Depuis les balbutiements du phishing à aujourd’hui, presque 30 années sont passées avec une constante évolution des techniques utilisées par les cybercriminels.
Ces fraudeurs sont d’ailleurs en activité depuis bien plus longtemps que l’apparition des premiers e-mails de phishing : du télégraphe au XIX siècle en passant par le téléphone et le minitel jusqu’à Internet aujourd’hui, les nouveaux usages ont toujours été pris pour cible.
Le phishing est avant tout un vecteur d'attaque, à l’image de l’employé qui décide de saboter un système (menace interne), le phishing est une menace externe où l’e-mail est utilisé comme vecteur d’attaque. Une grande partie des cyberattaques d’aujourd’hui (botnet, ransomware, malware, etc.) use de l'ingénierie sociale et du phishing afin d’arriver à leurs fins.
Les origines du phishing
Il est courant de dater l’apparition du phishing dans les années 90, précisément en 1995 lorsque qu’un adolescent de 17 ans développe AOHell, un programme qui permet de voler les mots de passe des utilisateurs d'AOL.
C’est d'ailleurs à cette même époque que le mot-valise « phishing » est né, de la fusion de phreaker (pirate téléphonique) et fishing (pêche). En français, ce mot deviendra « hameçonnage » en 2004 bien que l’anglicisme « phishing » reste aujourd’hui largement utilisé.
AOHell
En 1994, AOL comme bien d’autres, n’avertissait pas ses utilisateurs quant aux dangers du phishing.
La méthode d’attaque d’AOHell était simple et efficace :
- Obtenir un compte AOL anonyme en le créant à l'aide d'un faux compte bancaire, ou utiliser un compte qui a été volé lors d'une précédente attaque
- Créer un pseudonyme sur le nouveau compte
- Écrire le message de « phish » qui explique aux utilisateurs la nécessité de vérifier leurs mots de passe ou informations de facturation. Par exemple: « Bonjour, je suis un modérateur du salon. En raison d'un problème avec nos enregistrements, nous avons besoin que vous répondiez à ce message avec votre mot de passe AOL afin d'éviter d'être déconnecté. »
- Localiser un salon de discussion pour les nouveaux internautes AOL et ouvrir la liste des participants en ligne.
- Envoyez un message privé contenant le phish à chaque utilisateur
Il faut se remettre dans le contexte de l’époque pour bien comprendre : l’application AOL permettait de se connecter sur des salons de discussion, certain d’entre eux étaient dédiés aux nouveaux arrivants sur AOL.
Par nouveaux arrivants on entendait alors les néophytes d’Internet. Il y a de grandes chances que ces personnes se retrouvaient pour la première fois de leur vie sur Internet. Cette non expérience des dangers d’Internet en faisait donc des cibles très vulnérables pour les attaquants.
Il faudra attendre 1995 pour qu’AOL prenne les mesures nécessaires pour protéger ses utilisateurs et 1997 pour que les premiers messages publics sur le média d’AOL soient diffusés en utilisant le terme « phishing » désormais connu de tous.
Le phishing dans les années 2000
Nous voilà au début des années 2000, AOL est en train de perdre la course, Yahoo et MSN ont le vent en poupe et Google commence à prendre les parts de marché de Lycos et Altavista. Le phishing est maintenant un terme connu de quelques internautes habitués alors qu’à peine plus de 10% de la population française a une connexion Internet à domicile.
Dans ces années, le phishing n’était pas encore la plus grande des préoccupations en terme de cyberattaques. On avait plutôt peur du bug de l’an 2000, du virus ILOVEYOU ou encore des attaques de déni de service (DoS) fréquentes qui touchaient les mastodontes d’Internet : Yahoo, CNN, eBay ou encore Amazon en ont tous fait les frais.
Et pourtant, le début de ce nouveau millénaire voit naître la démocratisation des outils — open-source — permettant le mass mailing, c’est à dire l’envoie en masse d’e-mail de phishing.
L’e-mail rentre rapidement dans les usages et remplace alors rapidement l’utilisation des salons de discussion AOL et des newsgroups. L’email est partout, son utilisation augmente de 50% chaque année entre 2000 et 2005 et ce nouveau moyen de communication est confidentiel et anonyme (on ne sait pas qui se cache derrière l’expéditeur). En somme, l’email est devenu le médium parfait pour le développement du phishing de masse.
