LE GUIDE ULTIME DU PHISHING

Ne laissez pas votre personnel prendre l'appât !

ugtp-hand

Dans le monde de plus en plus numérique d'aujourd'hui, une grande partie de nos activités, qu'il s'agisse d'affaires ou de loisirs, se déroulent en ligne. Cette augmentation de l'activité en ligne a entraîné une explosion massive de la cybercriminalité.

La cybercriminalité est devenue un outil puissant pour les criminels qui cherchent à voler nos données personnelles et à extorquer de l'argent. La vitesse, l'anonymat et la commodité d'Internet ont permis aux criminels de lancer des attaques très ciblées avec très peu d'efforts.

Selon un récent rapport de la société de cybersécurité Norton, les cybercriminels ont volé un total de 130 milliards de livres sterling aux consommateurs en 2017, dont 4,6 milliards de livres sterling aux internautes britanniques.

La plus réussie et la plus dangereuse de toutes les cyber-attaques est le phishing. Des recherches ont montré que 91 % de toutes les cyberattaques commencent par un courriel de phishing.

Le phishing reste la forme la plus courante de cyber-attaque en raison de sa simplicité, de son efficacité et de son retour sur investissement élevé. Il a évolué depuis ses premiers jours où il consistait à tromper les gens avec des arnaques au prince nigérian et des demandes de soins médicaux d'urgence. Les attaques de phishing qui ont lieu aujourd'hui sont sophistiquées, ciblées et de plus en plus difficiles à repérer.

Qu'est-ce que le phishing ?

Dans le monde de plus en plus numérique d'aujourd'hui, une grande partie de nos activités, qu'il s'agisse d'affaires ou de loisirs, se déroulent en ligne. Cette augmentation de l'activité en ligne a entraîné une explosion massive de la cybercriminalité.

La cybercriminalité est devenue un outil puissant pour les criminels qui cherchent à voler nos données personnelles et à extorquer de l'argent. La vitesse, l'anonymat et la commodité d'Internet ont permis aux criminels de lancer des attaques très ciblées avec très peu d'efforts.

Selon un récent rapport de la société de cybersécurité Norton, les cybercriminels ont volé un total de 130 milliards de livres sterling aux consommateurs en 2017, dont 4,6 milliards de livres sterling aux internautes britanniques.

La plus réussie et la plus dangereuse de toutes les cyber-attaques est le phishing. Des recherches ont montré que 91 % de toutes les cyberattaques commencent par un courriel de phishing.

Le phishing reste la forme la plus courante de cyber-attaque en raison de sa simplicité, de son efficacité et de son retour sur investissement élevé. Il a évolué depuis ses premiers jours où il consistait à tromper les gens avec des arnaques au prince nigérian et des demandes de soins médicaux d'urgence. Les attaques de phishing qui ont lieu aujourd'hui sont sophistiquées, ciblées et de plus en plus difficiles à repérer.

Le nombre impressionnant d'e-mails envoyés chaque jour dans le monde entier constitue une méthode d'attaque évidente pour les cybercriminels. Le groupe Radicati a estimé que 3,7 milliards de personnes envoient environ 269 milliards d'e-mails chaque jour.

Selon les chercheurs de Symantec, près d'un de ces e-mails sur 2 000 est un e-mail de phishing, ce qui signifie qu'environ 135 millions d'attaques de phishing sont tentées chaque jour.

Types d'attaques de phishing

Les attaques de phishing se présentent sous de nombreuses formes différentes, mais leur point commun est l'exploitation du comportement humain. Les exemples suivants sont les formes d'attaque les plus couramment utilisées.

Hameçonnage par harponnage

Le Spear - Phishing est une tentative plus ciblée de voler des informations sensibles et se concentre généralement sur une personne ou une organisation spécifique. Ces types d'attaques utilisent des informations personnelles propres à l'individu afin de paraître légitimes.

Les cybercriminels se tournent souvent vers les médias sociaux et les sites Web des entreprises pour rechercher leurs victimes. Une fois qu'ils connaissent mieux leur cible, ils commencent à envoyer des courriels personnalisés contenant des liens qui, une fois cliqués, infectent l'ordinateur avec des logiciels malveillants.

