Les attaques de phishing par rappel sont en augmentation. Si vous avez déjà reçu un e-mail vous demandant de renouveler un service ou de payer une facture pour un service que vous n’avez jamais acheté, vous avez été victime d’un hameçonnage par rappel.
Qu’est-ce que l’hameçonnage par rappel ?
Une attaque de phishing par rappel, parfois appelée transmission d’attaque par téléphone (TOAD), combine deux méthodes de phishing. La victime reçoit un e-mail de phishing l’avertissant d’un problème. Au lieu de fournir plus d’informations sur la situation dans l’e-mail, l’auteur de la menace inclut un numéro de contact, dans l’espoir d’un rappel de la victime.
Lorsque le destinataire appelle ledit numéro de téléphone, l’auteur de la menace utilise des techniques d’ingénierie sociale pour amener la victime à partager des données sensibles, à installer des logiciels malveillants ou à prendre toute autre mesure qui pourrait profiter à l’acteur de la menace.
Comment fonctionne l’hameçonnage
Dans un premier temps, une victime reçoit un e-mail l’informant qu’un paiement est dû pour une souscription à un service. Souvent, il n’y a pas de facture jointe au courrier. La victime devient alors curieuse ou furieuse de recevoir la demande de paiement pour un service qu’elle n’a pas acheté en premier lieu. Elle appelle donc le numéro de téléphone mentionné dans l’e-mail.
Un acteur de la menace assiste à l’appel et incite la victime à suivre des étapes spécifiques pour annuler la commande. Lorsque la victime suit ces étapes, un logiciel malveillant est installé sur son ordinateur ou l’auteur de la menace reçoit des informations sensibles.
L’acteur de la menace met fin à l’appel une fois que la victime a pris l’action que l’acteur de la menace veut qu’elle entreprenne.
Pourquoi les pirates tentent des attaques de phishing par rappel
En exécutant une attaque de phishing par rappel réussie, un pirate peut :
Vole des données sensibles, des identifiants de connexion ou tout autre type de données confidentielles.
Installez un logiciel de rançon sur l’ordinateur de la victime pour crypter les données afin d’obtenir une rançon.
Obtenez les informations de carte de crédit ou les informations de compte bancaire de la victime pour voler de l’argent.
Installez un logiciel d’accès à distance sur l’ordinateur de la victime pour voler des fichiers sensibles.
Dans la plupart des campagnes de phishing par rappel, le but de l’attaque est de voler des données, de l’argent ou les deux.
De nos jours, la plupart des particuliers et des entreprises utilisent des solutions anti-phishing ou anti-spam pour bloquer un e-mail contenant un fichier malveillant.
Cependant, les e-mails de phishing de rappel n’incluent pas de pièces jointes ou de liens malveillants. Ces e-mails ont donc tendance à contourner les filtres de messagerie et à être livrés aux ordinateurs des victimes. De plus, les attaques de phishing par rappel ont de faibles coûts par cible.
Il n’est donc pas surprenant que de plus en plus d’acteurs malveillants fassent des tentatives de phishing par rappel.
Comment prévenir les attaques de phishing par rappel
Une campagne de callback phishing réussie peut causer des dommages irréparables à un individu ou à une entreprise.
Voici quelques moyens de se prémunir contre les attaques de phishing par rappel.
Mettre en œuvre une solution de sécurité des e-mails
Bien que certains e-mails de phishing de rappel soigneusement conçus puissent passer à travers les solutions de sécurité de messagerie, la mise en œuvre d’une solution de sécurité de messagerie fiable telle qu’une passerelle de messagerie peut aider à améliorer la sécurité de votre entreprise.
Considérez comment une attaque par compromission de messagerie professionnelle (BEC) peut vous coûter d’importantes sommes d’argent et nuire à votre réputation. La mise en œuvre d’une solution de sécurité de messagerie robuste peut réduire le risque d’attaques de messagerie professionnelle. Dans la plupart des cas, une solution de sécurité des e-mails détectera et bloquera la fraude par e-mail, le phishing et les escroqueries. Une telle solution peut également aider à empêcher l’installation de logiciels malveillants sur votre ordinateur.
Même si vous ne travaillez pas dans un environnement professionnel, un bon logiciel antivirus peut être installé sur votre appareil pour vous offrir une sécurité optimale contre les emails de phishing et bien d’autres menaces de cybersécurité.
Vérifiez attentivement les e-mails pour détecter des signes de phishing évidents
Bien que les e-mails de phishing de rappel ne contiennent pas de pièces jointes ou de liens malveillants, ils en contiennent principaux signes d’hameçonnage ce à quoi vous devez faire attention.
Un e-mail est probablement un e-mail de phishing dont l’expéditeur est inhabituel. Par exemple, l’e-mail peut prétendre provenir d’une entreprise légitime, mais il n’a pas d’adresse e-mail de marque. Au lieu de cela, il a une adresse e-mail générique comme google.com ou yahoo.com.
