• il y a 8 mois
On a tous déjà reçu ce genre de messages : “Vous avez un colis en attente”, “Coucou maman, j’ai changé de numéro”.

Mathis Hammel, nous guide à travers les techniques de phishing les plus courantes et livre des conseils pratiques pour nous en protéger.

Category

🗞
News
Transcription
00:00On reçoit généralement tous les mêmes.
00:02Voilà, vous avez un colis en attente de paiement des frais de douane.
00:05Coucou maman, j'ai changé de numéro.
00:06Il faut vraiment être à l'affût du moindre petit truc.
00:11On va avoir deux types de phishing.
00:12On va avoir donc le phishing classique
00:14qui va envoyer un mail ou un SMS à énormément de gens
00:18et en fait qui va essayer de ratisser le plus large possible.
00:19Et après, on a du phishing ciblé, donc le spare phishing
00:22qui là va cibler une personne en particulier
00:24en se basant notamment sur des informations qu'on a pu récupérer sur elle.
00:27Par email, c'est beaucoup plus facile.
00:28On va pouvoir par exemple utiliser une adresse mail qui est très proche
00:31de celle de la personne que le hacker va essayer d'usurper.
00:34Une adresse en arrobase google.com.
00:35En fait, le L minuscule, vous pouvez mettre un I majuscule
00:38et ça se voit quasiment partout.
00:39Une assez courante, c'est aussi quelqu'un essaye de se connecter à votre compte
00:43et le lien réinitialiser votre mot de passe
00:45vous amène sur le site de l'attaquant.
00:46Et comme vous avez ce sentiment d'urgence là,
00:48attention, il faut vraiment que je fasse quelque chose vite,
00:50votre cerveau un petit peu analytique va en fait être complètement éteint.
00:54Le sentiment d'urgence, c'est vraiment le plus gros red flag.
00:56Ils vont nous trouver aussi des excuses valables,
00:59potentiellement se baser sur des fuites de données
01:01qui ont eu lieu sur Internet pour connaître exactement mon nom,
01:04mon prénom, mon adresse,
01:05se rendre de plus en plus crédible.
01:06Pareil, un petit conseil, ne réutilisez pas le même mot de passe deux fois.
01:09Utilisez un gestionnaire de mot de passe.
01:10Après, il y a quand même des indices qui ne trompent pas,
01:12notamment quand on va vous demander de valider une transaction.
01:14Ça, c'est très classique dans un phishing bancaire.
01:16Vous êtes la seule personne qui peut autoriser une transaction
01:19depuis votre téléphone.
01:20Donc si votre banquier vous appelle en disant
01:22on a besoin que vous validiez une transaction,
01:24ça généralement, c'est pas votre banquier au bout de la ligne.
01:26Dernièrement, il y a aussi pas mal l'utilisation de l'intelligence artificielle.
01:29Typiquement, en fait, avec un LLM, donc chat GPT,
01:32on peut se faire passer pour n'importe qui
01:34en parlant n'importe quelle langue de manière courante.
01:36Au Japon, ils ont eu une recrudescence d'attaque
01:38parce que très peu de hackers parlent japonais.
01:40Autre truc sur l'IA qui était assez impressionnant
01:42à Hong Kong l'an dernier.
01:44Un employé d'une société qui a été invité
01:46dans une visio Zoom par son patron,
01:48il rejoint et donc il y a son patron,
01:50tous ses collègues qui sont là.
01:51Je ne sais plus ce qui se passe exactement,
01:52mais ils lui font faire une transaction de 25 millions de dollars
01:55parce que c'était le directeur financier.
01:56Il s'avère qu'en fait, sur cet appel Zoom,
01:58le patron était un deepfake,
02:00tous les collègues présents étaient des deepfake
02:01et là, c'est impossible de ne pas se faire avoir.
02:04Et ça, c'est quelque chose qui prend quelques jours
02:06à mettre en place si on est bon en tech.
02:07Un enregistrement vocal du patron,
02:09maintenant, ça se fait avec 10 secondes d'audio.
02:11Les photos, on va les choper sur LinkedIn,