Vishing

Le vishing désigne les escroqueries par phishing qui ont lieu par téléphone. De toutes les attaques de phishing, c'est celle qui présente le plus d'interaction humaine, mais elle suit le même schéma de tromperie. Les fraudeurs créent souvent un sentiment d'urgence pour convaincre la victime de divulguer des informations sensibles.

L'appel est souvent effectué par le biais d'un identifiant usurpé, afin de donner l'impression qu'il provient d'une source digne de confiance. Dans un scénario typique, l'escroc se fait passer pour un employé de banque afin de signaler un comportement suspect sur un compte. Une fois qu'il a gagné la confiance de la victime, il lui demande des informations personnelles telles que ses identifiants, ses mots de passe et son code PIN. Ces informations peuvent ensuite être utilisées pour vider des comptes bancaires ou commettre une usurpation d'identité.

La chasse à la baleine

Ce qui distingue cette catégorie de phishing des autres est le choix de la cible à haut niveau. Une attaque de phishing est une tentative de vol d'informations sensibles et vise souvent les cadres supérieurs.

Les courriels de ce type sont beaucoup plus sophistiqués que les courriels de phishing habituels et beaucoup plus difficiles à repérer. Les courriels contiennent souvent des informations personnalisées sur la cible ou l'organisation, et le langage est plus corporate. Les cybercriminels consacrent beaucoup plus d'efforts et de réflexion à l'élaboration de ces courriels en raison du rendement élevé qu'ils en retirent.

Smishing

Le smishing est un type d'hameçonnage qui utilise des messages SMS plutôt que des e-mails pour cibler les individus. Il s'agit d'un autre moyen efficace pour les cybercriminels d'inciter les personnes à divulguer des informations personnelles telles que des détails sur un compte, des données de carte de crédit ou des noms d'utilisateur et des mots de passe. Cette méthode implique que le fraudeur envoie un message texte au numéro de téléphone d'une personne et comprend généralement un appel à l'action qui exige une réponse immédiate.

Clone Phishing

L'hameçonnage par clonage consiste à utiliser un e-mail légitime et précédemment délivré pour créer un e-mail identique avec un contenu malveillant. L'e-mail cloné semble provenir de l'expéditeur initial, mais il s'agit d'une version actualisée contenant des liens ou des pièces jointes malveillants.

Comment le phishing peut nuire à votre entreprise

Les attaques contre les entreprises ont presque doublé au cours des cinq dernières années et les dommages causés par une attaque de phishing à une entreprise peuvent être dévastateurs. Au fil des ans, les entreprises ont perdu des milliards de dollars à cause des attaques de phishing. Microsoft estime que le coût potentiel de la cybercriminalité pour la communauté mondiale s'élève à 500 milliards de dollars et qu'une violation de données coûtera à l'entreprise moyenne environ 3,8 millions de dollars.

Malgré la mise en place des technologies de sécurité et de défense les plus solides, les cybercriminels exploitent souvent le maillon le plus faible des défenses d'une entreprise, à savoir ses employés. Une seule erreur humaine peut entraîner une perte massive de données sensibles.

Une étude de Cisco a révélé que 22 % des organisations victimes de violations ont perdu des clients immédiatement après une attaque, ce qui montre à quel point les consommateurs prennent au sérieux la sécurité de leurs données.

Une attaque de phishing réussie peut entraîner :

vol d'identité

Vol d'identité

vol de données sensibles

Vol de données sensibles

vol d'informations sur les clients

Vol d'informations sur les clients

perte de noms d'utilisateur et de mots de passe

Perte des noms d'utilisateur et des mots de passe

perte-de-propreté-intellectuelle

Perte de la propriété intellectuelle

vol de fonds

Vol de fonds sur des comptes d'entreprises et de clients

atteinte à la réputation

Atteinte à la réputation

Transactions non autorisées

Transactions non autorisées

fraude à la carte de crédit

Fraude par carte de crédit

installation-de-malware-et-ransomware

Installation de logiciels malveillants et de logiciels rançonneurs

accès-à-des-systèmes-pour-lancer-des-attaques-futures

Accès aux systèmes pour lancer de futures attaques

data-sold-on-to-criminal third-parties

Données à des tiers criminels

Il est essentiel que les entreprises prennent des mesures pour s'assurer qu'elles font tout ce qu'elles peuvent pour éduquer leur personnel sur les dangers d'une attaque de phishing. La formation des employés sur la manière de reconnaître efficacement une tentative de phishing est essentielle pour atténuer le risque pour une organisation.

