Blog sur la cybersécurité en entreprise

Le paysage des cybermenaces et des cyberattaques est en constante évolution. Explorez notre blog sur la cybersécurité pour obtenir des conseils en matière de conformité, formation et sensibilisation à la sécurité en entreprise.

Exemple de mail phishing : 5 courriels d’hameçonnage courants

Exemple mail phishing : protégez votre boîte de réception

AU SUJET DE L'AUTEUR

James MacKay

Dans cet article, nous mettrons en lumière des exemples concrets de mail phishing et vous montrerons comment maintenir une vigilance aiguisée face à cette menace persistante. Les courriels d'hameçonnage demeurent une menace cybernétique persistante. La compréhension des différentes formes d'attaques par phishing est essentielle pour protéger votre présence en ligne.

Selon le rapport de Cisco sur la cybersécurité de 2021, environ 90 % des violations de données commencent par des courriels de phishing. Plus préoccupant encore, le rapport suggère qu'au sein de 86 % des organisations, au moins une personne cliquera sur un lien de phishing. Or, il suffit d'un seul clic pour être infecté par un ransomware ou exposer des données sensibles.

La maîtrise des tactiques utilisées dans certaines des formes les plus courantes d'attaque par phishing et la sensibilisation des employés à la manière de les éviter contribuent à réduire les risques cybernétiques. Découvrez ici cinq exemples de mail phishing et comment empêcher les employés de prendre des risques.

1er exemple de mail phishing : l'arnaque des fausses factures

L'arnaque aux fausses factures est l'une des plus populaires parmi les hameçonneurs. Les fraudeurs envoient des courriels contenant de fausses factures, dans l'espoir de piéger un employé inconscient. Malheureusement, si la fausse facture est payée ou si des questions concernant la facture sont posées au fraudeur, de l'argent ou des données personnelles seront probablement volés.

Les types de factures incluses dans les courriels d'hameçonnage varient, mais on peut citer les exemples suivants :

  • Facturation de produits de sécurité tels que les logiciels antivirus
  • Factures impayées de faux fournisseurs
  • Courriels d'expiration du paiement de domaine avertissant que si aucune action n'est entreprise, le site web et les courriels ne seront plus disponibles.
  • Factures de collecteurs de fonds et d'organisations caritatives, offrant souvent un placement publicitaire ou un article dans une publication caritative.
  • Le Business Email Compromise (BEC), qui est une forme très sophistiquée et ciblée d'escroquerie aux fausses factures.

Comment éviter les escroqueries aux fausses factures

Les escroqueries liées aux factures peuvent être très sophistiquées, les fraudeurs ciblant spécifiquement des personnes telles que les employés travaillant dans la comptabilité fournisseurs ou les directeurs financiers. Les courriels ont l'air authentiques et contiennent souvent un message urgent du type "payez maintenant ou subissez les conséquences".

Utilisez une simulation de phishing qui offre une formation basée sur les rôles pour cibler les types d'utilisateurs les plus exposés aux escroqueries par fausses factures. Les simulateurs d'hameçonnage basés sur les rôles vous permettront d'adapter vos campagnes de phishing simulées pour refléter les défis réels auxquels sont confrontés des départements et des employés spécifiques.

Exemple mail phishing NORTON

2ème exemple de mail phishing : les faux e-mails de support technique

Créer un sentiment d'urgence et de conformité sont deux des techniques de manipulation utilisées par les escrocs pour inciter les employés à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées. Un exemple de ces manipulations comportementales se retrouve dans les courriels de phishing qui prétendent provenir du support technique.

Dans l'exemple ci-dessous, vous pouvez voir que le personnel est invité à passer à un nouveau portail web pour accéder à des informations personnelles et professionnelles importantes, y compris leurs bulletins de salaire. L'e-mail rappelle aux employés qu'ils n'ont que 24 heures pour se mettre en conformité.

L'e-mail contient un lien vers un site web malveillant. Si l'employé clique sur ce lien et se rend sur le site, il lui sera demandé de saisir ses identifiants de connexion et ses données personnelles. S'il le fait, ces données seront volées et les fraudeurs les utiliseront pour se connecter au portail réel.

Comment éviter les faux e-mails d'assistance technique

Tout le personnel est exposé à ce type de courriel d'hameçonnage spéculatif général. Une formation générale de sensibilisation à la sécurité de qualité est essentielle pour apprendre à tous les employés, dans tous les départements, comment assurer leur sécurité en ligne.

L'éducation sur la manière dont les cybercriminels manipulent le comportement humain est cruciale pour familiariser les employés avec les tactiques employées par les fraudeurs lors de la création d'e-mails de phishing. Les programmes efficaces de sensibilisation à la sécurité se basent sur un apprentissage continu qui offre des opportunités pour corriger les mauvaises habitudes en matière de sécurité.

