Le piège peut avoir plusieurs formes: installer un malware (maliciel) sur l’ordinateur de la victime, lui soutirer des informations critiques (mots de passe, numéro de carte bleue, ...), lui faire effectuer une action contre son intérêt (faux ordres de virement, ...), etc.

Que ce soit dans la vie privée ou professionnelle, le courriel est omniprésent. C’est souvent le moyen utilisé pour initier une prise d’information ou une action.
Il n’y a rien de plus commun que de recevoir un mail.
Les pirates l’ont bien compris et savent donc qu’ils peuvent obtenir des gens qu’ils transmettent des informations, ou qu’ils effectuent certaines actions, pour peu que le mail soit suffisamment convaincant.

Les formes que prennent les courriels de hameçonnage changent très souvent en fonction des nouveaux usages. Mais on peut distinguer 3 grandes catégories :

• les arnaques par pièce jointe : où la victime est amenée à ouvrir un fichier (qui est en fait un malware) sur son ordinateur
• les arnaques par faux lien : où la victime est amenée à se rendre sur un site Web où elle renseignera certaines informations, ou effectuera certaines actions, alors que le site est en fait un faux (imitation d’une page de connexion d’un réseau social, imitation d’un site de e-commerce, ...)
• les arnaques par action : où la victime est amené à effectuer une action contre son intérêt, sans qu’il n’y ait besoin d’utiliser le moindre fichier ou lien malveillant. Par exemple effectuer un virement vers le RIB qu’elle vous envoie.

Les finalités peuvent être multiples : vous extorquer de l’argent, prendre le contrôle de votre ordinateur (pour de l’espionnage ou pour se propager dans votre entreprise), vous faire chanter, obtenir des informations réutilisables ailleurs, ...

Pour réussir, les pirates utilisent 2 grands leviers de manipulation :

• l’urgence : vous faire croire que vous devez faire ce qui est indiqué tout de suite, que ce soit par envie ou par peur : «attention il y a eu un virement de 5000€ de votre compte vers la Pologne, si ce n’était pas vous, cliquez immédiatement ici pour le bloquer», «des iPhones à 200€ en exclusivité sur notre site seulement pour les 200 premiers acheteurs», ...
• la banalité : vous faire croire que ce n’est qu’une énième occurrence d’un cas auquel vous êtes régulièrement confronté : «bonjour, ici OVH votre fournisseur de Cloud. À partir de Janvier, nos coordonnées bancaires évoluent. Merci de mettre à jour les règlements de vos factures vers le nouveau RIB afin d’éviter toute interruption de service», «Bonjour, le mot de passe de votre compte Instagram a expiré, vous devez le changer d’ici 3 jours. Cliquez-ici pour effectuer ce changement».

Dans les deux cas, le but est de court-circuiter votre vigilance, soit en passant au dessus (la situation est trop urgente pour réfléchir), soit en passant en dessous (il n’y pas besoin de réfléchir c’est un cas tout ce qu’il y a de plus commun).

Les formes que prennent ces arnaques évoluent tout le temps et il est malheureusement impossible d’éduquer les utilisateurs à toutes les variantes.
Les stratégies de cybersécurité modernes considèrent qu’il est inévitable qu’un employé se fasse piéger par du phishing, tôt ou tard.
La sensibilisation du personnel diminue la fréquence de tels événements, mais elle ne peut la réduire à 0.
Des mesures de sécurité doivent donc exister pour confiner les impacts lorsque cela se produit (isolation du réseau pour limiter la propagation d’un malware, double validation pour les virements, etc.).  

Le phishing se répand à d’autres supports que le courriel ces dernières années. Des termes spécifiques existent pour les décrire : smishing (les pièges par SMS), quishing (piège par QR code), etc.