Les attaques de phishing par rappel sont en augmentation. Si vous avez déjà reçu un e-mail vous demandant de renouveler un service ou de payer une facture pour un service que vous n’avez jamais acheté, vous avez fait l’expérience du callback phishing.
Qu’est-ce que le callback phishing ?
Une attaque de phishing par rappel, parfois appelée « telephone-oriented attack delivery » (TOAD), combine deux méthodes de phishing. La victime reçoit un e-mail de phishing l’alertant d’un problème. Au lieu de fournir plus d’informations sur la situation dans l’e-mail, l’acteur de la menace inclut un numéro de contact, en espérant un retour d’appel de la victime.
Lorsque le destinataire appelle le numéro de téléphone mentionné, l’acteur de la menace utilise des techniques d’ingénierie sociale pour inciter la victime à partager des données sensibles, à installer un logiciel malveillant ou à prendre toute autre mesure susceptible de lui profiter.
Comment fonctionne le callback phishing
Tout d’abord, la victime reçoit un e-mail l’informant qu’un paiement est dû pour un abonnement à un service. Souvent, aucune facture n’est jointe au courrier. La victime devient alors curieuse ou furieuse de recevoir une demande de paiement pour un service qu’elle n’a pas acheté, et appelle le numéro de téléphone mentionné dans l’e-mail.
Un acteur de la menace répond à l’appel et incite la victime à suivre des étapes spécifiques pour annuler la commande. Lorsque la victime suit ces étapes, un logiciel malveillant est installé sur son PC ou l’acteur menaçant reçoit des informations sensibles.
L’acteur menaçant met fin à l’appel une fois que la victime a fait ce qu’il voulait qu’elle fasse.
Pourquoi les pirates tentent-ils des attaques de phishing par callback ?
En réalisant une attaque de callback phishing réussie, un acteur de la menace peut :
- Voler des données sensibles, des identifiants de connexion, ou tout autre type de données confidentielles.
- Installer un ransomware sur l’ordinateur de la victime pour crypter les données et obtenir l’argent de la rançon.
- Obtenir les informations de la carte de crédit ou du compte bancaire de la victime pour voler de l’argent.
- Installer un logiciel d’accès à distance sur l’ordinateur de la victime pour voler des fichiers sensibles.
Dans la plupart des campagnes de hameçonnage par rappel, le but de l’attaque est de voler des données, de l’argent, ou les deux.
De nos jours, la plupart des particuliers et des entreprises utilisent des solutions anti-hameçonnage ou anti-spam pour bloquer un courriel contenant un fichier malveillant.
Cependant, les courriels de phishing de rappel ne contiennent pas de pièces jointes ou de liens malveillants. Ces e-mails ont donc tendance à contourner les filtres de messagerie et à atteindre les ordinateurs des victimes. En outre, les attaques de callback phishing ont un faible coût par cible.
Il n’est donc pas surprenant que de plus en plus d’acteurs de la menace fassent des tentatives de callback phishing.
Comment prévenir les attaques de hameçonnage par callback ?
Une campagne de hameçonnage par rappel réussie peut causer des dommages irréparables à un individu ou à une entreprise.
Voici quelques moyens de se prémunir contre les attaques de callback phishing.
Mise en place d’une solution de sécurité du courrier électronique
Bien que certains courriels d’hameçonnage de rappel soigneusement conçus puissent échapper aux solutions de sécurité des courriels, la mise en œuvre d’une solution de sécurité des courriels réputée, comme une passerelle de messagerie, peut contribuer à améliorer la position de sécurité de votre entreprise.
Considérez comment une attaque par compromission de la messagerie professionnelle (BEC) peut vous coûter des sommes d’argent considérables et une perte de réputation. La mise en œuvre d’une solution robuste de sécurité de la messagerie peut minimiser le risque d’attaques par compromission de la messagerie professionnelle. Dans la plupart des cas, une solution de sécurité des e-mails détectera et bloquera l’usurpation d’identité, le phishing et les escroqueries. Une telle solution peut également contribuer à empêcher l’installation de logiciels malveillants sur votre PC.
De plus, une bonne solution de sécurité des e-mails peut vous alerter sur les comportements suspects des utilisateurs. Assurez-vous donc d’avoir l’une des meilleures suites de messagerie pour une configuration sécurisée de votre boîte de réception.