La formation générale de sensibilisation à la sécurité doit être complétée par des exercices de simulation de hameçonnage spécifiquement axés sur ce type de menace. Ces simulations utilisent des courriels semblant provenir de services internes et recourent à des tactiques telles que l'urgence et la menace de mesures disciplinaires en cas de non-coopération.

Exemple mail phishing OUTLOOK

3ème exemple de mail phishing : les arnaques fiscales

Les escroqueries fiscales connaissent souvent une recrudescence pendant la saison des impôts, mais elles peuvent survenir à tout moment. Les courriels d’arnaque fiscale semblent réalistes et sont souvent soigneusement conçus. Le site web vers lequel renvoie le lien est un faux site utilisé pour collecter des données et les envoyer aux fraudeurs à l'origine de l'escroquerie. Parfois, ces sites web contiennent également des logiciels malveillants, mettant en danger tout appareil qui y accède.

Comment éviter les escroqueries fiscales

Les escroqueries fiscales peuvent cibler n'importe quel membre d'une organisation, mais elles sont particulièrement efficaces lorsqu'elles visent des employés des départements financiers. Par conséquent, il est essentiel d'inclure les arnaques fiscales dans les exercices de simulation de phishing pour tous les membres du personnel. En période de déclaration d'impôts, il est recommandé de renforcer la formation pour garantir que les employés, en particulier ceux des départements financiers, soient prêts à faire face à la probabilité d'e-mails de phishing.

4ème exemple de mail phishing : problème de compte courriel

Imaginons qu'un employé reçoive un courriel urgent l'informant que son compte de messagerie est sur le point d'être suspendu ou doit être mis à niveau de toute urgence. Dans ce cas, il pourrait se sentir obligé de cliquer sur le lien pour résoudre le "problème". Cependant, cet e-mail pourrait être une arnaque de phishing visant à voler des informations d'identification.

L'exemple d'e-mail de phishing ci-dessous montre comment la marque Microsoft est utilisée pour renforcer l'affirmation selon laquelle le compte de messagerie de l'utilisateur est en danger. Le lien contenu dans l'e-mail est malveillant et redirige l'utilisateur vers un site web qui ressemble à une page de connexion à Microsoft Office 365.

Microsoft est souvent l'une des cinq marques les plus usurpées dans les e-mails de phishing. Selon le rapport de Cisco, les cinq premières marques usurpées sont :

  1. LinkedIn (52 % de toutes les attaques de phishing dans le monde)
  2. DHL (14%)
  3. Google (7%)
  4. Microsoft (6%)
  5. FedEx (6%)

Comment éviter le problème du faux courrier électronique de Microsoft

Les fraudeurs utilisent fréquemment Microsoft et d'autres marques bien connues pour créer un faux sentiment de sécurité chez les employés. La loyauté à la marque et la confiance sont exploitées pour inciter les victimes à s'engager dans le message électronique et à cliquer sur le lien malveillant. C'est là que les exercices de simulation de phishing peuvent aider les employés à se méfier des e-mails de marque qui utilisent des tactiques de manipulation du comportement, telles que l'urgence.

Exemple mail phishing MICROSOFT

5ème exemple de mail phishing : l'arnaque de Google Docs

Les entreprises utilisent régulièrement Google Docs pour créer, collaborer et partager des documents. En 2020, plus de 6 millions d'entreprises étaient abonnées à Google GSuite, faisant de Google une cible attrayante pour les escrocs.

Une nouvelle tactique récente de phishing utilise GSuite pour cibler spécifiquement un utilisateur. Un fraudeur crée un document Google et le commente en utilisant la notation @ pour attirer l'attention de l'utilisateur ciblé. Cela déclenche l'envoi d'un e-mail de notification authentique par Google dans la boîte de réception de la victime, concernant le commentaire. Cependant, ce commentaire contient généralement des liens malveillants qui, s'ils sont cliqués, redirigent l'employé vers un site web malveillant.

Google a récemment mis à jour les commentaires pour permettre aux utilisateurs de voir qui a laissé un commentaire. Cependant, les escrocs adaptent constamment leurs tactiques, rendant possible l'apparition de nouvelles arnaques GSuite à l'avenir.

Comment éviter les arnaques aux commentaires de GSuite (et autres)

Les courriels de phishing habilement déguisés peuvent être intégrés à des messages légitimes et à des services similaires, comme le montre l'exemple des commentaires GSuite.

Par conséquent, la formation en sécurité doit refléter les politiques de l'entreprise concernant l'utilisation de services basés sur le cloud. Assurez-vous que le programme de sensibilisation en cybersécurité inclut constamment les dernières informations sur les escroqueries et mettez régulièrement à jour le contenu pour suivre les astuces utilisées par les fraudeurs. De plus, prenez conscience que les fraudeurs modifient régulièrement leurs tactiques pour échapper à la détection, soulignant ainsi l'importance d'organiser des formations en sensibilisation à la sécurité tout au long de l'année.