Phishing et ingenierie sociale avancee — Sensibilisation Essentielle

Objectifs d'apprentissage

Identifier les differentes formes de phishing et d'ingenierie sociale
Reconnaitre les indicateurs d'une tentative de phishing avancee
Reagir correctement face a une tentative et savoir la signaler

De l'hameconnage de masse au spear phishing cible

Le phishing de masse envoie des millions d'emails generiques (fausse banque, faux colis). Le spear phishing est personnalise avec des details reels sur la victime (nom, employeur, projets en cours) collectes sur LinkedIn, les reseaux sociaux ou les sites web. Le whaling cible specifiquement les dirigeants (PDG, CFO). Le BEC (Business Email Compromise) usurpe l'identite d'un superieur ou d'un fournisseur pour declencher un virement frauduleux. Avec l'IA generative, ces emails sont desormais parfaitement rediges en francais.

🔔 À retenir : Le BEC (fraude au president) a coute 2,9 milliards USD aux entreprises en 2023 selon le FBI IC3. Un email convainquant du 'PDG' demandant un virement urgent reste l'une des attaques les plus rentables.

Vishing, smishing et les nouveaux vecteurs

Le vishing (voice phishing) utilise des appels telephoniques, parfois avec des voix clonees par IA (deepfake audio) pour simuler un superieur ou le service IT. Le smishing utilise les SMS (faux colis, fausse alerte bancaire). Le quishing utilise des QR codes malveillants. Ces vecteurs contournent les filtres email et exploitent la confiance accrue que les gens ont envers les appels et SMS par rapport aux emails.

⚠ Attention : Les deepfakes audio sont maintenant accessibles a partir d'un echantillon vocal de quelques secondes (un discours public, une video LinkedIn). Verifiez toujours les demandes inhabituelles par un second canal, meme si la voix semble familiere.

Reconnaitre, reagir, signaler

Indicateurs de phishing avancee : domaine similaire mais pas identique (objectifcyber.ca vs 0bjectifcyber.ca), sentiment d'urgence artificielle, demande inhabituelle (virement, credentials, acces), lien qui ne correspond pas au texte visible (survoler avant de cliquer), piece jointe inattendue. Reaction : ne pas cliquer, ne pas repondre, transmettre a l'IT sans modifier l'email (forward plutot que reply), signaler via le bouton de report si disponible.

Checklist pratique

Je sais reconnaitre un nom de domaine usurpe (0bjectifcyber vs objectifcyber)

Tout email demandant un virement ou des credentials est verifie par telephone au numero habituel

Notre organisation a un processus de signalement des emails suspects que tous connaissent

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

BEC = 2,9 milliards USD en 2023 : la fraude au virement est l'attaque phishing la plus couteuse
L'IA genere du phishing parfaitement redige en francais : les fautes d'orthographe ne sont plus un signal
Deepfake audio : verifier toute demande inhabituelle par un second canal meme si la voix est connue
Survoler un lien avant de cliquer revele la vraie destination : reflex numero 1 anti-phishing