Même si vous ne travaillez pas dans un cadre professionnel, l’installation d’un bon logiciel antivirus sur votre appareil peut vous offrir une sécurité optimale contre les e-mails de phishing et de nombreuses autres menaces de cybersécurité.
Vérifiez attentivement les courriels à la recherche de signes évidents de phishing
Bien que les e-mails d’hameçonnage de rappel ne contiennent pas de pièces jointes ou de liens malveillants, ils présentent certains signes d’hameçonnage importants dont vous devez vous méfier.
Un e-mail est susceptible d’être un e-mail de phishing s’il a un expéditeur inhabituel. Par exemple, l’e-mail peut prétendre provenir d’une entreprise légitime, mais il n’a pas d’adresse e-mail de marque. Il s’agit plutôt d’une adresse générique comme google.com ou yahoo.com.
Vous pouvez également vous méfier des e-mails truffés de fautes d’orthographe et de grammaire. Aucune entreprise légitime n’envoie des courriels remplis d’erreurs textuelles. Méfiez-vous également des messages qui offrent une courte fenêtre pour effectuer une tâche. Par exemple, une adresse électronique vous donne quelques heures pour effectuer un paiement afin de maintenir un abonnement actif.
Un e-mail hameçon peut être signalé par votre fournisseur d’e-mail. Certains fournisseurs d’e-mails disposent d’une technologie anti-spam intégrée qui alerte les utilisateurs en cas d’hameçonnage ou de spam.
Aujourd’hui, les acteurs de la menace combinent diverses tactiques d’ingénierie sociale pour inciter les victimes à les appeler. Vous devez donc être très prudent lorsque vous entreprenez des actions basées sur des courriels qui éveillent les soupçons.
Méfiez-vous s’il s’agit d’argent
Un moyen infaillible d’éviter d’être la proie d’une attaque de phishing par rappel est de vérifier deux fois si un message concerne de l’argent ou des identifiants de connexion.
Si un courriel provenant d’une entreprise apparemment légitime crée un sentiment d’urgence et vous demande d’envoyer de l’argent, méfiez-vous.
Si l’e-mail ne contient pas d’informations détaillées, à l’exception du numéro de téléphone du représentant du service clientèle, il y a de fortes chances qu’il fasse partie d’une campagne de hameçonnage par rappel.
Organisez des programmes de formation au hameçonnage
Le callback phishing, qui fait partie des attaques d’ingénierie sociale, repose sur l’erreur humaine plutôt que sur les vulnérabilités du système.
La mise en place régulière de programmes de sensibilisation des employés à la cybersécurité peut donc minimiser le risque d’attaques par hameçonnage par rappel.
Voici les domaines clés sur lesquels vous devriez vous concentrer lors de l’élaboration d’un programme de formation de sensibilisation à la sécurité. Pour commencer, un programme de sensibilisation à la sécurité doit offrir une formation sur les différentes attaques de cybersécurité, y compris le callback phishing, le spam, les logiciels malveillants, les méthodes d’ingénierie sociale, les attaques basées sur des scripts, et bien d’autres encore. L’accent doit être mis sur la manière de repérer les courriels d’hameçonnage, les URL malveillantes, les sites Web malveillants, etc.
Les employés ne devraient pas utiliser l’adresse électronique de l’entreprise pour télécharger des outils technologiques légitimes et fiables à partir de faux sites Web ou s’abonner à des services en ligne aléatoires. Ce faisant, ils risquent de recevoir des courriels de phishing ou de spam. Vous devez vous assurer que vos employés suivent les meilleures politiques de sécurité des mots de passe. Ils devraient également utiliser des authentifications multifactorielles pour ajouter une couche de sécurité à leurs comptes.
Votre programme de formation devrait également comporter des tests de phishing fictifs pour évaluer la préparation de vos employés à lutter contre les campagnes de phishing par rappel. Et assurez-vous que vos employés suivent les meilleures pratiques pour protéger les comptes de messagerie d’entreprise afin d’éviter les arnaques.
Le hameçonnage par rappel expliqué
Vous savez maintenant ce qu’est le callback phishing et comment vous pouvez l’éviter. Restez vigilant pour éviter d’être la proie d’une attaque de callback phishing. Vous devriez également en apprendre davantage sur l’aspect d’un spam pour pouvoir le repérer rapidement.
