Glossaire

Campagne de phishing

Définition d'une campagne d'hameçonnage

Une campagne d'hameçonnage est une escroquerie perpétrée par e-mail afin de voler aux victimes leurs informations personnelles. Dans le cadre d'une attaque par hameçonnage, les cybercriminels envoient un e-mail dans lequel ils se font passer pour une organisation ou une personne de confiance. L'objectif : obtenir des informations sensibles comme un numéro de carte de crédit ou des identifiants de connexion.

Une campagne d'hameçonnage repose généralement sur une usurpation d'e-mail : il est demandé au destinataire de l'e-mail d'entrer des informations personnelles sur un site Web frauduleux qui ressemble au site officiel. Les e-mails d'hameçonnage servent également à propager des malwares et des spywares au moyen de liens ou de pièces jointes afin de dérober des informations et d'exécuter d'autres tâches malveillantes.

Si l'hameçonnage est si populaire auprès des cybercriminels, c'est parce que ce type d'attaque leur permet de dérober des informations sensibles (financières et personnelles) sans qu'il soit nécessaire de déjouer les défenses de sécurité d'un ordinateur ou d'un réseau. La sensibilisation du public aux campagnes d'hameçonnage a considérablement augmenté ces dernières années, car de nombreux incidents ont été couverts par diverses sources médiatiques. Outre les solutions techniques, la sensibilisation des utilisateurs à la sécurité constitue l'une des mesures de cybersécurité qui permet de contrer les tentatives d'hameçonnage.

Fonctionnement d'une campagne d'hameçonnage

Une campagne d'hameçonnage emploie des techniques de social engineering afin d'inciter les destinataires des e-mails à divulguer des informations personnelles ou financières. Par exemple, pendant les vacances, un e-mail prétendant provenir d'une entreprise de confiance indique à l'utilisateur de se rendre sur son site Web afin de saisir à nouveau ses informations de facturation. Dans le cas contraire, le colis ne sera pas expédié à temps. Alors que tout semble normal, l'e-mail frauduleux redirige l'utilisateur sur un site Web frauduleux, où les informations saisies serviront à commettre une usurpation d'identité, une fraude ou d'autres crimes.

Types de campagnes d'hameçonnage

À mesure que les entreprises déploient des stratégies de lutte contre l'hameçonnage et sensibilisent leurs utilisateurs à la cybersécurité, les cybercriminels continuent quant à eux de perfectionner leurs attaques par hameçonnage et de mettre au point de nouvelles escroqueries. Nous vous livrons ici quelques informations supplémentaires sur certaines des campagnes d'hameçonnage les plus répandues.

Les attaques par harponnage (ou de spear phishing) ciblent un individu ou un petit groupe d'individus, généralement dans le but d'accéder à des informations sensibles ou de transférer des fonds. Les cybercriminels recueillent des informations à l'avance sur leur cible qu'ils utilisent pour personnaliser l'attaque, créer un sentiment de familiarité et donner à l'e-mail malveillant un aspect authentique et fiable. Les e-mails de harponnage proviennent souvent d'une personne que le destinataire connaît, qu'il s'agisse d'un collègue ou d'une entreprise du même réseau.

Le whaling est une attaque par harponnage qui vise les cadres supérieurs d'une entreprise.

L'hameçonnage par téléphone (en anglais, vishing) est une escroquerie où la victime est invitée à rappeler un numéro pour transmettre ses informations personnelles. Les cybercriminels utilisent souvent de faux identifiants, de sorte que l'appel semble provenir d'une organisation ou entreprise légitime. Dans le cas de l'hameçonnage par SMS (en anglais, smishing), un SMS est envoyé afin d'inciter la victime à révéler ses coordonnées bancaires ou à installer un malware.

Importance d'une campagne d'hameçonnage

Si les filtres de spam et autres solutions technologiques peuvent permettre de limiter ces attaques en les empêchant d'arriver dans la boîte de réception, la sensibilisation des utilisateurs sur les dangers des e-mails d'hameçonnage demeure un élément essentiel des mesures de cybersécurité mises en place par les entreprises. Les formations visant à sensibiliser les utilisateurs aux questions de cybersécurité aident les employés à reconnaître, éviter et signaler les menaces pouvant compromettre les données et systèmes critiques. Dans le cadre de la formation, des simulations d'attaques par hameçonnage ainsi que d'autres types d'attaques sont utilisées dans le but de tester le comportement des employés et de leur faire acquérir de meilleurs réflexes.

En savoir plus sur les campagnes de simulation d'attaques par hameçonnage

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Barracuda PhishLine aide votre entreprise à lutter contre l'hameçonnage et les autres attaques de social engineering, en fournissant à vos utilisateurs des formations et simulations continues. Vos employés comprennent alors les dernières techniques d'attaque, en identifient les plus subtils signaux et contribuent à lutter contre les e-mails frauduleux, les pertes de données et la dégradation de votre image de marque.

Des questions sur les campagnes d'hameçonnage ? Contactez-nous dès maintenant !