02:13les noms des collègues, c'est pareil.
02:14Donc en fait, faire une attaque ciblée
02:16qui rapporte 25 millions de dollars en une demi-heure,
02:18c'est possible.
02:19Je lisais un post l'autre jour, c'était un Américain,
02:20il me dit, mon fils m'a appelé, je suis en garde à vue,
02:22j'ai besoin que tu m'envoies X milliers de dollars.
02:25Le père, il entend la voix de son fils en pleurs qui lui dit ça.
02:28Je ne le blâmerai pas de se faire avoir là-dessus.
02:30C'est super facile de se faire voler plusieurs milliers d'euros
02:33en quelques minutes parce qu'en fait,
02:34l'IA arrive quand même à nous berner assez facilement.
02:37Insulter une personne qui essaie de t'arnaquer,
02:39non, généralement, c'est assez inoffensif.
02:41Même en fait, ça peut potentiellement faire en sorte
02:43qu'ils vont te retirer de leur liste de diffusion future.
02:45Après, il y a autre chose, c'est qu'en fait,
02:47il y a beaucoup de ces SMS-là qui sont envoyés
02:49depuis des téléphones qui ont été piratés,
02:50donc typiquement qui ont installé une application malveillante.
02:52Ça va être des gens comme vous et moi.
02:54Ils ne savent même pas que leur téléphone envoie des SMS.
02:56Et donc, du jour au lendemain,
02:57ils vont recevoir des centaines de messages d'insultes
02:59parce que c'est leur téléphone qui a été piraté.
03:01Les dossiers d'appart, c'est vrai que c'est une grosse source
03:04de vol d'identité.
03:05Il y a un site du gouvernement qui met des filigranes
03:07en disant dossiers réservés à l'allocation,
03:09des choses comme ça.
03:10Mais effectivement, c'est des trucs sur lesquels
03:12il faut faire gaffe aussi.
03:13Les fausses annonces immobilières,
03:15les fausses annonces sur le Boncoin.
03:17T'as un Mac qui coûte la moitié du prix habituel.
03:20Généralement, ça va target les personnes âgées
03:23parce que c'est des personnes qui n'ont pas grandi
03:25avec Internet, qui n'ont pas grandi avec la tech
03:27et du coup qui ont plus de mal à identifier
03:29ces petites incohérences sur un échange
03:31qu'ils peuvent avoir ou quoi.
03:32Et d'ailleurs, c'est soupçonné que, historiquement,
03:34les mails de phishing où il y a plein de fautes d'orthographe,
03:36en fait, c'est pour faire un filtre
03:37parce que les personnes qui vont cliquer,
03:38t'es sûr que c'est vraiment des personnes très crédules.
03:40Je trouve qu'on communique effectivement pas assez,
03:42mais surtout on communique mal.
03:43Dire à quelqu'un,
03:44ne donnez jamais votre mot de passe à un inconnu,
03:47bah oui, c'est évident.
03:48Mais en fait, c'est de leur dire,
03:49comment les attaquants font ?
03:50J'ai accidentellement mis mon numéro de carte bleue
03:53sur un site un peu chelou,
03:54il s'est rien passé.
03:55Par contre, l'après-midi, ma banque m'appelle pour me dire,
03:57vous avez fait une transaction bizarre ce matin,
03:59veuillez accepter cette transaction
04:01pour qu'en fait on vous rembourse.
04:02En fait, c'est l'attaquant au bout du fil.
04:03C'est ça qu'il faut plus mettre en avant.
04:05Il y a tellement de choses, en fait.
04:06Il y a tellement de choses bizarres
04:07et ça évolue tellement tous les jours.
04:08C'est pas non plus un drame si on se fait avoir.
04:10Il faut pas non plus s'en vouloir énormément les attaques.
04:13Tout le monde en subit tous les jours.
04:14Il y en a qui sont hyper durs à déceler.
04:16Il y en a, bah voilà,
04:17on a fait une petite faute d'attention.
04:18Il faut vraiment être à l'affût du moindre petit truc
04:21et en cas de doute, confirmer par un autre canal.
04:24Le niveau global de sécurité augmente,
04:26sauf que les attaquants derrière
04:27sont aussi de plus en plus forts
04:29et vont avoir des techniques de plus en plus avancées.

Recommandations