Qu'est-ce qu'une attaque par appât ? Types et prévention

Blog

Découvrez ce qu'est une attaque par appât, comment elle fonctionne, des exemples réels et des moyens de prévenir cette menace courante de cybersécurité.

par Ahona Rudra

Temps de lecture : 7 min
Qu'est-ce qu'une attaque par appât ? Types et prévention
Table des matières-

Points clés à retenir

  1. Les cybercriminels ont souvent recours à des techniques d'ingénierie sociale pour manipuler les individus et les amener à compromettre leur sécurité.
  2. Les attaques par appât consistent à exploiter la curiosité ou l'appât du gain pour inciter les victimes à compromettre leurs appareils.
  3. Il est essentiel d'informer les employés des dernières tendances en matière d'hameçonnage pour prévenir les attaques par appât.
  4. L'utilisation de logiciels antivirus et anti-malware permet de détecter et de bloquer les menaces avant qu'elles ne causent des dommages.
  5. Les attaques simulées peuvent être utiles pour identifier les faiblesses et former les employés à reconnaître les comportements suspects.

En matière de cybersécurité, l'attaque par appât est l'une des techniques d'ingénierie sociale les plus courantes et les plus efficaces utilisées par les cybercriminels du monde entier. Contrairement à d'autres cybermenaces qui s'appuient fortement sur des exploits techniques, l'appât tire parti de la curiosité et de la confiance humaines. 

Il est essentiel de comprendre ce qu'est l'appât, comment il fonctionne et comment s'en protéger pour maintenir une bonne sensibilisation à la cybersécurité et prévenir d'éventuelles violations de données.

Qu'est-ce que l'appât en matière de cybersécurité ?

Une attaque par appât est une stratégie d'ingénierie sociale qui consiste à séduire une personne par une promesse trompeuse qui fait appel à sa curiosité ou à sa cupidité. L'appât consiste pour un attaquant à laisser une clé USB contenant une charge utile nuisible dans des halls d'entrée ou des parkings dans l'espoir que quelqu'un l'insère dans un appareil par curiosité, ce qui permet de déployer le logiciel malveillant qu'elle contient.

Dans une cyberattaque par appât, l'attaquant peut envoyer un message électronique dans la boîte de réception de la victime contenant une pièce jointe contenant un fichier malveillant. Après avoir ouvert la pièce jointe, il s'installe sur votre ordinateur et espionne vos activités.

L'attaquant vous envoie également un courriel contenant un lien vers un site Web qui héberge un code malveillant. Lorsque vous cliquez sur ce lien, il peut infecter votre appareil avec un logiciel malveillant ou un ransomware.

Les pirates utilisent souvent des attaques d'appât pour voler des données personnelles ou de l'argent à leurs victimes. Cette attaque est devenue plus courante car les criminels ont trouvé de nouveaux moyens de tromper les gens pour qu'ils deviennent des victimes de la cybercriminalité.

Simplifiez la sécurité avec PowerDMARC !

15 jours d'essaiRéservez une démo

Types d'attaques par appât

Les attaques par appât peuvent prendre de nombreuses formes, tant dans le monde physique que dans le monde numérique. Les cybercriminels adaptent leurs tactiques en fonction de la cible. Il est donc essentiel de comprendre les différentes méthodes d'appâtage. 

Vous trouverez ci-dessous les types les plus courants d'attaques par appât, ainsi que leurs mécanismes de fonctionnement.

Appât physique

Dans le cas de l'appât physique, les attaquants utilisent des dispositifs matériels infectés tels que des clés USB, des CD ou des dispositifs de stockage externes. Ces objets sont souvent laissés dans des endroits stratégiques, comme des parkings, des bureaux, des ascenseurs ou d'autres lieux publics, où quelqu'un est susceptible de les ramasser. Lorsque les victimes connectent ces dispositifs à leurs ordinateurs, des logiciels malveillants sont automatiquement installés, ce qui permet aux attaquants d'accéder à des fichiers, à des réseaux, voire à des systèmes entiers.

Appât numérique

L'appât numérique utilise du contenu en ligne déguisé en logiciel gratuit, en films, en musique ou en jeux piratés. Ces téléchargements contiennent un code malveillant caché qui s'active une fois installé. Comme ces fichiers peuvent être distribués dans le monde entier sur l'internet, l'appât numérique présente un risque important. Les victimes croient souvent qu'elles accèdent gratuitement à quelque chose de précieux, mais au lieu de cela, elles compromettent la sécurité de leur appareil et leurs données personnelles.

Cadeaux et offres en ligne

Les attaquants exploitent également la curiosité humaine et le désir d'affaires en créant de de fausses confirmations de commandedes promotions, des coupons ou des réductions à durée limitée. Ces techniques d'appât incitent les victimes à fournir des informations personnelles, des identifiants de connexion ou même des informations de paiement. Dans certains cas, les offres comprennent des liens malveillants ou des pièces jointes qui transmettent des logiciels malveillants à l'appareil de la victime. De nombreuses personnes tombent dans le piège de ces escroqueries parce qu'elles semblent provenir de marques ou de sites web de confiance.

