09 Mai 2022

Attaques de
phishing
Réalisé par:
Moinahadidja MOHAMED CHAKIR
TETEREOU Aboudourazakou
KAVEGE Kodjo Godwin Leger
 Plan
Introduction Phishing par la
pratique
Definition
Impact de phishing
sur la société
Etapes d'attaques
de phishing
Cet exposé est à bu éducatif
uniquement. Les techniques et les
Conclusion
demonstrations faites dans cet exposé
sont destinées aux personnes curieuses Types de phishing
de savoir ,ce qu'est le phishing et les
moyens de s'en protéger.Phishing est et moyens de
un crime et nous ne serons tenus
responsables de comment vous prévention
l'utiliserez.
INTRODUCTION
Les attaques de phishing continuent de jouer un rôle dominant dans le paysage des
menaces numériques. Dans un rapport d'enquête sur les violations de données (DBIR) de
2021, il a été constaté que le phishing était l'une des variétés d'action les plus répandues
pour les violations de données analysées. Ses chercheurs ont spécifiquement observé le
phishing dans plus d'un tiers (36 %) des violations. C'est en hausse par rapport à 22% un
an plus tôt.
"L'hameçonnage est la forme de
cyberattaque la plus simple , et en
meme temps ,la plus dangereuse et la
plus efficace. En effet, elle attaque
l'ordinateur le plus vulnérable et le
plus puissant de la planète: l'esprit
humain."
- Adam Kiyawa , Directeur de Malwarebytes labs
 DEFINITION

le phishing est une tentative frauduleuse d'obtenir des données sensibles en se faisant
passer pour une entité digne de confiance.es lignes dans le corps du texte
 Etapes de phishing

Appat hameçon capture

La première des trois étapes d'une
attaque de phishing consiste à préparer
l'appât. Il s'agit de trouver des détails
sur la cible, ce qui peut être aussi simple
que de savoir qu'elle utilise un service
particulier ou travaille dans une
entreprise particulière.
Une fois que le hacker a obtenu les
informations nécessaires pour servir d'appât, il
doit ensuite préparer l'hameçon. Afin d'inciter
la cible à effectuer une action, le hacker doit
lui promettre quelque chose ou l'effrayer pour
qu'il agisse.
La troisième phase du phishing est l'attaque
proprement dite. Le cybercriminel envoie l'e-
mail et se prépare à ce que sa proie tombe
dans le piège.
L'action suivante du hacker dépend de la
nature de l'escroquerie.

 2-Whaling
1-Spear phishing
3-Vishing

TYPES D'ATTAQUES DE
PHISHING

6-Deceptive phishing
4-Smishing
5-Pharming
1-Spear phishing

Dans ce type d'attaque, les fraudeurs

personnalisent leurs e-mails d'attaque avec les
informations personnelles de la cible pour faire
croire au destinataire qu'il a un lien avec
l'expéditeur.
Techniques du spear phishing

1-Hébergement de documents malveillants sur

des services cloud

les attaquants numériques hébergent de plus en plus de

documents malveillants sur Dropbox, Box, Google Drive et
d'autres services cloud . Par défaut, il est peu probable
que le service informatique bloque ces services, ce qui
signifie que les filtres de messagerie de l'organisation ne
signaleront pas les documents malveillants
Techniques du spear phishing

2-Jetons de compromis

les attaquants numériques tentent de compromettre les

jetons d'API ou les jetons de session. Le succès à cet
égard leur permettrait de voler l'accès à un compte de
messagerie, un site SharePoint ou une autre ressource.
Techniques du spear phishing

3- Rassemblez les notifications d'absence du

bureau

une façon d'y parvenir consiste à envoyer des e-mails en

masse aux employés et à collecter des notifications
d'absence du bureau pour connaître le format des
adresses e-mail utilisées par les employés internes.
Techniques du spear phishing

4-Explorez les médias sociaux

les acteurs malveillants doivent savoir qui travaille dans

une entreprise ciblée. Ils peuvent le faire en utilisant les
médias sociaux pour enquêter sur la structure de
l'organisation et décider qui ils aimeraient cibler pour leurs
attaques ciblées.
Exemple d'attaque de
Spear Phishing Fin mai, Microsoft Threat Intelligence Center (MTIC) a
détecté des e-mails d'attaque qui semblaient provenir de
l'Agence américaine pour le développement international
(USAID). L'adresse est arrivée avec une adresse e-mail
d'expéditeur authentique qui correspondait au service
Constant Contact standard. Utilisant la fraude électorale
comme leurre, les e-mails de spear phishing ont incité les
victimes à cliquer sur un lien qui les a finalement
redirigées vers une infrastructure contrôlée par
NOBELIUM. Cette infrastructure a ensuite téléchargé un
fichier ISO malveillant sur la machine de la victime.
Moyens de prévention

Pour se protéger contre ce type d'escroquerie, les

organisations doivent organiser une formation
continue de sensibilisation à la sécurité des
employés qui, entre autres, décourage les
utilisateurs de publier des informations
personnelles ou d'entreprise sensibles sur les
réseaux sociaux.
2- Whaling

Les attaquants peuvent cibler n'importe qui dans

une organisation, même les cadres. C'est la logique
derrière une attaque de « whaling ».