Pour plus d'informations sur la manière dont vous pouvez protéger votre entreprise contre les attaques de phishing, cliquez ici.

Pour plus d'informations

sur la façon dont vous pouvez protéger votre entreprise contre les attaques de phishing.

Principaux conseils pour repérer les attaques de phishing

Identifier un e-mail de phishing est devenu beaucoup plus difficile qu'auparavant, car les criminels ont affiné leurs compétences et sont devenus plus sophistiqués dans leurs méthodes d'attaque. Les e-mails de phishing que nous recevons dans notre boîte de réception sont de plus en plus bien écrits, personnalisés, contiennent les logos et le langage de marques que nous connaissons et auxquelles nous faisons confiance, et sont rédigés de telle manière qu'il est difficile de faire la distinction entre un e-mail officiel et un e-mail douteux rédigé par un escroc.

McAfee estime que 97 % des personnes dans le monde sont incapables d'identifier un courriel de phishing sophistiqué. Les cybercriminels parviennent donc encore à inciter les gens à donner des informations personnelles ou à télécharger des logiciels malveillants. Malgré le caractère de plus en plus sophistiqué et convaincant de ces courriels, il existe toujours des signes révélateurs qui peuvent nous alerter de la présence d'un courriel de phishing.

repérage du hameçonnage

1. Une URL mal assortie

L'une des premières choses à vérifier dans un courriel suspect est la validité d'une URL. Si vous passez votre souris sur le lien sans cliquer dessus, vous devriez voir apparaître l'adresse complète de l'hyperlien. Même si elle semble parfaitement légitime, si l'URL ne correspond pas à l'adresse affichée, cela indique que le message est frauduleux et qu'il s'agit probablement d'un courriel de phishing.

2. L'e-mail demande des informations personnelles

Une entreprise réputée n'enverra jamais d'e-mail à ses clients pour leur demander des informations personnelles telles qu'un numéro de compte, un mot de passe, un code pin ou des questions de sécurité. Si vous recevez un e-mail demandant ces informations, il s'agit probablement d'un e-mail de phishing et vous devez le supprimer immédiatement.

3. Mauvaise orthographe et grammaire

Les cybercriminels ne sont pas réputés pour la qualité de leur orthographe et de leur grammaire. Lorsque des entreprises légitimes envoient des courriels à leurs clients, ils sont souvent vérifiés par des rédacteurs afin de s'assurer que l'orthographe et la grammaire sont correctes. Si vous repérez des fautes d'orthographe ou de grammaire dans un courriel, il est peu probable qu'il provienne d'une organisation officielle et pourrait indiquer la présence d'un courriel de phishing.

4. L'utilisation d'un langage menaçant ou urgent

Une tactique courante de phishing consiste à susciter un sentiment de peur ou d'urgence pour pousser quelqu'un à cliquer sur un lien. Les cybercriminels utilisent souvent des menaces selon lesquelles votre sécurité a été compromise et qu'une action urgente est nécessaire pour remédier à la situation. Méfiez-vous des lignes d'objet qui prétendent que votre compte a fait l'objet d'une "tentative de connexion non autorisée" ou que votre "compte a été suspendu". Si vous n'êtes pas certain que la demande est légitime, contactez directement l'entreprise via son site web officiel ou son numéro de téléphone officiel.

5. Correspondance inattendue

Si vous recevez un courriel vous informant que vous avez gagné un concours auquel vous n'avez pas participé, ou vous demandant de cliquer sur un lien pour recevoir un prix, il s'agit très probablement d'un courriel de phishing. Si une offre semble trop belle pour être vraie, elle l'est généralement !

Comment se protéger contre les attaques de phishing

1. Ne cliquez jamais sur des liens suspects

Le type le plus courant d'escroquerie par hameçonnage consiste à inciter les gens à ouvrir des courriels ou à cliquer sur un lien qui semble provenir d'une entreprise légitime ou d'une source réputée.

En créant un sentiment d'urgence, les utilisateurs sont incités à cliquer sur un lien ou à ouvrir une pièce jointe. Le lien peut vous diriger vers un faux site web où vous êtes invité à saisir vos données personnelles ou vous conduire vers un site web qui infecte directement votre ordinateur avec un ransomware.

