. Il existe un danger supplémentaire pour les personnes qui pratiquent la faute de sécurité consistant à utiliser le même mot de passe pour différents comptes, car l'attaquant peut tester le mot de passe volé par rapport à d'autres services courants de manière spéculative : en utilisant votre adresse e-mail comme nom d'utilisateur, et être en mesure de connectez-vous aussi. C'est pourquoi vous ne devriez jamais réutiliser le même mot de passe sur plusieurs comptes (et si vous êtes coincé à penser et à vous souvenir de mots de passe différents, essayez d'utiliser l'un des meilleurs gestionnaires de mots de passe). )
![Autenticación de dos factores]()
(Crédit d'image: Shutterstock / Askobol)
Deux facteurs valent mieux qu'un
De toute évidence, le phishing est donc très dangereux, alors que pouvez-vous faire pour vous protéger ? Le plus important est de faire preuve de bon sens et de faire très attention à tout message que vous recevez qui semble le moins suspect (et montre des signes révélateurs comme des fautes d'orthographe ou des formulations étranges, erreurs que commettent souvent les auteurs de logiciels malveillants), vous demande de faire quelque chose « maintenant " ou vous avez un lien ou une pièce jointe qui semble très discutable. Même si un message semble provenir de votre patron ou d'un ami proche, ne faites plus confiance au contenu pour cette raison : votre adresse e-mail ou vos coordonnées pourraient facilement avoir été modifiées. En fait, l'une des meilleures mesures à prendre si vous n'êtes pas sûr d'un message est de contacter directement l'expéditeur de l'e-mail et de vérifier qu'il est authentique. De même, si vous recevez un message censé provenir, par exemple, d'Amazon, vous pouvez vous connecter à votre compte et contacter directement l'entreprise pour vérifier la validité de toute communication de la même manière. Votre ami vérifie non seulement lorsqu'il s'agit de vaincre le phishing, mais il en va de même pour l'authentification. Cela signifie utiliser l'authentification à deux facteurs, ou 2FA, que de nombreux grands services et entreprises utilisent de nos jours. Avec 2FA, vous définissez non seulement un mot de passe, mais également une deuxième forme de vérification. Ainsi, lorsqu'une tentative de connexion provient d'un nouvel appareil ou d'un nouvel emplacement, vous devez également saisir, par exemple, un code qui est envoyé par SMS à votre téléphone. .mobile. Dans ce cas, un attaquant peut avoir volé votre mot de passe, mais lorsque vous essayez de vous connecter avec lui, il n'a pas votre téléphone (espérons-le !) et ne pourra donc pas accéder à votre compte avec succès. . 2FA est sans aucun doute un grand allié dans la lutte contre le phishing. Enfin, cela ne fait évidemment pas de mal d'avoir l'un des meilleurs antivirus installés sur votre PC (ou même votre téléphone) pour vous aider à détecter les menaces et fournir une protection pour bloquer les sites de phishing connus.
Qu'est-ce que le phishing et à quel point est-il dangereux?
L'hameçonnage est l'une des menaces les plus dangereuses pour vos comptes et vos données en ligne, car ce type d'exploitation se cache sous le prétexte d'appartenir à une entreprise ou à un individu réputé et utilise des éléments d'ingénierie sociale pour rendre les victimes beaucoup plus susceptibles de succomber à la escroquer. . Pour cette raison, vous devez faire très attention à tout élément suspect à distance dans tout message que vous recevez et faire bon usage des pratiques de sécurité dont nous avons discuté ci-dessus, y compris l'authentification à deux facteurs. . Les meilleurs prix sur les meilleurs logiciels antivirus du moment.