Dans ces attaques, les fraudeurs tentent de

harponner un dirigeant et de voler ses informations
de connexion.
Techniques de Whaling

-Infiltrer le réseau

-Suivi par un appel téléphonique

attaquants peuvent suivre un e-mail avec un appel

téléphonique confirmant la demande par e-mail. Cette tactique
d'ingénierie sociale a aidé à apaiser les craintes de la cible qu'il
pourrait y avoir quelque chose de suspect en cours.
Exemple d'attaque de
whaling En mai 2016, Infosecurity Magazine couvrait la décision
du constructeur aérospatial autrichien FACC de licencier
son PDG. Le conseil de surveillance de l'organisation a
déclaré que sa décision était fondée sur l'idée que
l'ancien PDG avait "gravement violé ses devoirs, en
particulier en ce qui concerne le" Fake President Incident
"." Cet incident semble avoir été une attaque à la baleine
au cours de laquelle des acteurs malveillants ont volé 50
millions d'euros à l'entreprise.
Moyens de prévention

Les attaques de type Whaling fonctionnent parce que les

cadres ne participent souvent pas à la formation de
sensibilisation à la sécurité avec leurs employés.
Pour contrer cela les entreprises doivent exiger que tout le
personnel de l'entreprise, y compris les cadres, participe
en permanence à une formation de sensibilisation à la
sécurité.
3-Vishing

Cette attaque consiste non plus à utiliser les mails

comme moyens de communication mais plutôt les
appels téléphoniques.

un attaquant peut mener une campagne de vishing

en configurant un serveur Voice over Internet
Protocol (VoIP) pour imiter diverses entités afin de
voler des données sensibles et/ou des fonds.
Techniques de Vishing

1-Usurpation d'identité

ici, un acteur malveillant déguise son numéro de

téléphone pour donner l'impression que son appel
provient d'un numéro de téléphone légitime dans
l'indicatif régional de la cible.
Techniques de Vishing

2-Jargon technique

Les attaquants pourraient se faire passer pour le support

technique interne en utilisant un jargon technique et en
faisant allusion à des problèmes tels que des problèmes
de vitesse ou des badges pour convaincre un employé
qu'il peut transmettre leurs informations.
Exemple d'attaque de
Vishing En juin 2021, Threatpost a rendu compte d'une campagne
de vishing qui envoyait des e-mails déguisés en
notifications de renouvellement pour un service de
protection annuel fourni par Geek Squad. Les e-mails ont
tiré parti de la marque volée à la Geek Squad pour
demander aux destinataires d'appeler un numéro de
téléphone. S'ils s'y conformaient, les destinataires se
retrouvaient connectés à un "service de facturation" qui
tentait alors de voler les informations personnelles des
appelants et les détails de la carte de paiement.
Moyens de prévention

Pour se protéger contre les attaques de vishing, les

utilisateurs doivent éviter de répondre aux appels
provenant de numéros de téléphone inconnus, ne jamais
donner d'informations personnelles par téléphone et
utiliser une application d'identification de l'appelant.
4-Smishing

Cette méthode utilise des messages texte

malveillants pour inciter les utilisateurs à cliquer
sur un lien malveillant ou à transmettre des
informations personnelles.
4-Techniques de smishing

1-Lien vers des formulaires de vol de données

les attaquants pourraient exploiter un message texte

ainsi que des techniques de phishing trompeuses pour
inciter les utilisateurs à cliquer sur un lien malveillant. La
campagne pourrait alors les rediriger vers un site Web
conçu pour voler leurs informations personnelles.
4-Techniques de smishing

2-Demander à l'utilisateur de contacter le

support technique

Avec ce type de tactique d'attaque, les acteurs

malveillants envoient des messages texte qui demandent
aux destinataires de contacter un numéro pour le support
client. L'escroc se fera alors passer pour un représentant
légitime du service client et tentera de tromper la victime
pour qu'elle transmette ses données personnelles
 1 Security Boulevard a averti en avril
2021 que des acteurs malveillants
Attaques connues utilisaient des messages de smishing
déguisés en mises à jour du service
de Smishing postal des États-Unis (USPS)

BankInfoSecurity a rendu compte

2 d'une campagne de smishing au
cours de laquelle des attaquants
se sont fait passer pour des
agences de main-d'œuvre de
l'État. Des acteurs malveillants
ont utilisé ces déguisements pour
inciter les bénéficiaires à cliquer
sur des liens liés aux allocations
de chômage.
Moyens de prévention

