5 courriels d'hameçonnage courants

L’hameçonnage, qu’il soit effectué par courrier électronique, par message texte (SMShing), par les médias sociaux ou par appel téléphonique (Vishing), est désormais une menace quotidienne pour les organisations. Parmi toutes les formes, les courriels d’hameçonnage restent le type de cyberattaque le plus courant et le plus préjudiciable.

Pour réduire les cyberrisques, il est essentiel de comprendre les tactiques utilisées dans les courriels d’hameçonnage et de former les employés à reconnaître les menaces.

Qu’est-ce qu’un courriel d’hameçonnage ?

Les courriels de phishing sont des messages frauduleux envoyés par des cybercriminels qui se font passer pour des organisations légitimes. Leur objectif est d’inciter les destinataires à révéler des informations sensibles, à cliquer sur des liens malveillants ou à télécharger des logiciels malveillants.

Au premier trimestre 2025, le rapport APWG Phishing Activity Trends Report a enregistré plus d’un million d’attaques de phishing, soit le total trimestriel le plus élevé depuis la fin de l’année 2023. Les attaquants utilisent de plus en plus les codes QR dans les courriels pour rediriger les victimes vers des sites d’hameçonnage.

Secteurs les plus ciblés :

• Attaques dans le secteur financier : 30,9 % (y compris les paiements, les opérations bancaires et les crypto-monnaies).
• SaaS/Webmail (18%)
• Attaques BEC par virement bancaire : +33% par rapport au trimestre précédent

Vous trouverez ci-dessous les cinq escroqueries les plus courantes et des stratégies pratiques pour les éviter.

1. Escroquerie à la fausse facture

Les fraudeurs envoient souvent des courriels contenant de fausses factures, dans l’espoir que les employés les paient ou fournissent des informations sensibles.

Voici quelques exemples de fausses factures :

• Facturation des produits antivirus ou de sécurité
• Factures en souffrance de faux fournisseurs
• Notifications d’expiration de domaine avertissant de la suspension du service
• Factures d’organismes de bienfaisance ou de collecte de fonds proposant des placements publicitaires
• Attaques sophistiquées de type BEC (Business Email Compromise)

Comment éviter les escroqueries aux fausses factures :

• Utilisez des simulations de phishing basées sur les rôles pour le personnel des finances ou de la comptabilité.
• Formez vos employés à reconnaître les termes urgents et menaçants dans les factures.
• Adaptez les campagnes pour qu’elles reflètent les défis réels auxquels sont confrontés les départements.

2. Faux courriels d’assistance technique

Les escrocs se font souvent passer pour un service d’assistance technique interne afin de créer un sentiment d’urgence et de manipuler le comportement. Ces courriels peuvent exiger une connexion ou une conformité immédiate pour accéder à des informations personnelles ou aux systèmes de l’entreprise.

Comment éviter les faux courriels d’assistance technique :

• Mettre en place une formation générale de sensibilisation à la sécurité pour tous les employés.
• Sensibilisez le personnel aux tactiques de manipulation, y compris l’urgence et les menaces de sanctions disciplinaires.
• Utilisez des exercices de simulation d’hameçonnage qui imitent les communications internes des services.

3. Escroqueries fiscales

Les courriels d’hameçonnage liés aux impôts promettent souvent des remboursements, mais ils sont frauduleux. Le HMRC déclare qu’il n’enverra jamais de notifications par courriel concernant des remises ou des remboursements. Les escrocs reproduisent souvent la marque HMRC et envoient des liens vers de fausses pages de connexion, intégrant parfois des logiciels malveillants.

Comment éviter les escroqueries fiscales :

• Incluez les escroqueries fiscales dans les exercices de simulation d’hameçonnage destinés à l’ensemble du personnel.
• Concentrez-vous sur la formation complémentaire du personnel du département financier, en particulier pendant la saison des impôts.
• Veillez à ce que les employés sachent qu’ils ne doivent jamais cliquer sur les liens contenus dans les courriels fiscaux non sollicités.

4. Problème de compte de messagerie Phishing

Les cybercriminels usurpent fréquemment l’identité de Microsoft, Google, LinkedIn, DHL et FedEx pour envoyer des messages urgents invoquant des problèmes de compte. Ces courriels contiennent souvent des liens malveillants qui permettent de récupérer les identifiants de connexion.

Comment éviter les courriels d’hameçonnage liés à des problèmes de compte :

• Formez vos employés à se méfier des courriels de marque qui utilisent des tactiques d’urgence.
• Incorporez des exercices de simulation d’hameçonnage mettant en évidence l’usurpation d’identité de marques connues.
• Renforcez les procédures de vérification pour les messages inattendus liés au compte.

5. Escroqueries concernant Google Docs et GSuite

Les escrocs exploitent les plateformes de collaboration comme Google Docs. Un commentaire frauduleux utilisant la notation @ peut déclencher un véritable courriel de notification contenant un lien malveillant.

Comment éviter les escroqueries sur les commentaires de GSuite :

• Suivez une formation de sensibilisation à la sécurité qui couvre les outils de collaboration basés sur le cloud.
• Veillez à ce que les politiques précisent qui peut partager et commenter les documents de l’entreprise.
• Tenez votre personnel au courant des dernières informations sur le phishing et des exercices de simulation.

Principaux enseignements pour la prévention de l’hameçonnage

• Les attaques par hameçonnage sont de plus en plus sophistiquées et visent tous les employés.
• La formation basée sur les rôles et les exercices de simulation d’hameçonnage sont essentiels.
• Les programmes de sensibilisation continue à la sécurité réduisent les risques.
• Les employés doivent comprendre les tactiques de manipulation du comportement humain.
• La formation à la cybersécurité doit être mise à jour régulièrement pour tenir compte de l’évolution des escroqueries.

Les attaques de phishing évoluent constamment, rendant la sensibilisation des employés et la formation proactive plus importantes que jamais. Pour renforcer les défenses de votre organisation, explorez la plateforme de gestion des risques humains de MetaCompliance. Notre plateforme propose des formations de sensibilisation à la sécurité basées sur les rôles, des exercices de phishing simulés et des rapports en temps réel pour aider à réduire le risque humain au sein de votre organisation. Donnez à vos équipes les moyens de reconnaître les menaces, de protéger les données sensibles et de créer une culture de la vigilance en matière de cybersécurité.