Le phishing et le pretexting sont deux techniques de manipulation psychologique. Bien qu’elles partagent le même objectif, leur méthodologie et leur approche diffèrent. Néanmoins leur objectif reste le même : amener une victime à divulguer des informations sensibles.
Phishing (ou hameçonnage) :
Cette méthode est une attaque de masse qui « lance un large filet ». Les cybercriminels envoient généralement un grand nombre d’emails ou de messages à des personnes non ciblées, en se faisant passer pour une entité de confiance (banque, entreprise, administration, etc.).
Leur tactique consiste à jouer sur l’urgence, la peur ou l’avidité pour inciter la victime à agir rapidement sans réfléchir. Par exemple, un email peut menacer de fermer un compte bancaire si les informations de connexion ne sont pas mises à jour immédiatement.
L’objectif et d’amener la victime à cliquer sur un lien malveillant, à télécharger une pièce jointe contenant un virus, ou à entrer des informations confidentielles sur une fausse page web.
Pretexting (ou prétexte) :
Le pretexting est une attaque plus sophistiquée et ciblée. L’attaquant crée un scénario (un « prétexte ») crédible et souvent complexe pour manipuler la victime.
L’attaquant effectue d’abord des recherches approfondies sur sa cible, qu’il s’agisse d’une personne ou d’une entreprise.
Comment ? :
- En recherchant des informations sur les réseaux sociaux (LinkedIn, Facebook, etc.) pour identifier le nom des employés, leur rôle, leur position hiérarchique et leurs contacts.
- En consultant le site web de l’entreprise pour trouver les adresses e-mail des dirigeants, des responsables financiers ou des commerciaux.
- En analysant des communications précédentes (si le compte a déjà été piraté) pour comprendre le ton, le vocabulaire et les procédures internes (par exemple, comment les factures sont-elles traitées ?).
Une fois la phase de reconnaissance terminée, l’attaquant choisit sa méthode pour compromettre le compte ou pour se faire passer pour quelqu’un d’autre :
- L’usurpation d’identité de domaine (domain spoofing) : L’attaquant envoie un email qui semble provenir d’une adresse légitime en utilisant une adresse d’envoi très similaire, par exemple « nom@compaany.com » au lieu de « nom@company.com » (remarque le double « a »).
- Le « spear phishing » (hameçonnage ciblé) : C’est la méthode la plus courante. L’attaquant envoie un email personnalisé et très convaincant à un employé spécifique. Le message peut sembler venir d’un collègue, d’un responsable RH ou même du PDG. Il est conçu pour être urgent et ne pas soulever de soupçons.Pour minimiser les risques Ostin, met en place des antispam. Leur rôle est de filtrer la distribution des mails. Pour mieux identifier les mails dangereux, Ostin paramètre les règles dans le Tenant (console de gestion globale des emails de votre réseaux).
Ces règles les bloquent leur distribution et si l’attaque est plus subtile, elles force l’utilisateur à se questionner. Par exemple : Si vous recevez un mail d’un collègue dont l’email a été discrètement modifié, une notification apparait. Un bandeau indiquant qu’il s’agit d’un mail externe vous interrogera sur sa provenance, vu qu’il ne s’agit pas d’un contact provenant de l’extérieur de la société. - La compromission d’un compte réel : L’attaquant parvient à voler les identifiants de connexion d’un employé (souvent via une attaque de phishing classique) et prend le contrôle de sa boîte de réception. Cela lui permet d’envoyer des emails depuis une adresse parfaitement légitime, ce qui est beaucoup plus difficile à détecter. C’est l’un des scénarios les plus dangereux.
Ostin préconise et met en place pours es clients la double authentification MFA ou 2FA. Même si votre email et mot de passe sont récupérés, vous être averti de l’utilisation de ces derniers. Nous estimons cette mesure obligatoire pour protéger les données d’une PME.
L’enjeu de ces attaques est d’obtenir des informations sensibles en posant des questions dans le cadre du scénario inventé.
L’attaque peut survenir par email mais aussi WhatsApp ou autres réseaux sociaux.
La tactique est la même : cibler le contact d’une société comme un PDG ou un directeur financier, dont la voix est souvent disponible publiquement (interviews, conférences, podcasts). Une très courte durée d’enregistrement (quelques secondes à une minute) peut suffire à un logiciel d’IA pour créer un clone de voix convaincant. Puis la victime reçoit le message vocal via un numéro inconnu.
Un scénario bien ficelé explique l’usage de ce nouveau numéro.
Mais l’attaquant peut également créer un compte Business WhatsApp. Ce compte permet d’ajouter n’importe quel nom, photo et adresse électronique pour le faire paraître immédiatement comme authentique.
L’apprentissage automatique et l’intelligence artificielle progressent et devient de plus en plus accessibles au commun des internautes. Elle facilite le travail des criminels, grâce au perfectionnement d’outils qui aident à dissimuler leur identité et coordonnées.
Pour éviter tout risque, la double authentification et la dissociation des usages personnels / professionnel sont des incontournables !
Ostin, vous accompagne dans la mise en place d’outils de sécurisation et de prévention. Nous aidons nos clients à rester vigilants. Nous leur apportons conseils et mettons en place des solution techniques.