By : admin

56,51% de tous les emails sont des spams (Kaspersky), et 65% des organisations américaines ont fait face à des attaques de phishing réussies en 2019 (Proofpoint) ! Mais sont-ils différents ? Explorons le spam vs le phishing en termes profanes !

Spam vs phishing – bien que les gens utilisent les mots « spam » et « phishing » de manière interchangeable, ces termes ont des significations liées mais différentes. Ce sont deux termes qui décrivent des communications embêtantes et non sollicitées qui tentent de manipuler les cibles pour qu’elles fassent quelque chose. Il peut s’agir de fournir un certain type d’informations sur vous-même – informations personnelles, identifiants de connexion, etc. – ou de s’engager avec un lien ou un fichier malveillant.

Mais quelle est la signification du spam et quelle est celle du phishing ? Dans cet article, nous allons parler en détail du spam par rapport au phishing. Nous explorerons également la différence entre le spam et le phishing en termes de courriels, d’appels téléphoniques et de messages texte.

Spam vs Phishing : origines et significations des termes

Qu’est-ce qu’un spam ?

Tout message commercial non sollicité ou non désiré est généralement considéré comme un spam. Selon Digital Trends, le terme « spam » lui-même remonterait aux années 1980 en référence à un sketch des Monty Python qui faisait référence à la viande en conserve Spam. Des recherches menées par Brad Templeton (fondateur de la première entreprise mondiale basée sur Internet) montrent que le terme « spam » signifie « quelque chose qui se répète et se répète sans cesse, au grand dam de tous ». »

Le but d’un spam est d’inonder autant de personnes que possible avec des messages qui commercialisent et font la publicité de produits et de services. Il s’agit essentiellement de l’équivalent numérique de toutes ces enveloppes de courrier indésirable et de ces cartes postales que le facteur distribue dans la boîte aux lettres de votre domicile. Le rapport X-Force Threat Intelligence Index 2020 d’IBM décrit le spam comme un jeu de chiffres : « avec un volume suffisant, même un petit taux de réussite suffit à générer de la valeur pour les acteurs de la menace. »

En gros, si vous envoyez suffisamment d’e-mails, quelqu’un, quelque part, finira par adhérer aux arnaques. C’est pourquoi les messages de spam ne sont pas ciblés et touchent les masses. Il existe trois façons courantes pour les escrocs d’utiliser le spam :

  • Messages électroniques,
  • Appels téléphoniques (télémarketing et appels robotiques), et
  • Messages d’hameçonnage par SMS (messages texte).

Bien que le spam ne soit pas nécessairement aussi dangereux que l’hameçonnage, les utilisateurs doivent tout de même se méfier lorsqu’il s’agit de ces messages. Ils tentent fréquemment de vous faire fournir des informations personnelles qu’ils pourront utiliser dans de futures tentatives de spam. Et, parfois, ils peuvent être de nature malveillante (bien que ce soit moins fréquent que les emails de phishing).

Qu’est-ce que le phishing ?

Le phishing est un moyen pour les escrocs et les cybercriminels de se faire passer pour une entité légale ou d’utiliser d’autres méthodes pour escroquer leurs cibles. Les messages de phishing sont généralement plus dangereux que les spams car ils sont conçus pour avoir l’air légitimes mais ont l’intention de blesser, manipuler ou inciter les gens à faire quelque chose qu’ils ne feraient normalement pas ou ne devraient pas faire. Par conséquent, lorsqu’on parle de spam par rapport à l’hameçonnage, la différence réside dans les intentions de l’expéditeur et le contenu des messages.

L’objectif des courriels d’hameçonnage est d’amener les utilisateurs à partager des informations, à cliquer sur des liens ou à s’engager avec des pièces jointes malveillantes. Avec les liens, ils essaieront de voler vos informations d’identification ou de vous faire télécharger des logiciels malveillants par inadvertance. Avec les pièces jointes, ils essaieront également de vous faire installer des logiciels malveillants. Dans tous les cas, c’est une mauvaise nouvelle pour vous.

Les types d’hameçonnage les plus courants comprennent

  • Les courriels d’hameçonnage (y compris l’hameçonnage à la baleine, le spear phishing),
  • Les appels téléphoniques (vishing),
  • SMS (smishing),
  • Hameçonnage de ports Wi-Fi (jumeau diabolique),
  • HTTPS Phishing et
  • Angler phishing (clonage de posts et profils de médias sociaux).