Le cas de l’entreprise E-gold
Une des première société à payer le prix fort d’une attaque de phishing est E-gold, cette start-up fondée en pleine bulle « dot-com » des années 2000 permettait d’acheter une monnaie mondiale alternative convertible en or et d’utiliser cette monnaie sur des sites tiers.
Nous sommes en 2001, E-gold gère 2 milliards de dollars de transactions par an et voit sa base d’utilisateurs grandir à vitesse grand V. 📈
L’attaque visait les utilisateurs d’e-gold, le spoofing est la nouvelle technique à la mode. Cette technique qui permet de duper un utilisateur en lui faisant croire que e-goId.com est le même site qu’e-gold.com... alors que le « i » majuscule s’est inséré à la place du « l » minuscule de « gold ». Ce nom de domaine n’a donc rien à voir avec l’entreprise E-gold. Pour un humain, il est très difficile de s’apercevoir de la supercherie.
De la même façon que pour le faux site internet, les hackers étaient donc en mesure d’envoyer des emails depuis support@e-goid.com, ce qui rendait l’attaque encore plus crédible.
L’entreprise E-gold a perdu des millions dans cette histoire et n’a pas su endiguer les faux comptes e-gold permettant au hackers de cacher leurs gains en devise virtuelle. Ces incidents ont fini par mener E-gold à sa perte quelques années plus tard.
L’évolution du phishing 2003-2010
Alors que les internautes deviennent de plus en plus conscients des dangers liés au phishing et mieux informés sur les signaux à surveiller pour s’en prémunir, les cybercriminels développent quant à eux des techniques toujours plus sophistiquées. Ces techniques incluent notamment l'obfuscation d'URL pour créer des e-mails et des sites qui semblent légitimes et l'exploitation des vulnérabilités des navigateurs web pour permettre le téléchargement et l'exécution de code malveillant à partir d'un site hostile.
Faisons de nouveau un saut dans le passé en 2003, en pleine “browser war”, Google Chrome et Firefox n’existaient pas encore, Internet Explorer venait de dérober la quasi-entièreté des parts de marché à son concurrent Netscape.
Le navigateur de Microsoft était alors le pire ennemi des développeurs web mais aussi… des responsables de la sécurité des SI qui savaient pertinemment que ce navigateur était très vulnérable pour le plus grand bonheur des cybercriminels.
Parmi les techniques les plus utilisées à cette période, certaines sont toujours d’actualités bien que de plus en plus difficiles à mettre en oeuvre.
L'obfuscation d’URL
L'obfuscation d'URL induit les victimes en erreur en leur faisant croire que le lien ou site web qui s'affiche dans leur navigateur est celui d'un site de confiance. Bien que cette attaque soit simple à mettre en oeuvre, elle est terriblement efficace.
Les techniques sous-jacentes qui relèvent de l’obfuscation d’URL incluent les redirections HTML, l’utilisation d’image dans les e-mails, l’utilisation de jeu de caractères autres que UTF8 ou encore l’enregistrement de noms de domaines très similaires comme vu ci-dessus avec le cas e-gold.
Les vulnérabilités d’Internet Explorer
Internet Explorer sans ses failles de sécurité n’est pas Internet Explorer. On recense plus de 1000 failles ces 20 dernières années, dont plus de la moitié sont considérées comme critiques.
Nombre de vulnérabilités connues sous Internet Explorer de 2004 à 2020
Ces failles ont permis aux cybercriminels d’user de techniques de phishing tels que le l’obfuscation d’URL via des popups, ou encore l'exploitation de failles permettant à un attaquant d'utiliser l’ActiveX contrôle DHTMLEdit en le chargeant à partir d’un site web malveillant pour modifier le contenu d'une autre fenêtre du navigateur légitime et remplacer le contenu de la fenêtre légitime par du contenu malveillant.
Aujourd’hui, ce type d’attaque est devenu beaucoup plus difficile voire impossible grâce aux navigateurs web modernes qui sont beaucoup plus sécurisés qu’auparavant.
L’abus de noms de domaine internationalisés
Ce type d’attaque — également connu sous le nom d’attaque homographique — était très en vogue car presque indétectable pour la victime : il s’agit d’utiliser la ressemblance des caractères dans différentes langues écrites (latin, cyrillique, etc.).
Cela permet d’enregistrer des nom de domaines comme « аmazon.com » en lieu de « amazon.com ». Le premier « а » est en effet un « a » cyrillique, la différence est invisible pour un humain.
