logo ORSYS Le mag

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > Hameçonnage (phishing) 🔴 Attaque

Hameçonnage (phishing) 🔴 Attaque

L’hameçonnage, ou phishing en anglais, est une technique frauduleuse où des cybercriminels usurpent l’identité d’une personne ou d’une organisation de confiance (banque, administration, service en ligne…) afin d’obtenir ou de dérober des informations personnelles sensibles comme des identifiants de connexion, des numéros de carte bancaire, etc.

 

Les 8 principaux types d’hameçonnage

  • Phishing par e-mail : la  méthode la plus répandue. Vous recevez un e-mail frauduleux qui vous incite à cliquer sur un lien ou à télécharger une pièce jointe malveillante.
  • Spear phishing : une attaque plus ciblée. L’escroc collecte des informations spécifiques sur vous pour personnaliser son message et augmenter vos chances de tomber dans le piège.
  • Whaling : une variante du spear phishing, mais cette fois-ci, la cible est une personne de haut rang (PDG, célébrité, etc.).
  • Smishing : le phishing par SMS. Vous recevez un SMS frauduleux qui vous dirige vers un site malveillant.
  • Quishing : le phishing par QR code. Flasher un QR code frauduleux vous redirige vers un site malveillant.
  • Vishing : le phishing par un appel vocal. Un interlocuteur vous contacte par téléphone pour vous inciter à divulguer des informations confidentielles.
  • Angler phishing : l’attaquant se fait passer pour un représentant du service client sur les réseaux sociaux afin de gagner votre confiance et obtenir des données sensibles.
  • L’arnaque au président, appelée aussi l’arnaque au faux ordre de virement (FOVI) : l’attaquant usurpe l’identité d’un dirigeant de l’entreprise pour demander un virement bancaire urgent vers un compte frauduleux.

Nouvelles tendances de phishing

> Phishing basé sur l’intelligence artificielle : utilisation de l’IA pour créer des messages de phishing plus convaincants et personnalisés, augmentant ainsi le taux de réussite des attaques. L’IA est aussi utilisée pour dupliquer le voix ou l’image de quelqu’un de confiance, principalement pour un hameçonnage de type arnaque au président.

 

 

💥 Conséquences d’un hameçonnage réussi

  • Piratage de comptes : accès non autorisé aux comptes en ligne, entraînant des modifications ou des suppressions de données.
  • Pertes financières : transactions bancaires frauduleuses, achats non autorisés ou transferts d’argent vers des comptes frauduleux.
  • Usurpation d’identité : utilisation des informations personnelles pour contracter des prêts, ouvrir des comptes ou commettre d’autres fraudes au nom de la victime.
  • Atteinte à la réputation : diffusion d’informations sensibles ou compromettantes, affectant la réputation personnelle ou professionnelle.

 

👉 Exemples d’hameçonnage

  • Smishing : un SMS prétendant provenir de votre banque vous informe d’une activité suspecte sur votre compte et vous invite à cliquer sur un lien pour vérifier vos informations.
  • Vishing : un appel téléphonique d’une personne se faisant passer pour un agent des impôts vous demande de confirmer vos coordonnées bancaires pour un remboursement.
  • Quishing : un QR code affiché dans un lieu public prétend offrir une connexion Wi-Fi gratuite, mais redirige vers un site malveillant collectant vos informations personnelles.

 

 

Google - Noto Color Emoji 15.0 (Animated) Fonctionnement d’un hameçonnage

  1. Usurpation d’identité : les attaquants envoient des messages (e-mails, SMS, appels téléphoniques) semblant provenir d’une source légitime.
  2. Incitation à l’action : ces messages contiennent souvent des liens vers des sites web frauduleux ou des pièces jointes malveillantes, incitant la victime à fournir des informations confidentielles ou à télécharger des logiciels malveillants.
  3. Collecte des informations : une fois les informations obtenues, les cybercriminels les utilisent pour accéder à des comptes, effectuer des transactions frauduleuses ou vendre ces données sur le marché noir.

 

 

📊 Statistiques sur le phishing

En France

  • Le phishing par mail est la 2ᵉ cyberattaque la plus fréquente contre les entreprises et associations. Le phishing représente 21,2% des cyberattaques.
  • Les faux ordres de virement (FOVI) repésentent 10,2% des cyberattaques.

Source : rapport d’activité 2023 de Cybermalveillance.gouv.fr, 2024

 

🌍 Dans le monde

  • Volume des attaques : en 2023, plus de 1,76 milliard d’URL de phishing ont été envoyées dans le monde, marquant un niveau record et soulignant l’ampleur de cette menace.  Source : Data Security Breach
  • Cibles sectorielles : les institutions financières restent les plus visées par les attaques de phishing, suivies par les services en ligne et les réseaux sociaux. Source : Techopedia
  • Évolution des techniques : les cybercriminels adaptent constamment leurs méthodes, exploitant des événements mondiaux ou des tendances technologiques pour augmenter l’efficacité de leurs attaques. Source : Geekflare
Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité