L’hameçonnage, sous toutes ses formes, des courriels malveillants au SMShing (hameçonnage par texte), en passant par le phishing par courrier social et le Vishing (hameçonnage par appel téléphonique), fait désormais partie de la vie quotidienne d’une organisation.

Cependant, les courriels d’hameçonnage sont de loin la forme la plus courante d’hameçonnage.

Qu’est-ce qu’un courriel d’hameçonnage ?

Les courriels de phishing sont des messages frauduleux envoyés par des cybercriminels se faisant passer pour des entités légitimes, dans le but de tromper les destinataires et de les amener à divulguer des informations sensibles ou à effectuer des actions nuisibles, telles que cliquer sur des liens malveillants ou télécharger des logiciels malveillants.

Selon une étude de Ciscointitulée « 2021 Cybersecurity Threat Trends Report« , environ 90 % des violations de données commencent par des courriels d’hameçonnage. Fait inquiétant, le rapport suggère que dans 86 % des organisations, au moins une personne cliquera sur un lien d’hameçonnage. Or, il suffit d’un clic pour être infecté par un ransomware ou pour que des données sensibles soient exposées, etc.

Comprendre les tactiques utilisées dans certaines des formes les plus courantes d’attaques par courrier électronique de type « phishing » et la manière dont les employés peuvent les éviter contribue à réduire les cyberrisques. Voici cinq exemples de courriels d’hameçonnage et comment empêcher les employés de prendre des risques.

L’arnaque à la fausse facture

L’escroquerie à la fausse facture est l’une des préférées des hameçonneurs. Les fraudeurs envoient des courriels contenant de fausses factures, dans l’espoir de surprendre un employé qui n’est pas au courant. Malheureusement, si la fausse facture est payée ou si une question concernant la facture est posée à l’escroc, de l’argent ou des données personnelles seront probablement volés.

Le type de facture incluse dans les courriels de phishing varie, mais voici quelques exemples :

Facturation de produits de sécurité tels que les logiciels anti-virus

  • Factures en souffrance de faux fournisseurs

  • Les courriers électroniques relatifs à l’expiration du paiement du domaine vous avertissent que si vous n’agissez pas, votre site web et vos courriers électroniques ne seront plus disponibles. 

  • les collecteurs de fonds et les factures d’organisations caritatives, qui proposent souvent un placement publicitaire ou un article dans une publication caritative

  • Le Business Email Compromise (BEC) est une forme très sophistiquée et ciblée d’escroquerie aux fausses factures

Comment éviter les escroqueries aux fausses factures

Les escroqueries à la facture peuvent être très sophistiquées, les fraudeurs ciblant des personnes spécifiques, comme celles qui travaillent dans la comptabilité fournisseurs ou les directeurs financiers. Les courriels paraissent authentiques et contiennent souvent un message urgent du type « payez maintenant ou subissez les conséquences ».

Utilisez des simulations de phishing qui offrent une formation basée sur les rôles pour cibler les types d’utilisateurs les plus exposés au risque d’escroquerie par fausse facture. Les simulateurs d’hameçonnage basés sur les rôles vous permettront d’adapter vos campagnes d’hameçonnage simulé afin de refléter les défis réels auxquels sont confrontés des départements et des personnels spécifiques.

exemple 1

Faux courriels d’assistance technique

Créer un sentiment d’urgence et de conformité sont deux des techniques de manipulation utilisées par les escrocs pour inciter les employés à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées. Un exemple de ces manipulations comportementales se trouve dans les courriels de phishing qui prétendent provenir du support technique.

Dans l’exemple ci-dessous, vous pouvez voir que le personnel est invité à passer à un nouveau portail web pour accéder à des informations personnelles et d’entreprise importantes – y compris leurs fiches de paie. L’e-mail rappelle au personnel qu’il n’a que 24 heures pour se conformer.

Le courriel contient un lien vers un site web malveillant. Si l’employé clique sur ce lien et se rend sur le site web, il lui sera demandé de saisir ses identifiants de connexion existants et ses données personnelles. S’il le fait, ces données seront volées et les fraudeurs utiliseront les identifiants de connexion pour se connecter au portail réel.

Comment éviter les faux courriels d’assistance technique

Tous les membres du personnel sont exposés à ce type d’e-mail de phishing spéculatif général. La formation générale de sensibilisation à la sécurité devrait être utilisée pour éduquer tous les employés, dans tous les départements, sur la manière d’assurer la sécurité en ligne.

Il est essentiel de savoir comment les cybercriminels manipulent le comportement humain pour former les employés aux tactiques utilisées par les fraudeurs lorsqu’ils créent des courriels d’hameçonnage. Les programmes efficaces de formation à la sensibilisation à la sécurité utiliseront l’apprentissage au point de besoin qui utilise les opportunités pour recycler les mauvais comportements en matière de sécurité.