ℹ️ Aujourd’hui et depuis 2003, l’utilisation de la syntaxe « punycode » permet l’utilisation des noms de domaine internationalisés de façon transparentes pour l'utilisateur. Les caractères non issus de l’alphabet latin sont automatiquement remplacés par leur équivalent en punycode ce qui rend cette attaque homographique plus facilement identifiable, encore faut-il avoir le bon réflexe de bien vérifier l’URL affichée par le navigateur.
amazon.com avec un “a” cyrillique en Punycode
La démocratisation des kits de phishing
Les kits de phishing sont des kits comprenant tout l'attirail pour piéger sa victime : fausses pages web, modèles de mails de prétexte, passerelles de paiement, etc.
Phishing kit contenant un faux formulaire d'inscription sur Bank of America
Ces kits se démocratisent dans la première partie des années 2000 à mesure que les groupes de cybercriminels s’organisent entre eux pour gagner en efficacité.
La cybercriminalité commence à rapporter gros et est considéré en 2004 par le FBI comme un organe à part entière du crime organisé. C’est d’ailleurs autour de cette même époque que le grand public découvre l'existence des cyber-gangs à l’instar des russes RBN, Evil Corp ou encore Fancy Bear.
L’avènement des réseaux sociaux
Enfin, les années 2000 marquent l’arrivée des grands acteurs des réseaux sociaux : MySpace, Facebook, YouTube, Twitter, etc.
Cette révolution des usages a donné un grand coup de pouce aux hackers : le recueil des informations personnelles des victimes devient un jeu d’enfant, l’information personnelle est désormais publique et accessible à tous. Les utilisateurs sont peu conscients du danger et ils n’hésitent plus à partager leurs photos de vacances, à révéler pour qui ils votent, leurs problèmes de santé ou encore leurs déboires amoureux.
Ces informations sont cruciales pour les cyber-criminels qui profiteront de ces nouveaux médias en ligne pour améliorer leurs scénarios d’attaque et encore mieux manipuler leurs victimes pour les inciter à divulguer leurs données confidentielles.
Les réseaux sociaux ont permis également le développement des attaques de « spear phishing », ou harponnage en français. Ce type d’attaques de phishing est envoyé à une cible sélectionnée (un individu ou une organisation) avec un scénario d’attaque fortement personnalisé et un gain à la clé généralement plus gros.
L’évolution du phishing 2011-2020
Les attaques de masses fonctionnent de moins en moins au profit des attaques de spear phishing, voir de « whaling » (pêche à la baleine). Comme son nom l’indique, l’attaque de whaling est ni plus ni moins une attaque de spear phishing où la victime est un gros poisson — c’est à dire une cible VIP (dirigeant, décisionnaire, etc.). Le potentiel gain en cas de succès de l’attaque devient alors très important.
Ce type d’attaque peut mener à de graves conséquences pour les entreprises qui en sont victimes :
- Facebook et Google ont été victimes d’une attaque de whaling entre 2013 et 2015 avec un préjudice estimé à environ 100 millions de dollars. Le cybercriminel lituanien a réalisé cet exploit en envoyant à chaque entreprise une série de fausses factures, tout en se faisant passer pour un gros fournisseur.
- En 2016, un employé de Snapchat a divulgué tous les salaires des employés de l'entreprise à un cybercriminel. L'employé avait répondu à un e-mail qui semblait provenir du PDG et avait répondu rapidement. Les équipes RH et paie sont fréquemment la cible d'attaques de whaling car elles ont accès à des données sensibles.
Le développement des solution anti-phishing
Bien que certaines solutions anti-phishing soient nées dès les années 2000, la majorité des solutions s’est développée dans la décennie suivante. De nombreuses recherches ont été menées dans le domaine de la prévention et détection du phishing. Les solutions proposées vont de la détection logicielle des attaques de phishing à la formation des utilisateurs en passant par la sensibilisation et la communication interne.
Les solutions logicielles et matérielles ont particulièrement évolué ces 10 dernières années :
- Détection des fausses extensions de navigateur
- Meilleure méthode d’authentification grâce au MFA (Multi-Factor Authentication)
- Filtrage actif des emails par certains fournisseurs
- Surveillance et détection en temps réel des sites web hostiles par certains navigateurs
- Désactivation automatique des scripts malveillants (Java, etc.)
- Adoption de nouvelles méthodes de développement (Privacy/Security by Design)
- etc.