Les utilisateurs peuvent aider à se défendre contre

les attaques par smishing en recherchant des
numéros de téléphone inconnus et en appelant
l'entreprise nommée dans les messages SMS
suspects en cas de doute
5-Pharming

Dans une attaque d'empoisonnement du cache

DNS, l'attaquant cible un serveur DNS et modifie
l'adresse IP associée à un nom de site Web
alphabétique. Cela signifie qu'un attaquant peut
rediriger les utilisateurs vers un site Web
malveillant de leur choix. C'est le cas même si la
victime saisit le bon nom de site.
5-Techniques de pharming

1-Code d'e-mail malveillant

Les acteurs malveillants envoient des e-mails

contenant un code malveillant qui modifie les fichiers
hôtes sur l'ordinateur du destinataire. Ces fichiers
hôtes redirigent ensuite toutes les URL vers un site
Web sous le contrôle des attaquants afin qu'ils
puissent installer des logiciels malveillants ou voler
les informations d'une victime
5-Techniques de pharming

2-Ciblage du serveur DNS

Alternativement, les acteurs malveillants peuvent

choisir de ne pas cibler les ordinateurs des
utilisateurs individuels et de s'attaquer directement à
un serveur DNS. Cela pourrait potentiellement
compromettre les demandes d'URL de millions
d'internautes
 1 L'équipe Cymru a révélé qu'elle avait
découvert une attaque de pharming
Attaques connues en décembre 2013. L'opération a
touché plus de 300 000 routeurs de
de pharming petites entreprises et de bureaux à
domicile basés en Europe et en Asie
Proofpoint a révélé avoir détecté
2 une campagne de pharming
ciblant principalement les
utilisateurs brésiliens. L'opération
a utilisé quatre URL distinctes
intégrées dans des e-mails de
phishing pour s'attaquer aux
propriétaires de routeurs
UTStarcom et TP-Link
Moyens de prévention

1 Entrer des informations sur les sites

securises(https)

Utiliser des antivirus

2
6-Deceptive phishing

Les fraudeurs se font passer pour une entreprise

légitime pour voler les données personnelles ou les
identifiants de connexion des personnes. Ces e-
mails utilisent des menaces et un sentiment
d'urgence pour effrayer les utilisateurs et les
inciter à faire ce que veulent les attaquants.
6-Techniques de deceptive phishing

1-Redirections et liens raccourcis

Les acteurs malveillants utilisent des URL raccourcies

pour tromper les Secure Email Gateways (SEG). Ils
utilisent également le "time bombing" pour rediriger
les utilisateurs vers une page de destination de
phishing uniquement après la livraison de l'e-mail.
Une fois que les victimes ont perdu leurs informations
d'identification, la campagne redirige ensuite les
victimes vers une page Web légitime.
 1 Inky a repéré une autre campagne de
phishing avec des acteurs
Attaques connues de malveillants se faisant passer pour le
Département américain des
deceptive phishing transports (USDOT)
Moyens de prévention

1 les utilisateurs doivent inspecter

soigneusement toutes les URL pour
voir si elles redirigent vers un site Web
inconnu et/ou suspect
Faire attention aux salutations
2
génériques, aux fautes de
grammaire et aux fautes
d'orthographe.
PRATIE DEMONSTRATION PRATIQUE
 Impact de phishing pour l'utilisateur

Problèmes bancaires Problèmes sociaux Problèmes

administrastifs

débits indus à récupérer, -Usurpation d’identité sur les réseaux -Usurpation d’identité :
agios(interets , sociaux avec diffusion de messages et de prouver qui l’on est et qui
commissions) blocage de fichiers multimédias indésirables), avec a fait quoi à notre place.
compte… parfois suspension voire fermeture du -Résoudre les problèmes
compte utilisateur par le réseau social en causés par l’usurpateur.
question, suite à la diffusion
d’informations « ne correspondant pas à
sa charte d’utilisation ».
-Informations personnelles révélées à des
personnes ciblées ou bien à tout internet.
 Impact de phishing en entreprise
Atteinte à la
reputation et
perte valeur de
l'entreprise
Les entreprises victimes de
phishing avec à la clé des
pertes importantes de
données voient leur
réputation prendre un coup.
En effet, sur votre marché et
auprès de vos clients, vous
perdez en fiabilité et en
crédibilité.
Problèmes Amendes Perturbation des
juridiques et Perte reglementaires, activités
de clients des sanctions
financières
cette attaque permet de Il peut causer une interruption
révéler les données Issue des problèmes totale de votre activité
privées de vos clients. évoqués précedemment C’est généralement le cas
l'E/se pouvez faire lorsque l’entreprise ne dispose
l’objet de poursuites pas d’un système de sécurité
judiciaires de la part en prévention à ce type de
d’un client. cyberattaques.
Peu de clients voudront
encore traiter avec
l'E/se.
CONCLUSION
 Merci !

N'hésitez pas à nous

contacter si vous avez des
questions.