La sensibilisation au phishing de vos collaborateurs devient de plus en plus nécessaire à mesure que les techniques des cyber criminels évoluent.
Avec des méthodes toujours plus sophistiquées, ces derniers essaient constamment de tromper les internautes pour voler leurs informations confidentielles.
S’il existe des solutions techniques pouvant limiter ce genre de cyber menace, la meilleure manière reste encore de se former aux bonnes pratiques et de comprendre le mode opératoire du phishing. Quels sont les modes opératoires des cyber criminels ? Quels sont les bons gestes à adopter ? Explorez les bases de la sensibilisation au phishing et comment protéger vos données en ligne efficacement.
Qu’est-ce que le phishing ?
Le phishing est une technique d’escroquerie en ligne dans laquelle des cybercriminels, revêtant souvent le masque d’entités dignes de confiance, trompent les internautes afin de subtiliser leurs informations personnelles et sensibles.
Ce type de menace est loin d’être un phénomène isolé. À titre d’information, le rapport « State of the Phish » publié par Proofpoint, une référence dans le domaine de la cybersécurité, indique qu’en 2022, 30 millions de messages nuisibles étaient liés à la marque Microsoft ou à ses offres.
Connaître les stratégies des cybercriminels est essentiel pour une sensibilisation efficace au phishing. Découvrez les techniques les plus utilisées.
E-mails de Phishing
L’une des méthodes les plus courantes est l’e-mail de phishing. Dans cette approche, les attaquants envoient des e-mails qui semblent provenir d’institutions reconnues, comme des banques, des services gouvernementaux ou des plateformes populaires. Ces e-mails contiennent généralement des liens menant à des sites web frauduleux qui imitent les sites officiels, poussant la victime à saisir des informations comme des identifiants, des mots de passe ou des détails de carte bancaire.
Messages sur les réseaux sociaux
Les cybercriminels utilisent aussi des plateformes comme Facebook, Twitter ou LinkedIn pour envoyer des messages privés trompeurs. Ces messages peuvent prétendre que la victime a gagné un prix ou qu’elle doit vérifier son compte, conduisant la personne à cliquer sur un lien malveillant.
Smishing (SMS Phishing)
Semblable aux e-mails de phishing, le smishing implique l’envoi de SMS frauduleux. Ces messages peuvent prétendre être d’une banque ou d’un autre service, informant la victime d’une activité suspecte sur son compte ou d’une offre spéciale, avec un lien pour « vérifier » ou « réclamer ».
Le Spearphishing
Contrairement aux attaques de phishing classiques, qui sont généralement diffusées en masse dans l’espoir d’atteindre le plus grand nombre de victimes possibles, le spearphishing ou hameçonnage ciblé en français, s’appuie sur des recherches minutieuses sur la victime.
Les attaquants peuvent utiliser des informations personnelles, des antécédents professionnels, des affiliations ou d’autres détails spécifiques pour rendre leur message trompeur plus convaincant. L’objectif est d’exploiter la confiance de la victime en se faisant passer pour une source fiable, ce qui augmente les chances que la victime divulgue des informations sensibles, clique sur un lien malveillant ou ouvre une pièce jointe infectée.
Sites web frauduleux
Une fois qu’une victime clique sur un lien de phishing, elle est souvent redirigée vers un site web qui imite à la perfection un site légitime. Tout est conçu pour tromper : le logo, la mise en page, le formulaire de connexion. Lorsqu’une victime saisit ses informations sur ces sites, elles sont immédiatement capturées par les cybercriminels.
Sensibilisation phishing : Comment se protéger ?
Méfiez-vous toujours de l’identité de l’expéditeur
Avant de cliquer sur une pièce jointe ou un lien, observez les signes révélateurs d’incohérence, que ce soit dans la mise en forme ou le contenu du message, surtout s’il diffère de ce que vous recevez habituellement de cette source.
Si un e-mail semble suspect, prenez le temps de contacter directement l’expéditeur pour confirmer qu’il est bien l’auteur du message. Même un expéditeur authentique peut, sans le savoir, transmettre un courriel malveillant.
À titre d’exemple, des courriels se faisant passer pour l’Agence National de Traitement Automatisé des Infractions (ANTAI) sont souvent utilisés par les cybercriminels.