Les solutions anti-phishing actuelles offrent une couche de défense supplémentaire contre les attaques de phishing. Cependant, de tels dispositifs sont souvent coûteux et parfois inefficaces en fonction de la diversité des attaques de phishing.
À certains égards, les principales méthodes de phishing sont restées les mêmes. L’objectif est toujours le même : s’introduire via des logiciels malveillants ou d'accéder aux informations d'identification d’un utilisateur. Encore aujourd’hui, cela est le plus souvent accompli via des liens corrompus ou des pièces jointes malveillantes.
Ce qui a principalement changé, c'est la présentation. Bien qu'il existe encore des e-mails avec des adresses e-mail manifestement fausses et criblés de fautes d'orthographe, un nombre important d’emails de phishing est devenu difficile à repérer.
Par exemple, récemment des cybercriminels ont lancé des attaques de « détournement de conversation », en utilisant des comptes de messagerie précédemment compromis pour répondre aux fils de discussion en cours. L’attaque consiste ensuite à déterrer un email de longue date en répondant avec des liens malveillants ou des pièces jointes, prenant facilement au dépourvu les destinataires.
D’aucuns mènent à des sites internet proposant des procédures d'identification qui sont identiques au site qu'ils imitent comme par exemple dans notre article sur le contournement d'identification multi-facteurs.
Nous comprenons alors que même avec un oeil avisé, il est très difficile de repérer les attaques sophistiqués, l'entraînement en condition réelle et la formation des collaborateurs face au phishing deviennent alors clé pour détecter les attaques les plus abouties.
Le phishing et les smartphones
En l’espace d’un an, le phishing via mobile a augmenté de près de 40%*. Toujours selon le même rapport, cela représente une perte 35 millions de dollars pour une entreprise possédant 10 000 téléphones mobiles.
Les cybercriminels utilisent désormais les applications de messageries instantanées comme WhatsApp, Messenger, Instagram ou encore les SMS comme moyen de phishing. Ces attaques sont encore trop souvent minorées ou non prises en compte par les professionnels de la cybersécurité et pourtant elles peuvent, au même titre que les attaques par email, mettre en danger leurs organisations.
Parmi ces attaques, les principaux risques sont liés aux :
- Applications mobiles : qui manque de contrôle de sécurité, la friction à l’installation est quasi nulle et beaucoup d’utilisateurs ne font pas attention aux permissions qu’ils donnent à ces applications.
- Vols : contrairement aux ordinateurs où les politiques de sécurité imposent le chiffrement du disque ou l’authentification forte, les téléphones sont eux parfois mal sécurisés avec comme seul code de déverouillage la date de naissance du propriétaire. Les données que contiennent les téléphones de vos employés ont certainement beaucoup plus de valeur que le téléphone lui-même.
- SMiShing : les attaques par SMS ont le vent en poupe, de par leur rareté et manque de filtrage en amont, elles ont souvent un taux de succès plus élevé lorsqu’elle sont bien opérées par les cybercriminels.
Cette liste est non exhaustive mais permet de se rendre compte de la diversité des vecteurs d’attaques que présente les téléphones mobiles de vos collaborateurs.
Attaque par SmiShing de Revolut en utilisant un « i » majuscule à la place du « l »
Pour l'anecdote, entre 2011 et 2014, trois citoyens roumains ont entrepris des attaques successives par smishing et vishing sur des citoyens américains. La totalité de leur recette s’élève à 21 millions de dollars, soit 7 millions / an.
La distance géographique avec les États-Unis ne les protègera pas pour autant puisqu’ils se sont fait rattrapés par le FBI en 2017, extradés en 2018 ils ont été condamnés respectivement à 8 ans, 7 ans et 4 ans de prison après avoir plaidé coupable.
Le repérage des attaques smishing est un défi difficile d'un point de vue technique. Les SMS malveillants sont beaucoup plus difficiles à détecter et bloquer automatiquement que les e-mails de phishing, et les entreprises sont souvent démunies face à ces attaques. Les solutions de MDM (Mobile device management) permettent de rendre les appareils compatibles avec la politique sécurité de l'entreprise, mais ne bloquent ni n'empêchent les SMS et sites web malveillants.
Cependant, les entreprises à risque peuvent se défendre en sensibilisant leurs collaborateurs au moyen de simulation de campagne de SMiShing. Cette expérience, très proche des conditions réelles, permet aux collaborateurs piégés de prendre conscience du danger et d’adopter les bon réflexes dans les prochaines campagnes de simulation ou réelles attaques.