Cloud/Email baiting

Les attaques de type "cloud baiting" et "email baiting" utilisent des plateformes de communication fiables pour distribuer des contenus malveillants. Les attaquants peuvent envoyer par courrier électronique des liens vers des fichiers hébergés sur des plateformes de partage dans le nuage ou des pièces jointes qui semblent sûres et légitimes. Une fois cliqués ou téléchargés, ces fichiers peuvent infecter les systèmes ou rediriger les utilisateurs vers des liens d'hameçonnage ou un message d'hameçonnage conçu pour voler des informations d'identification. Étant donné que les courriels et les plateformes en nuage sont couramment utilisés dans le cadre personnel et professionnel, cette forme d'appât est particulièrement dangereuse.

Exemple d'attaques d'ingénierie sociale par appât

Voici quelques exemples d'ingénierie sociale de type "baiting" :

  • Un pirate envoie un courriel qui semble provenir d'une entreprise légitime et demande aux employés des informations personnelles, telles que leur numéro de sécurité sociale ou leur mot de passe.
  • Une entreprise publie des offres d'emploi sur son site web et demande ensuite aux candidats de fournir leurs informations personnelles avant de pouvoir postuler.
  • Un pirate crée un faux site web qui ressemble à celui d'une véritable entreprise et demande ensuite aux gens de communiquer les informations de leur carte de crédit afin qu'ils puissent acheter des produits ou recevoir des services sur le site.

Appât et hameçonnage

L'appât et le hameçonnage sont deux types d'escroquerie différents. La différence fondamentale est que l'appât implique une entreprise ou une organisation réelle, tandis que le phishing est utilisé pour faire croire que l'expéditeur du courrier électronique est quelqu'un que vous connaissez et en qui vous avez confiance.

Appât utilise une entreprise ou une organisation légitime comme appât pour vous inciter à donner des informations personnelles ou à cliquer sur un lien. Il peut s'agir de courriers électroniques non sollicités concernant des produits ou des services, de publipostages ou même d'appels téléphoniques de télévendeurs. L'objectif est de vous convaincre de leur fournir des informations qu'ils pourront utiliser pour voler votre identité.

Les escroqueries par hameçonnage se présentent généralement sous la forme de courriels et contiennent souvent des pièces jointes ou des liens susceptibles d'infecter votre ordinateur avec des logiciels malveillants (malware). Ils peuvent également vous demander de l'argent ou des informations sur votre compte bancaire en se faisant passer pour une banque ou une autre institution financière.

Appât ou prétexte

Alors que l 'appât repose sur la curiosité et la promesse de quelque chose d'attrayant, le faux-semblant repose sur des histoires ou des scénarios inventés de toutes pièces qui manipulent la victime pour l'amener à partager des informations. Dans une attaque de pretexting, le cybercriminel crée une fausse identité ou une fausse situation, par exemple en se faisant passer pour un technicien informatique, un dirigeant d'entreprise ou même un fonctionnaire, afin de gagner la confiance de la victime et de lui soutirer des données sensibles.

Par exemple, un pirate peut appeler un employé en prétendant avoir besoin de ses identifiants de connexion pour "résoudre un problème technique". Contrairement à l'appât, qui offre un leurre tel qu'un téléchargement gratuit ou une clé USB, le faux-semblant exploite la confiance de la victime dans l'autorité ou la légitimité. Il s'agit dans les deux cas d'une forme d'ingénierie sociale, mais le pretexting est plus axé sur la tromperie par le biais d'une narration, tandis que le baiting est axé sur la tentation par le biais de récompenses.

Appât ou Quid Pro Quo

Les attaques par appât et par contrepartie peuvent sembler similaires puisqu'elles impliquent toutes deux l'offre d'un objet de valeur. Cependant, la différence réside dans la manière dont l'échange est présenté. Dans une attaque de type "quid pro quo", l'attaquant offre explicitement un service ou un avantage en échange d'informations ou d'un accès. Par exemple, un attaquant peut se faire passer pour un service d'assistance technique et proposer un "dépannage gratuit" si la victime lui fournit ses identifiants de connexion.

L'appât, quant à lui, n'implique pas toujours un échange explicite. Il joue souvent sur la curiosité ou la cupidité, comme le fait de laisser une clé USB infectée par un logiciel malveillant et étiquetée "Confidentiel" dans un lieu public. La contrepartie est plus transactionnelle et directe, tandis que l'appât est plus subtil, faisant croire aux victimes qu'elles profitent d'une opportunité plutôt que d'être trompées.

Comment prévenir une attaque d'appât réussie ?