Il s’agit le plus souvent d’avis de contravention ou des lettres de rappel, contenant des liens suspects redirigeant les victimes vers des sites malintentionnés. L’objectif est de s’emparer de vos données personnelles, qu’il s’agisse de numéros fiscaux, de permis de conduire, de pièces d’identité, ou même de certificats de cession de véhicule. Restez donc toujours sur vos gardes.
Adopter le bon geste : Si vous recevez un email de l’ANTAI, assurez-vous qu’il correspond à l’adresse suivante : nepasrepondre_noreply@antai.fr.
Vérifiez que les pièces jointes ne contiennent pas de virus
Les pièces jointes reçues dans vos e-mails peuvent parfois dissimuler des menaces plus grandes qu’il n’y paraît. En effet, elles peuvent abriter des virus ou des logiciels espions qui, une fois téléchargés, peuvent compromettre la sécurité de votre appareil.
Un exemple qui revient souvent concerne les employés qui reçoivent un e-mail prétendant provenir du département des ressources humaines ou de la comptabilité de son entreprise. L’e-mail mentionne une mise à jour du salaire ou un bonus et incite le destinataire à ouvrir la pièce jointe pour voir les détails. Toutefois, malgré l’apparence inoffensive du fichier (qui semble être un PDF), son extension « .exe » indique qu’il s’agit d’un exécutable. Une fois ouvert, ce fichier installe un virus ou un ransomware sur l’ordinateur de l’utilisateur, pouvant ainsi crypter des fichiers ou voler des informations.
Une autre technique utilisée par les cyber criminel est d’envoyer des pièces jointes sous forme de fichiers compressés afin de tromper les antivirus. Ces archives sont souvent identifiables par les extensions .zip, .rar ou .7z. Si vous recevez une telle pièce jointe et que vous avez des doutes sur son authenticité, il est préférable de supprimer l’e-mail directement.
Adopter le bon geste : Afficher les extensions complètes des fichiers. Les systèmes d’exploitation, par défaut, masquent souvent les extensions de fichier, ce qui peut être trompeur.
Ne communiquez jamais d’information personnelle
Les e-mails sollicitant des données confidentielles devraient immédiatement éveiller vos soupçons.
Garder à l’esprit qu’aucune organisation ou entité publique ne vous demandera jamais de fournir des informations sensibles, comme vos mots de passe, codes PIN ou détails bancaires, par courrier électronique.
Adopter le bon geste : Si vous recevez une telle requête, même si elle semble provenir d’une source de confiance comme votre banque ou un marchand en ligne, prenez un moment pour contacter directement cette entité par des moyens sécurisés et vérifier l’authenticité de la demande. Dans le cas où vous êtes victime d’une tentative d’hameçonnage, faites-le savoir sur signal-spam.fr.
Vérifiez le moyen de communication
Gardez à l’esprit que la plupart des services publics ne communiquent jamais par SMS les démarches à effectuer en ligne. Malgré tout, certains cyber attaquant, profitant de la digitalisation croissante, usurpent l’identité d’entités publique pour piéger les utilisateurs.
Par exemple, ANTAI a été récemment victime d’une usurpation de cette sorte. Des individus malintentionnés ont envoyé des SMS frauduleux prétendant que le destinataire avait un « retard de paiement d’une amende » et fournissaient un lien conduisant à des sites faux, tels que « amendes-sanction.info » ou « Usagers-AntaiGouvSMS.com ». En cliquant sur ces liens, les victimes risquent de divulguer leurs informations personnelles.
De la même manière, la Direction générale des finances publiques (DGFIP) a alerté sur une arnaque visant à tromper les usagers au sujet d’une « indemnité carburant ». Des SMS circulent, incitant les destinataires à cliquer sur un lien pour prétendument obtenir une aide de 100 €. En réalité, ces escrocs usurpent simplement l’identité de la DGFIP.
Adopter le bon geste : Méfiez-vous des sites de ministère ne se terminant pas par « gouv.fr » et assurez-vous de la présence de « https » dans l’URL. Avant tout paiement administratif, vérifiez l’authenticité du site et consultez ses mentions légales.
À retenir
Le phishing est l’une des menaces en ligne les plus courantes, mais avec une sensibilisation adéquate, vous pouvez grandement réduire vos chances de devenir une victime. En restant informé, en mettant régulièrement à jour vos logiciels, et en adoptant des habitudes en ligne prudentes, vous pouvez naviguer sur le web en toute sécurité.