Le futur du phishing
S’il était simple de prédire l’avenir que nous réserve le phishing, nous ne nous attarderions pas à écrire ces lignes. En effet, le phishing — à l’instar des autres cybercriminalités — c'est le jeu du chat et de la souris : celui qui déjoue les avancées de l'autre gagnera le premier.
Cependant, nous pouvons prendre quelques pronostics sur les techniques qui se développeront dans les prochaines années, et celles qui se feront de plus en plus rare. Il est par exemple évident que les attaques de masse les moins sophistiqués ne se retrouveront plus jamais dans votre boite email dans les années à venir, c’est déjà le cas pour de nombreuses attaques à faible technicité.
En revanche, les attaques de spear phishing vont continuer de se développer en utilisant des subterfuges nécessitant parfois de grande capacités humaines et techniques pour les mettre en oeuvre. Les gangs de cybercriminels — qu’ils soient hacktivistes, politisés ou simplement intéressés par l'appât du gain — ont justement ces ressources. À l’image de Rock Phish, Avalanche, Fancy Bear ou encore Emotet, ils continueront de défrayer la chronique dans les années à venir avec sommes dérobées toujours plus vertigineuses.
Le vishing
Le « vishing » est la contraction de voice et phishing, c’est donc du phishing par téléphone.
À l’instar du phishing par email, il s’agit là d'usurper l’identité d’un individu ou d’une organisation pour obtenir des informations privées ou financière dans le but de frauder la victime.
C’est une pratique criminelle d'ingénierie sociale qui existe depuis M̶a̶t̶h̶u̶s̶a̶l̶e̶m̶ que le téléphone existe, mais qui s’est démocratisée avec l’arrivée des technologies VoiP qui ont permis d’automatiser le processus d’appel et de diminuer drastiquement les coûts de communication.
Voici quelques exemples de scénarios de vishing des plus classiques qui s’adressent aussi bien aux particuliers qu’aux entreprises:
- Proposer un remboursement exclusif suite à un achat de fenêtre double-vitrage en indiquant que ceci est un crédit d’impôt
- Demander des informations confidentielles en se faisant passer pour un opérateur mobile
- Obtenir des informations bancaires en se faisant passer pour un fournisseur pour lequel un paiement n’est pas passé correctement
Malheureusement, il n’y a pas grand-chose à faire pour se protéger contre les cyber-criminels qui vous incitent à divulguer des informations sur votre entreprise. La faute incombe parfois aux standardistes et secrétaires des entreprises qui ne respecte pas toujours les procédures appropriées de vérification de l’identité de l’interlocuteur.
Là où les choses se corsent, c’est qu’une fois combiné au voice cloning, le vishing peut s’avérer très dangereux pour quiconque en est la cible. Nous pensons que cette alliance vishing/voice cloning va s’intensifier dans les années à venir pour enfin devenir une méthode de phishing traditionnelle.
Le voice cloning
Le « voice cloning » ou clonage de voix permet comme son nom l’indique, de dupliquer la voix d’un individu à partir de sa voix originale afin de lui faire dire ce que l’on souhaite.
Aujourd’hui, le voice cloning est de plus en plus demandé sur le marché en raison de ses applications très variées : assistants conversationnels, haut-parleurs intelligents, doublage cinématographique, personnages numériques, jeux-vidéo, livres audio, systèmes de GPS, etc.
Cependant, le revers de la médaille est que comme souvent avec les NTIC, le voice cloning peut être utilisé à mauvais escient.
Comment réagiriez-vous si votre supérieur hiérarchique n+2 vous appelle pour vous demander une information confidentielle sur un contrat sur lequel vous travaillez ? La seule différence avec la réalité, c’est que la personne à qui vous parlez n’est en fait pas votre supérieur hiérarchique mais un fraudeur en pleine action.
C’est ce genre d’attaque auxquelles nous devons nous préparer à faire face dans le futur. La lutte est dors et déjà en ordre de marche puisque nous voyons dès aujourd’hui apparaître de nouvelles solutions qui permettent la détection de voice cloning. Mais à mesure que ces technologies se développent et que les modèles de machine learning sont de mieux en mieux entraînés, il sera de plus en plus difficile de détecter le vrai du faux.
