Un vendredi soir, tard dans la nuit, vous recevez dans votre boîte de réception un message du directeur général intitulé « Transfert urgent demandé dès que possible ». 

C’est un scénario auquel trop de gens sont de plus en plus habitués dans le monde numérique moderne. Malheureusement, la morsure des attaques de phishing se fait sentir dans tout le Royaume-Uni et dans le monde entier.  L‘année 2016 a connu une augmentation massive de 65 %. De nombreuses organisations sont donc confrontées à une pression croissante pour protéger et éduquer correctement leurs employés face à ces menaces. Qu’est-ce qu’un courriel d’hameçonnage ? Vous trouverez ci-dessous quelques  conseils rédigés du point de vue d’un pirate informatique « Guide de MataHacky » sur la façon de repérer les Phish et de riposter !

#1 C’est bien de rester généraliste…mais si vous êtes un vrai pro Spear Phish !

Lorsque vous commencez à cibler plusieurs personnes en une seule fois, il n’y a pas de mal à ce que le nom reste général, car nous cherchons simplement à ce qu’une seule personne morde à l’hameçon. Par exemple,  Il suffit de commencer par « Cher client », ce qui passe souvent inaperçu aux yeux d’un imbécile sans méfiance, en déplacement dans sa vie trépidante. Nombre d’entre eux ne se poseront même pas la question de savoir si l’e-mail n’est pas personnalisé et si vous ne vous adressez pas à eux par leur nom. Il est toutefois important de noter qu’au fur et à mesure de la prise de conscience, de plus en plus de personnes commenceront à considérer cette généralisation comme un détecteur de menaces. Cela nous amène à l’endroit où se trouve le véritable argent et où le jeu change de rythme…  Le spear phishing! En gros, vous cherchez à faire des recherches sur votre cible, à connaître son nom, son lieu de travail et même le nom de son patron afin de créer un phishing personnalisé très convaincant !

#2 Créez un sentiment d’urgence !

C’est la clé. Vous devez susciter la peur chez le public. Sans cela, ils risquent de regarder de plus près les autres défauts de votre courrier électronique, tels que les fautes d’orthographe, et de devenir plus prudents. Comme un cheval qui sort d’un piège, vous devez y entrer tout de suite. Commencez par l’objet du message  Urgent – activité suspecte sur votre compte X » est généralement un excellent moyen d’ouvrir le message et d’attirer l’attention des destinataires. N’oubliez pas de maintenir ce niveau d’urgence tout au long de votre e-mail et vous serez gagnant. La panique est la clé d’un bon phishing. Pensez à ce qui est le plus précieux, comme des détails qui pourraient causer des dégâts financiers ou nuire à la réputation, mettez-le dans une situation de danger et vous obtiendrez certainement un résultat.

#3 Faites attention à l’orthographe et à la grammaire

Il est vrai que si vous respectez les autres points que j’ai énumérés, vous pouvez vous en tirer avec quelques fautes d’orthographe ou de grammaire… Cependant, vous devez garder un œil sur le nombre de fautes d’orthographe dans votre texte. Une ou deux passeront probablement inaperçues, mais le plus fin des détecteurs de phishing ne sera pas dupe. Après tout, une entreprise véritablement professionnelle ne commettra pas de fautes d’orthographe dans les courriels qu’elle envoie à ses clients.

D’un autre côté, les fautes d’orthographe vous aideront à créer la liste parfaite des victimes. S’ils tombent dans le piège d’un courriel de phishing truffé de fautes d’orthographe, à quoi d’autre pourraient-ils succomber ? Vous pouvez même partager les coordonnées de ces pigeons avec vos amis pirates pour qu’ils puissent les cibler à leur tour !

#4 Créez une adresse électronique et des liens très convaincants !

Pour que ces imbéciles mordent à l’hameçon et cliquent sur le lien que vous leur fournissez, vous devez vous assurer que l’adresse électronique à partir de laquelle vous opérez semble légitime. Une fois de plus, l’attention portée aux détails fait souvent défaut aux gens, de sorte que s’ils voient un courriel provenant de « [email protected] », beaucoup ne tiendront pas compte de ces petites erreurs. Appliquez la même idée à vos liens ! Faites en sorte qu’ils aient l’air aussi vrais que possible et vous pouvez vous en tirer avec un petit caractère manquant ou ajouté ici ou là. L’usurpation d’identité est un art, alors si vous voulez devenir un maître, vous avez intérêt à vous entraîner !

Rappelez-vous que 91% des attaques de phishing d’entreprise contiennent des usurpations de nom d’affichage, 30 % sont ouverts et 12 % de ces personnes cliqueront sur le lien ou la pièce jointe. Vos chances de gagner rapidement de l’argent sont donc bonnes si vous respectez mes règles. Bonne chance !

L’employé moyen est confronté à au moins un courriel risqué par jour et l’on prévoit que le courriel restera la principale méthode de ciblage pour la plupart des attaques jusqu’en 2020. Au cours des deux dernières années, les liens frauduleux envoyés à des comptes de messagerie professionnelle ont coûté aux entreprises plus de  deux milliards de dollars avec 30 % des clients font affaire ailleurs à la suite d’une violation.

Pouvez-vous vous permettre que votre organisation ou même votre compte personnel soit victime d’une de ces attaques ? Si la réponse est non, vous pourriez être intéressé par notre cours eLearning de sensibilisation à l’hameçonnage, qui explique comment identifier correctement un hameçonnage et ce qu’il faut faire lorsque l’on en repère un. Ce cours peut également être complété par notre logiciel de simulation de phishing « MetaPhish » afin d’accroître la sensibilité de vos employés aux courriels frauduleux.

Le plus grand risque de cybersécurité auquel votre entreprise est confrontée quotidiennement est la complaisance des employés, et c’est maintenant le bon moment pour y remédier. Contactez-nous dès aujourd’hui pour obtenir plus d’informations sur la manière dont vous pourriez sauver votre organisation d’une attaque de phishing.