Les e-mails de phishing, tout simplement, sont un aller simple pour accéder à votre organisation, que ce soit par le biais de vos lecteurs, de votre réseau ou de vos actifs d’information. 

La solution la plus simple ? Ne cliquez pas sur le lien !

Malheureusement, ce n’est pas si simple. Les cybercriminels sont intelligents et ils ciblent les individus en leur envoyant des courriels dont le contenu ne manquera pas d’attirer leur attention. Une fois qu’un employé s’intéresse au titre accrocheur ou au lien mystérieux, il est pris au piège. Les courriels de phishing sont également conçus pour apparaître comme des courriels ordinaires, tels qu’une facture d’un collègue, un contrat scanné ou même un courriel de votre équipe d’assistance informatique.

Ceux d’entre nous qui ont déjà été exposés ou même dupés par des courriels de phishing connaissent les signes avant-coureurs à surveiller et savent qu’il ne faut pas cliquer sur les liens. Malgré cela, il est extrêmement difficile de prédire comment vos employés réagiraient à un tel courriel. Les employés sont, le plus souvent, le maillon faible de l’organisation et il est important que vous compreniez comment ils réagiraient. Ils doivent savoir comment se défendre contre les attaques de phishing.

En utilisant un logiciel de simulation de phishing tel que MetaPhish, vous pouvez exposer votre personnel à des courriels de phishing fictifs ciblés. La fonction de rapport vous permet de voir en temps réel les employés qui ont cliqué sur le lien de phishing par rapport à ceux qui ont réagi de manière appropriée.

L’objectif de ce logiciel n’est pas seulement d’évaluer le nombre de vos employés qui cliqueraient sur le lien, mais aussi d’accroître leur sensibilité et leur connaissance de ces types de courriels. Plus votre personnel est exposé aux courriels de phishing, plus il est susceptible de détecter les signes avant-coureurs et de se rendre compte qu’il ne s’agit pas d’une communication authentique. En outre, pour ceux qui ne parviennent pas à repérer le hameçonnage, vous leur offrez la possibilité de travailler dans le cadre d’une expérience d’apprentissage afin de les sensibiliser aux risques associés à l’hameçonnage.

En impliquant votre personnel de cette manière, vous serez en mesure de mesurer votre niveau actuel d’exposition à une attaque par hameçonnage. Si un grand nombre d’employés cliquent sur les liens, vous savez que vous êtes très exposé. Combinez une attaque de phishing avec de l’ingénierie sociale et vous obtiendrez le pire cauchemar d’une entreprise.

Il est essentiel que votre personnel sache à quoi s’attendre dans un courriel d’hameçonnage.

Voici quelques-uns des signes précurseurs :

– Vague salutation

– Mauvaise grammaire ou ponctuation

– On s’adresse à vous en tant qu' »utilisateur » au lieu de vous appeler par votre nom.

– Liens » vers des documents à télécharger

– Objet sans rapport avec le corps du message ?

Ce sont là quelques-uns des signes les plus évidents, mais les cybercriminels sont intelligents et déterminés à vous prendre au piège. Le spear-phishing et le whaling sont des méthodes d’hameçonnage plus sophistiquées (pour en savoir plus sur ces types de menaces d’hameçonnage, cliquez ici) et ne sont pas aussi faciles à repérer, principalement parce que ces courriels ont été conçus spécialement pour vous et paraissent authentiques.

Dans ce cas, vous pouvez être attentif à ce qui suit :

– Les courriels signés par un collègue que vous connaissez mais qui ont été envoyés à partir d’un autre compte de messagerie.

– Pièces jointes suspectes au format zip

– Demande de versement d’une somme importante sur un compte

Les attaques de spear-phishing et de whaling ont été créées par un cybercriminel qui vous a surveillé sur les médias sociaux, peut-être sous l’apparence d’un collègue. Il vous aura ciblé en créant un faux profil de ce collègue ou, si vos profils de médias sociaux sont publics, il aura recueilli les informations de son propre chef.

Il suffit qu’une personne clique sur le lien, télécharge la pièce jointe ou paie cette énorme somme d’argent pour que le cybercriminel ait gagné. Vous lui avez donné accès à ce dont il a besoin, aux informations qu’il recherche, vous avez téléchargé un logiciel malveillant ou un rançongiciel et vous lui avez offert une forte récompense !

Investissez dans la formation de votre personnel sur l’hameçonnage afin qu’il sache à quoi s’attendre et quoi faire s’il pense avoir été victime d’une attaque. Si cela vous intéresse, demandez une démonstration de notre logiciel de simulation MetaPhish ou de notre module d’apprentissage en ligne Essential Phishing Awareness. Vous pouvez également nous contacter pour organiser une journée de sensibilisation du personnel à l’hameçonnage.