Nous ne pouvons pas surestimer l'importance de l'éducation lorsqu'il s'agit d'améliorer notre sensibilisation au phishing et aux autres menaces de sécurité numérique. C'est pourquoi j'ai évoqué dans un article récent quelques conseils pour aider les utilisateurs à repérer une arnaque de phishing. Nous mentionnons également certaines des meilleures solutions anti-hameçonnage.
Il est important de savoir ce qu'il faut rechercher dans une attaque de phishing. Mais ce n'est que la moitié de la bataille. Les utilisateurs doivent également prendre des mesures concrètes pour dissuader les hameçonneurs et assurer la sécurité de leurs informations.
Conscient de ce fait, voici 10 façons de vous protéger, vous et votre ordinateur, contre un hameçonnage réussi.
10 conseils de cyber-sécurité
- Ne paniquez pas
Les hameçonneurs incorporent souvent des menaces et un sentiment d'urgence dans leurs courriels d'attaque. Ils ont une raison de le faire. En tant qu'êtres humains, ils savent que nous prenons certaines de nos pires décisions lorsque nous sommes paniqués et que nous n'avons pas les idées claires. Nous pouvons même nous permettre de cliquer sur un lien suspect ou de renoncer à certaines de nos informations personnelles sensibles.
Cela étant dit, essayez de rester calme si vous recevez un courriel menaçant ou autrement alarmant. Vous pourrez ainsi prendre des décisions éclairées et éviter d'être victime d'une escroquerie par hameçonnage.
- Ne saisissez des informations sensibles que sur des sites Web sécurisés
La majorité des attaques de phishing demandent aux utilisateurs d'envoyer leurs informations personnelles soit par courrier électronique, soit en les saisissant dans un faux formulaire de connexion sur un site web malveillant. Pour vous protéger contre cette tactique, essayez de ne soumettre vos informations personnelles que sur des sites Web sécurisés. Ces sites doivent au moins disposer d'une politique de confidentialité écrite décrivant la manière dont ils utilisent et stockent vos informations personnelles. Ils peuvent également disposer d'un certificat signé pour le protocole HTTPS, qui contribuera à protéger la confidentialité et l'intégrité des données que vous échangez avec eux.
- Familiarisez-vous avec la politique de confidentialité d'un site web avant de vous inscrire
Ce n'est pas parce qu'un site Web utilise le protocole HTTPS que vous devez nécessairement lui communiquer vos informations personnelles. Certains sites Web vendent votre adresse électronique et d'autres informations de contact à des tiers. Ces acheteurs pourraient à leur tour vendre vos données à des personnes peu scrupuleuses qui pourraient sauvegarder vos informations et vous cibler dans de futures attaques de phishing.
Soyez prudent. Avant de communiquer vos informations à un site web, consultez sa politique de confidentialité et assurez-vous que vous êtes d'accord avec ses conditions générales.
- Survolez les URL suspectes avant de cliquer dessus
Les attaquants aiment tromper leurs cibles en les incitant à cliquer sur une URL apparemment bénigne qui mène en réalité à un domaine malveillant. Heureusement, les utilisateurs peuvent facilement démasquer cette ruse en passant la souris sur une URL suspecte. Le lien mène-t-il là où le texte l'indique ? Si ce n'est pas le cas, vous pouvez être sûr que la véritable destination de l'URL est de nature malveillante.
- Soyez prudent avec les liens raccourcis
Toutes les URL ne donnent pas l'emplacement réel du lien lorsque vous les survolez. Prenez les URL raccourcies, par exemple. Des services tels que bit.ly et tinyurl peuvent aider à réduire la taille des URL et à suivre les liens. Cependant, une URL qui a été raccourcie ne révèle aucune information sur sa destination réelle. Elle peut mener n'importe où, même à des pages de phishing.
Les organisations légitimes sont conscientes de ce scepticisme, c'est pourquoi elles n'intègrent généralement pas de liens raccourcis dans leur correspondance commerciale. Par conséquent, si vous recevez un courrier électronique contenant des liens raccourcis provenant d'une organisation, réfléchissez à deux fois avant de cliquer dessus.
- Installez une solution anti-virus sur votre ordinateur
Si de nombreuses attaques de phishing permettent d'extraire les informations d'identification de l'utilisateur au moyen d'un faux formulaire de connexion, d'autres installent des logiciels malveillants sur l'ordinateur de l'utilisateur et utilisent des enregistreurs de frappe pour recueillir les noms d'utilisateur, les mots de passe et d'autres informations sensibles.
Pour vous protéger contre une infection par un logiciel malveillant, installez un logiciel anti-hameçonnage sur votre ordinateur et assurez-vous qu'il est à jour afin de pouvoir détecter les dernières menaces.