Spam vs Phishing dans les emails

Les emails sont les techniques de spamming et de phishing les plus populaires. Et c’est pourquoi nous allons parler de la façon dont vous pouvez différencier les courriels de spam des courriels de phishing.

Qu’est-ce qu’un spam dans le contexte du courrier électronique ?

Tout message électronique envoyé pour la publicité commerciale ou la promotion du produit, du service ou du contenu du site web est considéré comme un spam. Le spamming par courriel est une activité légale en vertu du Controlling the Assault of Non-Solicited Pornography And Marketing Act de 2003, connu sous le nom de CAN-SPAM act.

Voici quelques règles clés du CAN-SPAM que l’expéditeur doit respecter :

  • Le courriel doit comporter un lien ou un bouton de désabonnement actif et visible. L’expéditeur dispose de 10 jours pour donner suite à la demande de désabonnement et cesser d’envoyer des courriels au destinataire.
  • L’adresse électronique de l’expéditeur doit être exacte. La ligne « from » non trompeuse et le sujet du message doivent être pertinents pour le corps du message.
  • L’adresse physique de l’expéditeur doit être mentionnée. Une adresse physique (ou un numéro de boîte postale) de l’expéditeur (entreprise, expéditeur individuel, annonceur ou l’agence de marketing tierce) doit être présente dans le courriel.
  • Les destinataires doivent être avertis si le courriel a un contenu adulte. Si le contenu est de nature adulte, il doit être étiqueté comme « SEXUELLEMENT EXPLICITE. »
  • L’expéditeur doit envoyer des courriels à partir de plusieurs adresses électroniques. L’expéditeur ne doit pas envoyer de messages de spam au même destinataire à partir de différentes adresses électroniques.
  • Les courriels ne doivent pas contenir de logiciels malveillants : Les messages de spam ne doivent pas contenir de logiciels malveillants (virus, vers, chevaux de Troie, etc.) ou rediriger les utilisateurs vers des sites web malveillants.

Lorsque les entreprises envoient des e-mails aux clients actuels ou aux prospects (personnes qui se sont renseignées sur les produits/services) pour un suivi, un retour d’information, des suggestions ou tout autre type de communication, ces messages ne sont pas non plus considérés comme du spam. Ces messages sont classés comme des messages relationnels dans le cadre du CAN-SPAM. Même les courriels politiques et religieux sont également exceptés de la définition du SMAP dans CAN-SPAM.

Les courriels de spam ne sont pas nuisibles par nature. Ils sont juste indésirables et occupent un espace inutile dans votre boîte de réception. Mais les courriels de SPAM sont connus pour capitaliser sur les vulnérabilités de sécurité ; les pirates peuvent les exploiter pour s’introduire dans le client de messagerie du destinataire et diffuser les logiciels malveillants ou les courriels de phishing. Par exemple, selon le rapport X-Force Threat Intelligence Index 2020 d’IBM, les vulnérabilités de sécurité nommées CVEs 2017-0199 et 2017-11882 ont représenté « près de 90 % des vulnérabilités que les pirates ont tenté d’exploiter via des campagnes de spam. »

Le spam est une question de chiffres. Lorsque vous touchez suffisamment de personnes avec vos messages de spam, même des taux de réussite minimes sont payants à long terme.

La plupart des clients de messagerie détectent automatiquement les e-mails de spam et les jettent dans le dossier spam/junk. Toutes les pièces jointes et les images sont également bloquées dans un tel courriel. Mais si vous recevez toujours des courriels indésirables dans votre boîte de réception, vous pouvez vous désabonner. (Veillez simplement à vérifier d’abord le lien de désabonnement pour vous assurer qu’il ne s’agit pas d’un lien de phishing ou malveillant). Vous pouvez également cliquer avec le bouton droit de la souris sur l’e-mail dans votre boîte de réception pour le déplacer vers le dossier spam. Vous pouvez également bloquer l’expéditeur.

Voici un exemple d’un courriel de spam typique:

Spam vs phishing capture d'écran exemple d'un courriel de spam

C’est un courriel de spam que j’ai reçu d’un site web de conception de logos. Le contenu de la ligne d’objet correspond au contenu de l’email. Vous pouvez également voir que l’email comporte un onglet de désabonnement et l’adresse physique de l’entreprise. Cela signifie qu’il s’agit d’un courriel de spam qui suit toutes les directives du SPAM-CAN.

