Menu
Les menaces par e-mail sont un des moyens les plus courants pour accéder aux informations sensibles ou installer des maliciels. Le phishing (hamerçonnage) est en hausse, selon une étude qui indique les phrases les plus courantes que vous pourriez y rencontrer.
Selon cette étude Eset, l’an dernier, le phishing (hameçonnage en français) était en augmentation de près de 30 % par rapport à 2021. Les analystes sont lucides : les modèles de langage de l’IA facilitant la rédaction des mails, il y a de fortes chances que ces chiffres augmentent encore plus pour 2023.
Voici quelques exemples concrets de phishing le plus couramment utilisé pour nous escroquer
Votre session a expiré. Cliquez ici pour vous reconnecter.
Certaines lignes et tactiques de phishing les plus courantes vous informent que vous avez été déconnecté d’un compte, ce qui vous pousse à réintroduire vos identifiants. En cliquant sur le lien, vous accéderez à un site Web ressemblant beaucoup au vrai. La différence est que la saisie de vos informations d’identification les enverra immédiatement aux escrocs, qui les utiliseront pour accéder à vos comptes. Dans certains cas, ils peuvent même se connecter pour vous et modifier le mot de passe pour éviter de vous en donner l’accès.
Cette technique se base sur l’habitude des utilisateurs de répondre automatiquement à des messages sans penser au contenu ou sans vérifier les signes typiques d’un e-mail/message de phishing.
Un exemple : l’an dernier, GitHub Security a mis en garde contre les e-mails usurpant l’identité de la plate-forme populaire de développement de logiciels CI/CD CircleCI. Les escrocs envoyaient une alerte avec “session expirée” et demandaient une nouvelle connexion utilisant les informations d’identification GitHub. “Nous avons remarqué une activité inhabituelle sur votre compte. Veuillez vérifier.”
Avec cette astuce, les escrocs tentent de créer un sentiment d’urgence. Qui ne voudrait pas éviter la perte soudaine d’un compte ? En général, ces e-mails se font passer pour des messages provenant de services légitimes tels qu’Amazon, PayPal, etc.
J’ai besoin que vous fassiez un paiement urgent
L’usurpation d’identité des comptes d’entreprise est depuis longtemps un champion parmi les campagnes de harponnage ne ciblant pas les personnes anonymes, mais s’attaquant plutôt à une personne spécifique ou à un groupe d’employés dans une entreprise sélectionnée. Avant d’envoyer ces e-mails frauduleux, les escrocs étudient le plus possible les structures, les visuels, le langage, etc. d’une entreprise, afin de rendre l’e-mail de phishing presque impossible à distinguer d’un e-mail authentique.
Certains de ces e-mails ciblent spécifiquement les employés responsables de la gestion des fonds et des questions financières. Ils prétendent être le PDG ou un autre supérieur autorisé à donner l’ordre d’un transfert d’argent et demandent à la victime d’envoyer des fonds sur un compte, soi-disant celui du PDG, ou même celui de l’entreprise.
Cher candidat
Ces e-mails de phishing se basent sur de fausses offres d’emploi. Ils peuvent inciter les victimes à cliquer sur un lien de phishing ou à ouvrir des fichiers malveillants envoyés avec l’e-mail, en demandant à la victime de créer un compte et de fournir des données personnelles pour postuler.
Le groupe de menaces Lazarus a mené de nombreuses campagnes de ce genre. L’opération DreamJob, découverte récemment par les chercheurs d’ESET, a attiré des victimes avec de fausses offres d’emploi.
Ces escroqueries existent aussi sur les panneaux d’affichage d’offres d’emploi populaires. Vérifiez toujours si le chasseur de têtes qui vous a contacté ou si l’offre d’emploi que vous voyez est légitime.
Nous ne sommes pas en mesure de traiter votre remboursement d’impôts
Il n’y a que quelques certitudes dans ce monde : la mort, les impôts et les courriels d’hameçonnage pendant la saison des impôts. Comme les gens remplissent leur déclaration de revenus, il n’est pas surprenant qu’ils reçoivent des courriels d’une agence fiscale.
Les escrocs abusent de cette situation en envoyant des courriels de phishing contenant de faux messages d’agences fiscales. En général, ils prétendent qu’il manque des informations et demandent des renseignements personnels ou financiers supplémentaires.
D’autres courriels proposent un remboursement tout en demandant des informations sur la carte de crédit.