Les entreprises légitimes n'enverront jamais d'e-mails vous demandant de cliquer sur un lien pour saisir ou mettre à jour des données personnelles.

2. Former le personnel

Les entreprises ont beau avoir mis en place les systèmes de sécurité les plus solides, elles ne sont guère protégées si les cybercriminels parviennent à contourner ces défenses technologiques traditionnelles et à atteindre directement un employé pour le pousser à divulguer des informations sensibles.

Plus de 90 % des cyberattaques réussies sont le résultat d'informations fournies à leur insu par des employés. Les réseaux étant de plus en plus difficiles à pénétrer, les pirates ciblent de plus en plus ce qu'ils perçoivent comme le maillon faible des défenses d'une entreprise : ses employés !

Comme les pirates affinent leurs techniques et ciblent de plus en plus leurs attaques, il est important d'éduquer le personnel et de lui fournir une formation régulière sur ce qu'il doit surveiller et comment il peut jouer son rôle dans la prévention d'une cyber-attaque.

Ne laissez pas votre personnel mordre à l'hameçon !

MetaPhish a été spécialement conçu pour protéger les entreprises contre les attaques de phishing et de ransomware et constitue la première ligne de défense dans la lutte contre la cybercriminalité. Si vous souhaitez obtenir plus d'informations sur la manière dont ce produit peut être utilisé pour protéger et éduquer votre personnel.

3. Faites attention à ce que vous publiez en ligne

L'internet et les médias sociaux ont transformé la façon dont nous communiquons les uns avec les autres au quotidien. Toutefois, cette culture du partage a fourni aux cybercriminels un moyen facile de profiler les victimes potentielles, ce qui rend leurs tentatives de hameçonnage plus ciblées et plus difficiles à repérer.

Les pirates se tournent vers les sites de médias sociaux pour accéder à des informations personnelles telles que l'âge, la fonction, l'adresse électronique, la localisation et l'activité sociale. L'accès à ces données personnelles fournit aux pirates suffisamment d'informations pour lancer une attaque de phishing très ciblée et personnalisée.

Pour réduire les risques de tomber dans le piège d'un courriel d'hameçonnage, réfléchissez plus attentivement à ce que vous publiez en ligne, profitez des options de confidentialité améliorées, limitez l'accès aux personnes que vous ne connaissez pas et créez des mots de passe forts pour tous vos comptes de médias sociaux.

Lisez notre guide pour vous protéger des pirates informatiques

Pour réduire les risques de tomber dans le piège d'un courriel d'hameçonnage, réfléchissez plus attentivement à ce que vous publiez en ligne, profitez des options de confidentialité améliorées, limitez l'accès aux personnes que vous ne connaissez pas et créez des mots de passe forts pour tous vos comptes de médias sociaux.

4. Vérifier la sécurité d'un site

Avant de saisir des informations sur un site web, vous devez toujours vérifier qu'il est sûr et sécurisé. La meilleure façon de le faire est de regarder l'URL d'un site web. Si elle commence par "https" au lieu de "http", cela signifie que le site a été sécurisé par un certificat SSL (S pour secure). Les certificats SSL garantissent que toutes vos données sont sécurisées lorsqu'elles sont transmises de votre navigateur au serveur du site web. Il devrait également y avoir une petite icône de cadenas près de la barre d'adresse, ce qui indique également que le site est sécurisé.

5. Installer un logiciel anti-virus

Les logiciels antivirus constituent la première ligne de défense pour détecter les menaces sur votre ordinateur et empêcher les utilisateurs non autorisés d'y accéder. Il est également essentiel de veiller à ce que votre logiciel soit régulièrement mis à jour afin d'empêcher les pirates d'accéder à votre ordinateur par le biais des vulnérabilités des programmes plus anciens et obsolètes.

Télécharger la confirmation

Les informations personnelles que vous nous fournissez dans ce formulaire seront uniquement utilisées par MetaCompliance (en tant que responsable du traitement des données) dans les buts spécifiquement définis ci-dessous :

  • vous envoyer par courrier électronique le contenu que vous nous avez demandé
  • avec votre consentement, vous envoyer occasionnellement par courrier électronique des informations ciblées sur nos offres de services
  • honorer en permanence toute demande de retrait que vous soumettrez à l'avenir
  • nous conformer à l'une de nos obligations légales et/ou réglementaires