Vous pouvez également vous méfier des e-mails truffés de fautes d’orthographe et de grammaire. Aucune entreprise légitime n’envoie d’e-mails remplis d’erreurs de texte. Faites également attention aux messages qui donnent une courte fenêtre pour terminer une tâche. Par exemple, une adresse e-mail vous donne quelques heures pour effectuer un paiement afin de maintenir un abonnement actif.
Un e-mail de phishing peut être signalé par votre fournisseur de messagerie. Certains fournisseurs de messagerie disposent d’une technologie anti-spam intégrée pour avertir les utilisateurs des e-mails de phishing et de spam.
Aujourd’hui, les acteurs de la menace combinent diverses tactiques d’ingénierie sociale pour inciter les victimes à les appeler. Vous devez donc redoubler de prudence lorsque vous prenez des mesures basées sur des e-mails suspects.
Méfiez-vous quand il s’agit d’argent
Un moyen infaillible d’éviter d’être la proie d’une attaque de phishing par rappel consiste à vérifier si un message concerne de l’argent ou des identifiants de connexion.
Si un e-mail d’une entreprise apparemment légitime crée un sentiment d’urgence et vous demande d’envoyer de l’argent, méfiez-vous.
Dans le cas où l’e-mail ne contient pas d’informations détaillées à l’exception du numéro de téléphone de son représentant du service client, il y a de fortes chances qu’il fasse partie d’une campagne de phishing de rappel.
Organiser des programmes de formation sur le phishing
L’hameçonnage par rappel, qui fait partie des attaques d’ingénierie sociale, repose sur l’erreur humaine plutôt que sur les vulnérabilités du système.
Par conséquent, l’exécution de programmes de formation de sensibilisation à la cybersécurité des employés peut réduire le risque d’attaques de phishing par rappel.
Voici les domaines clés sur lesquels se concentrer lorsque créer un programme de formation de sensibilisation à la sécurité. Pour commencer, un programme de formation de sensibilisation à la sécurité devrait fournir une formation sur diverses attaques de cybersécurité, y compris le phishing par rappel, le spam, les logiciels malveillants, les méthodes d’ingénierie sociale, les attaques basées sur des scripts et bien d’autres. Il devrait y avoir suffisamment d’attention sur la manière de bloquer les e-mails de phishing, les URL malveillantes, les sites Web malveillants, etc.
Les employés ne doivent pas utiliser une adresse e-mail d’entreprise pour télécharger des outils technologiques fiables légitimes à partir de faux sites Web ou s’abonner à des services en ligne aléatoires. Cela est un moyen sûr d’inviter des e-mails de phishing ou de spam. Vous devez vous assurer que vos employés suivent les meilleures politiques de sécurité des mots de passe. Ils doivent également utiliser des authentifications multifacteurs pour ajouter une couche de sécurité à leurs comptes.
Votre programme de formation doit également inclure des tests de phishing fictifs pour déterminer l’état de préparation de vos employés à lutter contre les campagnes de phishing par rappel. Et assurez-vous que vos employés suivent les meilleures pratiques protéger les comptes de messagerie d’entreprise pour éviter les arnaques.
Callback Phishing expliqué
Vous savez maintenant ce qu’est le phishing par rappel et comment vous pouvez l’empêcher. Restez vigilant pour éviter d’être la proie d’une attaque de phishing par rappel. Vous devez également en savoir plus pour comprendre à quoi ressemble un spam afin de repérer rapidement un tel e-mail.
Mathieu est un passionné de technologie avec une curiosité insatiable pour tout ce qui est nouveau et innovant. Il a commencé à s'intéresser à l'informatique et à la technologie à un jeune âge, et cette passion ne s'est jamais estompée. Au contraire, elle a évolué pour englober tout ce qui est high-tech.
Avec une formation en ingénierie informatique et plusieurs années d'expérience dans le domaine de la technologie, Mathieu a acquis une connaissance approfondie des dernières tendances et innovations technologiques. Il a travaillé sur une variété de projets, allant du développement de logiciels à la conception de systèmes intégrés, ce qui lui a permis de comprendre les subtilités et les complexités du monde de la technologie.
Mathieu a créé son blog d'astuces high-tech pour partager ses connaissances et aider les autres à naviguer dans le monde parfois déroutant de la technologie. Que vous soyez un débutant cherchant à comprendre les bases ou un technophile chevronné à la recherche de nouvelles astuces et techniques, Mathieu est là pour vous aider.
Il est toujours à l'affût des dernières nouveautés et s'efforce de les expliquer de manière simple et accessible. Il croit fermement que la technologie est un outil puissant qui, lorsqu'il est bien utilisé, peut améliorer notre vie de manière significative. Avec son blog, Mathieu espère rendre la technologie plus accessible et plus facile à comprendre pour tous.
En dehors de son blog, Mathieu aime passer du temps à explorer de nouvelles technologies, à lire sur les dernières tendances et à travailler sur ses propres projets technologiques. Il est également un grand amateur de café et ne manque jamais une occasion de déguster une bonne tasse tout en se plongeant dans un nouveau gadget ou une nouvelle application.