Qu’est-ce que le phishing dans le contexte du courriel?

Les escrocs envoient des courriels de phishing en se faisant passer pour une entreprise ou une personne en qui les destinataires ont confiance. Ces courriels sont trompeurs par nature. Les courriels de phishing sont conçus de manière à ce qu’ils aient l’air de provenir de votre banque, d’un site de commerce électronique, d’une université, d’un gouvernement, d’un employeur, de parents ou de collègues. 96 % des attaques de phishing se produisent par courrier électronique, selon le rapport 2020 de Verizon sur les enquêtes sur les violations de données (DBIR).

Ces courriels peuvent contenir des pièces jointes chargées de logiciels malveillants, des liens malveillants ou des redirections vers des sites Web de spam. Parfois, les attaquants tentent de déclencher une réponse émotionnelle de la part des destinataires et se livrent à un partage de leurs informations confidentielles telles que :

  • Numéros de cartes de paiement,
  • Numéros de téléphone,
  • Adresse physique,
  • Numéro de sécurité sociale (SSN),
  • Informations fiscales et
  • Informations sur la santé

Les motifs généraux derrière les courriels de phishing comprennent :

  • Fraude financière,
  • Vol d’identité,
  • Vol d’identifiants de connexion,
  • Diffusion de logiciels malveillants (vers, virus, chevaux de Troie, rootkits, logiciels publicitaires, etc.), et
  • Rediriger les destinataires vers des sites web malveillants.

Vous trouverez ci-dessous un exemple d’email de phishing typique. L’email semble provenir de PayPal, mais si vous vérifiez attentivement l’adresse email de l’expéditeur, vous verriez qu’il provient d’un escroc, et que la pièce jointe PDF d’apparence bénigne pourrait contenir un dangereux malware.

Spam vs phishing exemple graphique d'un email de phishing
SpaSpam

De nombreux états américains ont des lois différentes pour le phishing. Il n’existe pas de loi fédérale qui criminalise directement le phishing, mais les lois pénales fédérales s’appliquent aux crimes de fraude financière et de vol d’identité réalisés par le biais du phishing.

Si vous avez été victime d’un courriel de phishing, vous pouvez enregistrer votre plainte auprès de www.ic3.gov, ftc.gov/complaint ou [email protected].

La différence entre le spam et les e-mails de phishing

Pour vous aider à mieux comprendre la différence entre le spam et le phishing, nous avons pensé qu’il pourrait être utile de les voir mis côte à côte dans un tableau.

.

Spam Phishing
But Promouvoir et commercialiser des produits et des services Frauder les destinataires
Nature Des courriels commerciaux non désirés qui sont généralement de nature bénigne mais qui peuvent parfois être malveillants Des messages trompeurs qui semblent provenir d’entités légitimes mais qui sont conçus pour être de nature malveillante.
Contenant Des publicités de produits/services, des codes de coupon, des offres, des réductions, des formulaires de demande de renseignements ou d’enquête Des pièces jointes chargées de logiciels malveillants, des liens infectés, des liens qui redirigent vers des sites Web de spam, des messages trompeurs qui obligent les destinataires à partager leurs PII/informations financières
Législation Les États-Unis.S. Non-Solicited Pornography and Marketing Act of 2003 Pour les autres pays : Lois anti-spam Diverses lois étatiques, le droit pénal fédéral américain

Spam vs Phishing : Messages vocaux et appels téléphoniques

Les auteurs utilisent les appels téléphoniques pour spammer et hameçonner les cibles.

Appels de spam

Si vous recevez un appel téléphonique non sollicité à des fins de marketing, en particulier d’une entreprise avec laquelle vous n’avez jamais traité auparavant, il peut être classé comme un appel de spam. La définition des appels marketing et des appels spam peut être floue.

Par exemple, si vous recevez soudainement un appel téléphonique pour demander une carte de crédit d’une société de cartes avec laquelle vous n’avez jamais traité auparavant, cela est considéré comme un appel spam. Mais si quelqu’un vous appelle pour vous vendre la nouvelle carte ou les polices d’assurance de la banque avec laquelle vous avez déjà un compte, c’est considéré comme un simple appel de marketing pour vendre des produits supplémentaires. Aux États-Unis, la loi sur la protection des consommateurs de téléphone (TCPA) et la Commission fédérale des communications (FCC) imposent des restrictions aux appels de spam et aux messages de télémarketing.