- Mettre en œuvre les mises à jour des fournisseurs dès qu'elles sont disponibles
L'un des moyens utilisés par les hameçonneurs pour diffuser des logiciels malveillants sur l'ordinateur d'un utilisateur consiste à utiliser des kits d'exploitation, c'est-à-dire des kits logiciels qui exploitent les vulnérabilités des logiciels courants pour infecter les utilisateurs avec des programmes malveillants. Certains des kits d'exploitation les plus connus, comme Angler, Neutrino et Magnitude, déposent généralement des ransomwares sur les ordinateurs vulnérables. Ces variantes de crypto-malware chiffrent les fichiers des utilisateurs et demandent des centaines, voire des milliers de dollars de rançon pour obtenir la clé de déchiffrement.
Les kits d'exploitation sont plus efficaces lorsqu'ils ciblent des ordinateurs présentant des vulnérabilités logicielles connues. Ne vous exposez pas à des attaques en laissant ces types de problèmes non corrigés ! Essayez de mettre votre système à jour dès qu'un fournisseur publie une mise à niveau de sécurité ou un correctif logiciel.
- Activer le contenu uniquement sur les documents provenant de sources de confiance
Une autre façon pour les hameçonneurs d'infecter les utilisateurs avec des logiciels malveillants consiste à utiliser des pièces jointes malveillantes. En particulier, les fraudeurs aiment inciter les utilisateurs à ouvrir un document Word apparemment innocent qui leur demande d'activer le contenu. Malheureusement, dans ce type d'e-mails, le bouton "activer le contenu" est un iframe malveillant. Lorsqu'il est cliqué, il déclenche un programme de téléchargement qui transmet le logiciel malveillant à l'ordinateur de l'utilisateur.
Les utilisateurs doivent faire attention au bouton "activer le contenu" dans les documents Office. Ils ne doivent cliquer sur le bouton "Activer le contenu" que lorsqu'ils savent que le document provient d'une source fiable. Même dans ce cas, il est conseillé de contacter l'expéditeur au préalable et de confirmer qu'il vous a envoyé un document dont certains contenus sont désactivés.
- Contacter l'expéditeur
Contacter l'expéditeur n'est pas seulement un bon moyen de se protéger contre les contenus malveillants (macros). C'est un bon moyen de se protéger contre tous les types d'attaques de phishing.
Si vous recevez un courriel suspect de la part d'un ami, d'un membre de votre famille, d'une entreprise ou d'une autre source de confiance, qui semble suspect ou hors de propos, contactez-le et confirmez s'il vous a réellement envoyé le message. Il se peut qu'il vous dise qu'il l'a fait ou qu'il vous révèle qu'il a été récemment piraté.
- En cas de doute, supprimez l'e-mail
Certains courriels suspects ne sont accompagnés d'aucune information de contact utilisable concernant l'expéditeur. Si c'est le cas, essayez de faire des recherches sur l'expéditeur et voyez si vous pouvez trouver des informations à son sujet. Si vous n'y parvenez pas, il est préférable de supprimer l'e-mail et de ne pas prendre de risques pour la sécurité de votre ordinateur.
Conclusion
En étudiant les conseils susmentionnés, vous savez maintenant comment vous protéger contre diverses attaques de phishing.
Malheureusement, les escroqueries par hameçonnage évoluent constamment et intègrent de nouvelles techniques pour cibler les utilisateurs peu méfiants. Il est donc important que vous et l'ensemble de votre entreprise réalisiez des exercices permanents de lutte contre le phishing afin de rester au fait des dernières attaques de phishing. Jetez également un coup d'œil aux meilleures solutions logicielles anti-hameçonnage pour votre propre ordinateur.
Les organisations modernes dépendent de leur réseau numérique pour survivre et fonctionner dans le monde des affaires d'aujourd'hui. La solution Metacompliance permet de relever le défi de la sensibilisation à la cybersécurité, de la simulation de phishing, de la gestion des incidents, de la gestion des politiques et de l'évaluation des connaissances.
Metacompliance a développé une solution pour aider à défendre l'entreprise en améliorant la sensibilisation des utilisateurs aux risques de cybersécurité et de conformité.
Simulation de phishing, gestion des incidents, gestion des politiques et évaluation des connaissances.
Metacompliance, fournisseur de logiciels de gestion des politiques et de formation à la sensibilisation des utilisateurs, propose de nombreuses solutions prêtes à l'emploi qui permettent aux entreprises de rationaliser la formation de leurs employés à la sécurité. Parmi ces produits, citons MetaPhish is a, une solution logicielle spécialement conçue pour effectuer des simulations continues de phishing afin d'accroître la sensibilité de vos employés à ces courriels frauduleux.
Pour en savoir plus sur MetaPhish et sur la manière dont vous pouvez mieux protéger votre organisation contre les attaques de phishing, veuillez cliquer ici.
