Phishing & ingénierie sociale : 12 attaques courantes et comment les bloquer

Phishing & ingénierie sociale : 12 attaques courantes et comment les bloquer

Les attaquants visent l’humain autant que la machine. Voici les scénarios clés et la défense multicouche.

Les 12 scénarios à connaître

1. Spear phishing (ciblé)
2. BEC (fraude au président / changement IBAN)
3. Smishing (SMS)
4. Vishing (appels vocaux)
5. Phishing OAuth (autoriser une app malveillante)
6. MFA fatigue (bombardement d’approbations)
7. Pièces jointes piégées (macro, LNK)
8. Pages clones (Office/Google fake)
9. QRishing (QR codes)
10. Phishing livraison (faux colis)
11. Support technique (faux Microsoft/banque)
12. Arnaque recrutement (promesse d’emploi)

Défenses techniques

• DMARC + SPF + DKIM sur ton domaine.
• Filtrage URL/pièces jointes avancé, bac à sable.
• Navigateur à jour, isolation des téléchargements.
• MFA (plutôt via app ou clé FIDO que SMS).
• Bloquer macros et extensions non approuvées.

Défenses humaines & process

• Formation trimestrielle + campagnes simulées.
• Double validation des changements IBAN par canal distinct.
• Culture du doute : vérifier l’URL, l’expéditeur, la cohérence.
• Signalement simple (bouton “Signaler un phishing”).
• Procédures : que faire en cas de clic (déclarer, isoler, changer mot de passe).