Prévision du voice cloning 2019-2026
À ce jour, le voice cloning n’est plus un concept mais bel et bien une réalité dans le monde du phishing, des escroqueries à grande échelle se sont déjà produites et ont coûté la modique somme de 220 000 euros au PDG d’une entreprise allemande : « les criminels ont utilisés un logiciel générateur de voix par intelligence artificielle pour se faire passer pour le patron d'une société mère allemande qui possède une entreprise basée au Royaume-Uni dans le secteur énergétique”**.
Faire prendre conscience que cette technologie existe et à quel point elle est sophistiquée est la première étape pour se défendre face à cette nouvelle menace. Les solutions techniques vont certes nous aider à nous défendre, mais elles ne seront pas infaillibles à 100%. Notre capacité à évaluer de manière critique une situation et à vérifier la source et véracité de l'information deviendra de plus en plus importante dans le monde de demain.
Les deepfakes
Le mot « deepfake » est un mot-valise formé à partir de deep learning (apprentissage profond) et fake (faux). C’est une technique de synthèse d'images basée sur l'intelligence artificielle utilisée pour créer des infox et des canulars malveillants.
Les contenus de deepfakes sont créés grâce au deep learning en appliquant la simulation de réseaux neuronaux à des ensembles de données massives, afin de créer des faux très réalistes.
De la même façon que le voice cloning, le deepfake ajoute une nouvelle dimension à l'escroquerie : la personne qui parle et que vous voyez derrière votre écran n’est pas réelle mais bien un clone.
Les deepfakes utilisés avec succès dans des attaques de spear phishing sont la preuve qu'un nouveau concept est en train de voir le jour.
Quoi qu’il en soit, les deepfakes soulèvent de nombreuses interrogations. Peut-être que cette nouvelle technique ne fonctionnera pas aussi bien que les techniques plus traditionnelles ? Peut-être que les deepfakes seront la principale cyber-menace en 2030 ? Aujourd’hui la mise en place de deepfakes nécessite des efforts considérables et d’autres techniques plus simples fonctionnent toujours.
Mais les cyber-criminels ont prouvé que les deepfakes peuvent fonctionner tout autant que les méthodes plus traditionnelles, nous devrions donc nous attendre à voir de plus en plus d’attaques de ce genre dans les années à venir.
Conclusion
Tous les indicateurs nous laissent à penser que la menace de phishing en tant que vecteur d'attaque en cybersécurité est là pour durer. En effet, le phishing en tant que technique évolue rapidement vers des niveaux de sophistication plus élevés en tirant parti des puissantes capacités de l'intelligence artificielle.
La panique entourant la COVID-19, les élections américaines et d'autres événements importants ne feront qu’exacerber la menace en servant d'environnement idéal pour que les campagnes de phishing insidieuses se développent en visant aussi bien pour les particuliers que les entreprises.
Bien se préparer pour le jour J
La meilleure défense contre le phishing reste votre intuition, votre jugement, votre intelligence, votre bon sens et votre prudence.
Malheureusement, dans un monde en constante évolution où le temps d’attention de tout un chacun est en baisse et où, à l’image de la génération Y, on ne veut plus patienter pour obtenir les choses, il devient de plus en plus difficile de faire preuve de prudence avant de cliquer sur un lien.
C'est pourquoi les logiciels anti-phishing gagnent en importance pour nous aider à mieux juger les situations auxquelles nous faisons face. Néanmoins, quelques conseils de bon sens peuvent vous éviter de devenir la prochaine victime.
Faites attention à l'expéditeur des e-mails que vous recevez : lisez toujours les adresses e-mail des expéditeurs dans votre boîte de réception. Le diable se cache dans les détails : petites fautes d'orthographe, homoglyphes, ponctuations, etc. sont signes que quelque chose ne va pas.
Soyez prudent avant d'effectuer une action que l’on vous demande : les e-mails de phishing vous demandent généralement d'effectuer certaines actions malveillantes telles que cliquer sur un lien ou fournir des informations confidentielles, numéros de compte bancaire, etc. Ces e-mails doivent vous alerter, en cas de doute, décrochez votre téléphone et demandez confirmation par un autre moyen que par e-mail.
Pièces jointes suspectes : les pièces jointes malveillantes sont également très utilisés par les phishers. Si vous n’attendez pas de pièces jointes de quelqu’un, il est préférable d'éviter de télécharger quoi que ce soit et de demander confirmation par téléphone.
Source : *Lookout 2020 Mobile Phishing Spotlight Report; **The Next Web