Comment récupèrent-ils vos mots de passes?

De l’attaque par force brute au phishing, les cybercriminels redoublent d’inventivité pour exploiter aussi bien les failles techniques que les erreurs humaines.

Réputés pour leur expertise technique et leur imagination, les cyberattaquants mobilisent diverses méthodes pour exploiter des failles techniques ou humaines. Du credential stuffing aux attaques par force brute, voici les procédés auxquels ils recourent fréquemment pour dérober des identifiants ou des mots de passe.De l’attaque par force brute au phishing, les cybercriminels redoublent d’inventivité pour exploiter aussi bien les failles techniques que les erreurs humaines.

Réputés pour leur expertise technique et leur imagination, les cyberattaquants mobilisent diverses méthodes pour exploiter des failles techniques ou humaines. Du credential stuffing aux attaques par force brute, voici les procédés auxquels ils recourent fréquemment pour dérober des identifiants ou des mots de passe.​​​​

​

Lire l'article

Les techniques les plus courantes​

1. Fausses confirmations de commande et de livraison

Les cybercriminels envoient massivement des emails ou SMS qui imitent les communications de transporteurs comme DHL, Chronopost ou de plateformes e-commerce. Ces messages contiennent des liens vers de faux sites destinés à voler des informations bancaires ou à installer des malwares. L’urgence créée (colis bloqué, frais à payer) pousse les victimes à cliquer sans vérifier.

2. Arnaques caritatives de fin d’année

Les faux appels aux dons se multiplient en décembre, exploitant une générosité de saison. Les escrocs créent de fausses associations ou usurpent l’identité d’organisations légitimes pour détourner les contributions. Ces arnaques jouent sur l’émotion et l’urgence pour contourner la vigilance habituelle des donateurs et donatrices.

3. Fraude aux cartes cadeaux et faux emails de dirigeants

Cette technique, appelée « Business Email Compromise », consiste à envoyer des demandes urgentes en se faisant passer pour un cadre ou un dirigeant de l’entreprise. Les attaquants réclament l’achat immédiat de cartes cadeaux, en présentant cela comme un besoin pour des clients ou des employés. La pression temporelle et l’autorité supposée de l’expéditeur favorisent la réussite de l’arnaque.

4. Cartes de vœux et pièces jointes malveillantes

Les e-cards et fichiers festifs (animations, fonds d’écran de Noël…) servent de vecteurs d’infection. Ces pièces jointes apparemment innocentes peuvent contenir des malwares qui s’installent lors de l’ouverture. La confiance liée au contexte festif et la multiplication des échanges de vœux rendent cette méthode particulièrement efficace.

5. Prise de contrôle de comptes via phishing avancé (AitM)

Les attaques « Adversary-in-the-Middle » visent à intercepter les identifiants, les codes d’authentification multifacteur et même les cookies de session. En créant des pages de connexion factices extrêmement réalistes, les pirates parviennent à contourner les protections et à accéder aux comptes professionnels ou personnels des victimes.

6. Fausses factures en fichiers .txt ou .doc

Les cybercriminels utilisent des formats de fichiers banalisés, comme .txt ou .doc, pour contourner les filtres de sécurité qui se concentrent sur les fichiers exécutables. Ces faux documents, souvent de fausses factures, généralement liés à des achats de fin d’année, incitent les destinataires à cliquer sur des liens malveillants ou à télécharger des contenus infectés.

7. Faux sites de shopping et promotions irréalistes

Des copies quasi parfaites de sites de marques connues sont créées pour voler les données bancaires et personnelles. Ces sites frauduleux proposent des promotions trop attractives pour être honnêtes et disparaissent une fois les paiements effectués. Le nom de domaine légèrement différent est souvent le seul indice visible.

8. Usurpation de marques et d’influenceurs sur les réseaux sociaux

Les faux comptes prolifèrent sur Instagram, TikTok ou Facebook pour organiser de faux concours et giveaways de Noël. Ces arnaques collectent des données personnelles, demandent des frais de participation ou redirigent vers des sites de phishing. L’imitation parfaite des visuels et du ton des vraies marques rend la détection difficile, encore plus depuis l’arrivée de l’IA.

9. Smishing (phishing par SMS)

Les messages courts imitant des alertes de livraison ou des notifications bancaires explosent en décembre, et sont encore plus nombreux que le reste de l’année. Le format SMS inspire davantage confiance que l’email et le taux de lecture est bien plus élevé. Les liens contenus dans ces messages mènent vers des sites frauduleux ou déclenchent le téléchargement d’applications malveillantes.

10. Liens de collaboration cloud compromis

Les cybercriminels abusent des outils professionnels, comme SharePoint, OneDrive ou Microsoft Teams, en envoyant de faux liens de partage de documents. Ces messages, apparemment légitimes car issus de services de confiance, contournent les filtres antispam. Une fois cliqués, ils mènent à des pages de phishing ou déclenchent des téléchargements dangereux.

11. Téléchargements festifs infectés

Fonds d’écran de Noël, extensions de navigateur thématiques ou applications festives cachent régulièrement des malwares. Ces contenus sont distribués par l’intermédiaire de sites douteux ou de publicités trompeuses. L’attrait pour la personnalisation, la gratuité et l’ambiance festive poussent les utilisateurs et utilisatrices à télécharger sans précaution.

12. Attaques via la chaîne logistique

Les pirates ciblent les fournisseurs et partenaires moins protégés pour infiltrer ensuite des organisations mieux sécurisées. En compromettant un maillon faible de la chaîne, ils obtiennent des accès privilégiés et peuvent déployer leurs attaques à grande échelle. Cette méthode sophistiquée exploite les relations de confiance entre entreprises.

Lire l'article

Un seul remède : changez vos mots de passe sans attendre !

Après le piratage de 19 millions de données sur le site ANTS , outre les autres precautions habituelles , vous devez changer votre mot de passe . voici un article qui vous explique comment opérer. Lire ici