Hameçonnage vocal (Vishing)

Lorsque les auteurs passent des appels téléphoniques en se faisant passer pour quelqu’un d’autre dans le but de vous escroquer, on parle de phishing vocal ou de vishing. Par exemple, un tricheur vous appelle en se faisant passer pour un directeur de banque et vous demande de fournir les quatre derniers chiffres de votre numéro de sécurité sociale et quelques autres détails personnels pour vous envoyer une nouvelle carte de crédit.

Parfois, les attaquants utilisent une base de données qui a fuité ou utilisent leurs compétences en ingénierie sociale pour faire une petite recherche sur les victimes potentielles avant d’appeler. Par exemple, ils appellent des étudiants en se faisant passer pour un employé de banque qui s’occupe des prêts étudiants ou pour un représentant du service d’aide aux étudiants de l’État ou du gouvernement fédéral qui souhaite obtenir plus d’informations sur leur demande de bourse. En bref, au lieu d’appeler à froid des numéros aléatoires, les escrocs passent un appel téléphonique en comprenant leur public cible afin de paraître légitimes aux yeux des victimes potentielles.

Spam vs Phishing : SMS

Il existe de nos jours des sites Web et des outils qui permettent d’envoyer des SMS en masse à des coûts incroyablement bas. C’est pourquoi les spammeurs et les hameçonneurs aiment aussi envoyer leurs messages par texto ! Vous êtes en mesure d’atteindre les utilisateurs sur leurs téléphones portables, où qu’ils soient.

Messages textuels de spam

Lorsque des entreprises envoient des messages textuels en masse non sollicités à des fins commerciales et non malveillantes, on les appelle des messages textuels de spam ou des SMS de spam. Ces messages peuvent contenir des informations sur les produits, des détails sur les offres spéciales/réductions, des offres, des programmes, des codes de coupon, etc. Ils peuvent également contenir des liens vers le site web du produit/service.

Certains SMS spam sont envoyés sous forme d’enquête pour obtenir plus d’informations sur des clients potentiels. L’objectif de ces SMS peut être la vente d’un produit ou d’un service, l’image de marque, la collecte de plus d’informations (telles que les données démographiques, les habitudes d’achat, le pouvoir d’achat, les goûts/préférences, etc.) des destinataires. Le spamming textuel est également couvert par le Telephone Consumer Protection Act (TCPA).

SMS Phishing (Smishing)

Ici, les escrocs envoient des messages textuels en se faisant passer pour des organisations légitimes. La nature et l’objectif de ces SMS de phishing sont les mêmes que ceux des e-mails de phishing, à savoir frauder les destinataires. Les attaquants essaient de vous tromper ou de vous manipuler pour que vous :

  • partagiez vos informations personnelles ou financières,
  • réalisiez des transactions financières,
  • téléchargiez des pièces jointes chargées de logiciels malveillants, ou
  • cliquiez sur les liens contenus dans les SMS qui vous mènent vers des sites web malveillants.

Faire le point sur le spam vs le phishing

Le sujet du spam vs le phishing, ou plus précisément la différence entre le spam et le phishing, peut être déroutant. Mais à présent, nous pouvons supposer sans risque que vous savez que le spam est le type de message ennuyeux mais plus bénin, tandis que le phishing facilite la cybercriminalité. Mais la frontière ténue entre hameçonnage et spam devient floue lorsque le spammeur enfreint certaines des directives du CAN-SPAM (ou des lois de votre pays relatives au SPAM). Par exemple, le contenu du courriel ou l’adresse électronique de l’expéditeur est de nature trompeuse, ou les courriels/messages textes contiennent des logiciels malveillants (ou des liens vers des sites Web malveillants).

Le spamming peut parfois être si ennuyeux que vous avez envie de changer votre numéro de téléphone ou votre adresse électronique ! En revanche, le phishing peut vous conduire à devenir une victime de la cybercriminalité. Alors, éduquez-vous davantage, ainsi que vos employés, sur les arnaques de phishing et sur la manière de les reconnaître avec succès.

Gérer les certificats comme un pro

14 meilleures pratiques de gestion des certificats pour que votre organisation fonctionne, sécurisée et entièrement conforme.

Les coordonnées recueillies sur InfoSec Insights peuvent être utilisées pour vous envoyer les informations demandées, les avis de mise à jour du blog et à des fins de marketing. Pour en savoir plus…

  • #phishing
  • #spam
  • #spam vs phishing

.

Articles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.