Un vendredi soir, tard dans la soirée, vous recevez dans votre boîte de réception un message du PDG intitulé "Transfert urgent nécessaire dès que possible".
C'est un scénario avec lequel trop de gens sont de plus en plus familiers dans le monde numérique moderne. Malheureusement, la morsure des attaques de phishing se fait sentir dans tout le Royaume-Uni et dans le monde entier, 2016 ayant connu une augmentation massive de 65 %. Cela laisse de nombreuses organisations face à la pression croissante pour protéger et éduquer correctement leurs employés concernant ces menaces. Alors, qu'est-ce qu'un courriel de phishing ? Vous trouverez ci-dessous quelques conseils écrits du point de vue d'un hacker 'MataHacky's Guide' sur la façon de repérer le Phish et de mordre en retour !
#1 C'est bien de rester généralisé...mais si vous êtes un vrai pro Spear Phish !
Lorsque vous commencez et que vous ciblez plusieurs personnes en une seule fois, il est bon de garder un nom général, car nous ne cherchons qu'une seule personne à piquer. Par exemple, "Cher client" suffit pour commencer et sera souvent ignoré par un imbécile sans méfiance qui se déplace et mène une vie trépidante. Beaucoup d'entre eux ne se poseront même pas la question de savoir si l'e-mail est personnalisé ou si vous ne vous adressez pas à eux par leur nom. Il est toutefois important de noter qu'au fur et à mesure de la sensibilisation, de plus en plus de personnes commenceront à considérer cette généralisation comme un détecteur de menaces. Cela nous amène à l'endroit où l'on peut gagner de l'argent et où le jeu change de rythme : le spear phishing! En gros, vous cherchez à faire des recherches sur votre cible, à découvrir son nom, son lieu de travail et même le nom de son patron pour créer un hameçonnage personnalisé super convaincant !
#2 Créez un sentiment d'urgence !
C'est la clé. Vous devez inspirer la peur au public. Sans cela, ils risquent de regarder de plus près les autres défauts de votre e-mail, comme les fautes d'orthographe, et de devenir prudents. Comme un cheval qui sort du piège, vous devez vous y mettre tout de suite. Commencez par l'objet de l'e-mail "Urgent - activité suspecte sur votre compte X" est généralement un excellent moyen d'ouvrir et d'attirer leur attention. N'oubliez pas de maintenir ce niveau d'urgence tout au long de votre e-mail et vous serez gagnant. La panique est la clé d'un bon hameçonnage. Pensez à ce qui est le plus précieux, par exemple des détails qui causeront des pertes financières ou des problèmes de réputation, mettez-les en situation de danger et vous aurez certainement une touche.
#3 Attention à l'orthographe et à la grammaire
Il est vrai que si vous respectez les autres points que j'ai énumérés, vous pouvez vous permettre de faire quelques fautes d'orthographe ou de grammaire... Cependant, vous devez surveiller le nombre de fautes d'orthographe dans votre texte. Une ou deux passeront sans doute inaperçues, mais le spécialiste du repérage des hameçons ne sera pas dupe, alors essayez de les corriger autant que possible. Après tout, toute entreprise vraiment professionnelle ne fera pas de fautes d'orthographe dans les e-mails qu'elle envoie à ses clients.
D'un autre côté, les fautes d'orthographe vous aideront à créer la liste de pigeons parfaite. Je veux dire, s'ils tombent dans le piège d'un e-mail de phishing rempli de fautes d'orthographe, que pourraient-ils tomber d'autre ? Vous pourriez même partager les coordonnées de ces pigeons avec vos amis hackers afin qu'ils puissent également les cibler !
#4. Créez une fausse adresse électronique et des liens vraiment convaincants !
Pour vous assurer que ces imbéciles mordront à l'hameçon et cliqueront sur le lien que vous leur fournirez, vous devez vous assurer que l'adresse électronique à partir de laquelle vous opérez semble légitime. Un seul caractère s'écartant de la réalité suffit généralement à les tromper et à les inciter à cliquer sur le lien. Là encore, les gens n'ont pas le sens du détail et s'ils voient qu'un e-mail provient de "customerrservices@acme.com", beaucoup négligeront ces petites erreurs. Appliquez la même idée à vos liens ! Faites en sorte qu'ils aient l'air aussi vrais que possible et vous pouvez vous en sortir avec un petit caractère manquant ou ajouté ici ou là. L'usurpation d'identité est un art, alors si vous voulez devenir un maître, vous feriez mieux de vous entraîner !
N'oubliez pas que 91 % des attaques de phishing d'entreprise contiennent des usurpations de nom, que 30 % d'entre elles sont ouvertes et que 12 % des victimes cliquent sur le lien ou la pièce jointe. Bonne chance !
L'employé moyen est confronté à au moins un courriel à risque par jour, et le courriel devrait rester la principale méthode de ciblage pour la plupart des attaques jusqu'en 2020. Au cours des deux dernières années, les liens frauduleux envoyés à des comptes de messagerie professionnelle ont coûté plus de deux milliards de dollars aux entreprises, et 30 % des clients ont décidé d'aller voir ailleurs après une violation.
Pouvez-vous vous permettre que votre organisation ou même votre compte personnel soit victime de l'une de ces attaques ? Si la réponse est non, vous serez peut-être intéressé par notre cours eLearning Essential Phishing Awareness, qui explique comment identifier correctement un phishing et ce qu'il faut faire lorsque vous en repérez un. Ce cours peut également être complété par notre logiciel de simulation de phishing "MetaPhish" afin d'accroître la sensibilité de vos employés aux e-mails frauduleux.
Le plus grand risque de cybersécurité auquel votre entreprise est confrontée au quotidien est la complaisance des employés, et c'est maintenant qu'il faut y remédier. Contactez-nous dès aujourd'hui pour plus d'informations sur la manière dont vous pouvez protéger votre entreprise d'une attaque de phishing.
