Les conclusions du rapport « Phishing Activity Trends Report » de l’Anti-Phishing Working Group (APWG) indiquent qu’il y a eu plus de 1,2 million d’attaques d’hameçonnage connues en 2016. Il s’agit d’une augmentation considérable de 65 % par rapport à 2015 et du total annuel le plus élevé depuis que l’APWG a commencé à surveiller les attaques en 2004.

Les courriels de phishing sont conçus pour attirer l’attention et susciter une réaction immédiate de la part de la victime potentielle, qui est incitée à réagir rapidement et à cliquer sur l’appel à l’action frauduleux. En moyenne, les sites de phishing restent en ligne moins de 15 heures, ce qui rend leur identification et leur blocage très difficiles. De plus, près de 100 % des URL de phishing pointent vers des pages ou des sites malveillants au sein de domaines bénins, ce qui les fait passer pour des sources légitimes.

C’est ce niveau de sophistication qui rend l’hameçonnage si sournois. Il se présente généralement sous la forme d’un courriel inoffensif et vous convainc d’agir – généralement en cliquant sur un lien ou en ouvrant un fichier. À ce stade, c’est la fin de la partie.

Il ne fait aucun doute qu’un grand nombre de personnes savent ce qu’il faut rechercher dans un courriel de phishing. Cependant, il suffit qu’une seule personne agisse sur un courriel de phishing pour que votre entreprise subisse des dommages financiers et des atteintes à sa réputation. C’est pourquoi nous considérons qu’il est si important d’utiliser un test d’hameçonnage pour vos employés.

Test d’hameçonnage – Comment repérer un faux courriel

La plupart d’entre nous possèdent un compte PayPal, et il est donc tout à fait naturel que si nous recevons un courrier électronique de la part des responsables de PayPal, nous ayons envie d’y jeter un coup d’œil.

De nombreuses personnes cliqueraient probablement sur l’e-mail ci-dessous, mais en utilisant régulièrement ce type d’exercice d’hameçonnage pour vos utilisateurs, vous serez en mesure d’identifier les éléments suivants en regardant l’e-mail ci-dessous :

– L’adresse est-elle celle liée à leur compte PayPal – que dit le champ « à » ?
– Les fautes de grammaire et d’orthographe sont des signes évidents d’hameçonnage, en particulier dans les grandes entreprises qui emploient des rédacteurs et des réviseurs pour s’assurer que cela ne se produit pas dans les communications externes.
– Pas de personnalisation – Le nom est vide et remplacé par un simple « Bonjour client PayPal ».
– Tactique d’effarouchement – Les attaques d’hameçonnage vous font souvent croire que quelque chose ne va pas avec votre compte, par exemple « Votre compte PayPal est limité », pour vous effrayer et vous inciter à cliquer sur le message d’appel à l’action.

En mettant régulièrement en place un test de phishing pour votre organisation, vous sensibiliserez vos employés à la cybersécurité et leur permettrez de repérer les principaux signes révélateurs des courriels de phishing. Cependant, de nombreux cybercriminels sont plus sophistiqués que cela et peuvent habilement éviter tous les points mentionnés ci-dessus.

La formation est essentielle pour se protéger contre les attaques de phishing et la mise en œuvre de tests de phishing fait partie intégrante de la protection de votre entreprise. L’idée peut paraître simple, mais la formation est efficace. Si vous enseignez à votre personnel ce à quoi il faut faire attention lorsqu’il s’agit d’un courriel d’hameçonnage, vous faites déjà un grand pas en avant pour vous protéger, vous et votre entreprise, d’une attaque d’hameçonnage.

Vous êtes-vous déjà fait surprendre par un courriel de phishing, ou avez-vous vu l’un des signes de danger à l’avance et avez-vous pu l’identifier avant qu’il ne soit trop tard ? Faites-le nous savoir dans les commentaires ci-dessous.