Empêcher une attaque d'appât réussie demande du travail. Le seul moyen est de comprendre les motivations et les objectifs des attaquants.

1. Sensibilisez vos employés

La première étape pour empêcher une attaque d'appât réussie est d'apprendre à vos employés à se protéger. Cela peut se faire par le biais de formations et de campagnes de sensibilisation, mais il est important de les tenir au courant des dernières tendances et tactiques de phishing. Vous devez également leur apprendre à reconnaître les menaces potentielles avant de cliquer sur un lien ou d'ouvrir une pièce jointe.

Il est facile pour les employés d'être paresseux et de cliquer sur n'importe quel lien qu'ils voient dans un e-mail, car ils supposent que si quelqu'un l'envoie, il doit être sûr. Cependant, ce n'est pas toujours vrai - les hameçonneurs envoient souvent des messages qui semblent provenir de sources légitimes, comme l'adresse électronique de votre entreprise ou l'adresse d'un autre employé (par exemple, quelqu'un qui travaille aux RH).

3. Se former pour éviter les attaques d'appât

Apprenez à faire preuve de scepticisme face à toute offre trop belle pour être vraie, comme une offre d'argent ou d'articles gratuits. 

L'affaire n'est probablement pas aussi bonne qu'elle en a l'air. 

Si quelqu'un vous demande des informations personnelles ou financières par courriel ou par texto, même s'il prétend être de votre banque, ne les donnez pas ! Appelez plutôt votre banque directement et demandez-lui si elle a envoyé le message demandant ces informations (et signalez ensuite l'escroc).

4. Utiliser un logiciel antivirus et anti-malware

Il existe de nombreux bons programmes antivirus, mais tous ne vous protègent pas contre les attaques par appât. Vous devez vous assurer que vous disposez d'un antivirus capable de détecter et de bloquer les dernières menaces avant qu'elles n'infectent votre ordinateur. Pour les utilisateurs de Chromebook, il est essentiel de trouver un antivirus fiable pour Chromebook afin de se protéger contre de telles vulnérabilités. Si vous n'en avez pas installé, vous pouvez essayer le logiciel Malwarebytes Anti-Malware Premium, qui offre une protection en temps réel contre les logiciels malveillants et autres menaces.

5. N'utilisez pas de périphériques externes avant d'avoir vérifié qu'ils ne contiennent pas de logiciels malveillants.

Les périphériques externes tels que les lecteurs flash USB et les disques durs externes peuvent être porteurs de logiciels malveillants susceptibles d'infecter votre ordinateur lorsqu'ils sont connectés. Assurez-vous donc que tout périphérique externe que vous connectez à votre ordinateur a d'abord été analysé pour détecter les virus.

6. Organiser des attaques simulées

Une autre façon d'empêcher les attaques d'appât réussies est d'organiser des simulations d'attaques. Ces simulations permettent d'identifier les faiblesses de vos systèmes et procédures, ce qui vous permet de les corriger avant qu'elles ne deviennent de véritables problèmes. Elles aident également les employés à s'habituer à identifier les comportements suspects, afin qu'ils sachent ce qu'il faut rechercher lorsque cela se produit.

Conclusion

Les attaques par appât ne sont pas nouvelles, mais elles sont de plus en plus fréquentes et peuvent être très préjudiciables. Si vous gérez une entreprise, un blog ou un forum, sachez qu'il est de votre responsabilité de protéger vos actifs en ligne contre toute infestation. Il est préférable d'étouffer ces problèmes avant qu'ils ne se généralisent.

Pour renforcer vos défenses contre l'appâtage et les autres attaques d'ingénierie sociale, envisagez de mettre en œuvre des solutions avancées de sécurité et d'authentification des courriels. PowerDMARC aide les entreprises à protéger leurs domaines contre le phishing, le spoofing et les campagnes malveillantes en appliquant des protocoles d'authentification forts tels que DMARC, SPF et DKIM. Commencez dès aujourd'hui et protégez la réputation de votre marque avant que les attaquants n'aient la possibilité de l'exploiter.

Foire aux questions (FAQ)

Que devez-vous faire immédiatement si vous pensez avoir été victime d'un appât ?

Déconnectez votre appareil de l'internet, lancez une analyse antivirus ou anti-malware complète, changez vos mots de passe et signalez l'incident à votre équipe informatique ou de sécurité.

Quels sont les secteurs les plus fréquemment visés par les attaques de type "baiting" ?

Les secteurs qui traitent des données sensibles, tels que la finance, la santé, le gouvernement et la technologie, sont les cibles les plus courantes, bien que toute organisation puisse être touchée.

Derniers messages de Ahona Rudra (voir tous)
Qu'est-ce que la mystification de l'identité de l'appelant ? Détection et conseils de sécuritéQu'est-ce que l'usurpation d'identité de l'appelant ?Filtres anti-spam et modèles d'envoi d'e-mails : Ce que les spécialistes du marketing doivent savoir