La formation générale à la sensibilisation à la sécurité devrait être utilisée parallèlement à des exercices de simulation d’hameçonnage qui s’attaquent spécifiquement à ce type de menace d’hameçonnage. Il s’agit d’e-mails qui semblent provenir de services internes et qui utilisent des tactiques telles que l’urgence et la menace de mesures disciplinaires si l’on n’agit pas.  

exemple 2

Escroqueries fiscales

Les escroqueries fiscales augmentent souvent en volume pendant la saison des impôts, mais elles peuvent survenir à tout moment. Souvent, ces courriels proposent un remboursement d’impôts. Cependant, il est possible que ces courriels vous proposent un remboursement d’impôts,  Le HMRC déclare explicitement sur son site web: « Le HMRC n’enverra jamais de notifications par e-mail concernant des dégrèvements ou des remboursements d’impôts. »

Les courriels d’escroquerie fiscale sont généralement réalistes et souvent bien composés. Les escrocs utilisent le logo du HMRC et les marques associées pour donner aux courriels de phishing une apparence légitime. Il y a généralement un lien vers la page de connexion du HMRC Gateway. La page web vers laquelle le lien renvoie est un faux site web utilisé pour collecter des données et les envoyer aux fraudeurs à l’origine de l’escroquerie. Parfois, ces sites web contiennent également des logiciels malveillants, et toute personne naviguant sur ce site web pourrait se retrouver avec un appareil infecté.

Comment éviter les escroqueries fiscales

Les escroqueries fiscales peuvent être non ciblées et envoyées à n’importe qui dans une organisation. Cependant, les escroqueries fiscales les plus efficaces sont envoyées à des employés spécifiques des départements financiers. Par conséquent, s’il est important d’inclure des escroqueries fiscales dans vos exercices de simulation d’hameçonnage pour tout le monde, vous devriez également vous concentrer sur la formation de tous les employés du département financier à ce sujet. À l’approche de la saison des impôts, redoublez de formation pour vous assurer que les employés, en particulier ceux du département financier, sont prêts à faire face à l’assaut probable de ces courriels de phishing.

Problème de compte email Phishing Email

Supposons qu’un employé reçoive un courriel urgent l’informant que son compte de messagerie est sur le point d’être suspendu ou qu’il doit être mis à niveau de toute urgence. Dans ce cas, il peut se sentir obligé de cliquer sur le lien pour résoudre le « problème ». Cependant, ce courriel pourrait être une escroquerie par hameçonnage qui mène au vol d’informations d’identification.

L’exemple de courriel de phishing ci-dessous montre comment la marque Microsoft a été utilisée pour donner plus de poids à l’affirmation selon laquelle le compte de messagerie de l’utilisateur est en danger. Le lien contenu dans l’e-mail est malveillant et dirige l’utilisateur vers un site web qui ressemble à une page de connexion à Microsoft Office 365.

Microsoft figure souvent parmi les cinq marques les plus usurpées utilisées dans les messages de phishing. Selon Cisco, les cinq marques les plus usurpées au premier trimestre 2022 sont les suivantes :

  1. LinkedIn (52% des attaques de phishing dans le monde)

  2. DHL (14%)

  3. Google (7%)

  4. Microsoft (6%)

  5. FedEx (6%)

Comment éviter le problème d’hameçonnage de Microsoft Email

Les fraudeurs utilisent souvent Microsoft et d’autres marques connues pour donner aux employés un faux sentiment de sécurité. La fidélité à la marque et la confiance sont utilisées pour s’assurer que les victimes s’engagent dans le message électronique et cliquent sur le lien malveillant. C’est pourquoi les exercices de simulation d’hameçonnage peuvent apprendre aux employés à se méfier des courriels de marque qui utilisent des tactiques de manipulation du comportement telles que l’urgence.

exemple 3

Arnaque Google Docs

Les entreprises utilisent régulièrement Google docs pour saisir des documents et des idées et collaborer avec leurs collègues. En 2020, Google GSuite comptait plus de  6 millions d’entreprises se sont abonnées au service. Ces nombreux utilisateurs font de Google une proposition intéressante pour les escrocs.

Une nouvelle utilisation récente d’une attaque basée sur le phishing qui utilise GSuite pour accrocher une cible montre à quel point les pirates peuvent être innovants. Dans cette escroquerie, un fraudeur crée un document Google, puis le commente en utilisant la notation @ pour cibler un utilisateur spécifique. Google envoie alors un courriel de notification dans la boîte de réception de la cible à propos du commentaire. L’e-mail de Google est authentique, mais il contient un commentaire intégré. Ce commentaire contient généralement des liens malveillants qui, s’ils sont cliqués, amènent l’employé sur un site web malveillant.

Google a récemment mis à jour les commentaires afin que les internautes puissent voir qui les a laissés. Cependant, les escrocs mettent constamment à jour leurs tactiques, et une nouvelle escroquerie GSuite pourrait bientôt voir le jour.

Comment éviter les escroqueries liées aux commentaires de GSuite (et autres)

Des courriels de phishing habilement déguisés peuvent se greffer sur des courriels légitimes et des services similaires, comme c’est le cas de l’arnaque aux commentaires de GSuite. Ces escroqueries sophistiquées font qu’il est difficile pour les employés de reconnaître une escroquerie.

La formation à la sensibilisation à la sécurité doit refléter les politiques de l’entreprise, notamment en ce qui concerne l’utilisation de référentiels de documents basés sur le cloud et les personnes autorisées ou non à collaborer à la documentation de l’entreprise. Lorsque vous organisez une formation à la sécurité, assurez-vous que vous disposez des informations les plus récentes sur les escroqueries et que le contenu reflète les escroqueries les plus récentes.

Utilisez la formation à la sensibilisation à la sécurité et une plateforme de simulation d’hameçonnage qui fournit un excellent support pour l’élaboration de programmes de formation basés sur les rôles et qui offrent des langues multiples et un support d’accessibilité.

Il est également essentiel de reconnaître que les fraudeurs changent régulièrement de tactique pour éviter d’être détectés. C’est pourquoi il est essentiel d’organiser régulièrement des formations de sensibilisation à la sécurité tout au long de l’année.

Risque de ransomware