Le guide ultime de l'hameçonnage

Qu'est-ce que l'hameçonnage ?

Dans le monde de plus en plus numérique d’aujourd’hui, une grande partie de nos activités, qu’il s’agisse d’affaires ou de loisirs, s’effectue en ligne. Cette augmentation de l’activité en ligne a entraîné une explosion de la cybercriminalité.

La cybercriminalité est devenue un outil puissant pour les criminels qui cherchent à voler nos données personnelles et à extorquer de l’argent. La vitesse, l’anonymat et la commodité de l’internet ont permis aux criminels de lancer des attaques très ciblées avec très peu d’efforts.

Selon un récent rapport de la société de cybersécurité Norton, les cybercriminels ont volé un total de 130 milliards de livres sterling aux consommateurs en 2017, dont 4,6 milliards de livres sterling aux internautes britanniques.

L’hameçonnage est la plus réussie et la plus dangereuse de toutes les cyber-attaques. Des recherches ont montré que 91 % des cyberattaques commencent par un courriel d’hameçonnage.

Le phishing reste la forme la plus courante de cyber-attaque en raison de sa simplicité, de son efficacité et de son fort retour sur investissement. Il a évolué depuis ses débuts où l’on trompait les gens avec des escroqueries au prince nigérian et des demandes de traitement médical d’urgence. Les attaques de phishing qui ont lieu aujourd’hui sont sophistiquées, ciblées et de plus en plus difficiles à repérer.

Types d'attaques par hameçonnage

Les attaques par hameçonnage se présentent sous différentes formes, mais le point commun entre toutes est l’exploitation du comportement humain. Les exemples suivants sont les formes d’attaques les plus courantes.

Le Spear - Phishing est une tentative plus ciblée de vol d'informations sensibles et se concentre généralement sur une personne ou une organisation spécifique. Ces types d'attaques utilisent des informations personnelles propres à l'individu afin de paraître légitimes. Les cybercriminels se tournent souvent vers les médias sociaux et les sites web des entreprises pour rechercher leurs victimes. Une fois qu'ils ont mieux compris leur cible, ils commencent à envoyer des courriels personnalisés contenant des liens qui, une fois cliqués, infectent l'ordinateur avec des logiciels malveillants.

Le vishing désigne les escroqueries par hameçonnage qui ont lieu par téléphone. De toutes les attaques par hameçonnage, c'est celle qui présente le plus d'interaction humaine, mais elle suit le même schéma de tromperie. Les fraudeurs créent souvent un sentiment d'urgence pour convaincre la victime de divulguer des informations sensibles. L'appel est souvent effectué par le biais d'un identifiant usurpé, de sorte qu'il semble provenir d'une source digne de confiance. Dans un scénario typique, l'escroc se fait passer pour un employé de banque afin de signaler un comportement suspect sur un compte. Une fois qu'il a gagné la confiance de la victime, il lui demande des informations personnelles telles que les identifiants, les mots de passe et le code PIN. Ces informations peuvent ensuite être utilisées pour vider des comptes bancaires ou commettre une usurpation d'identité.

Ce qui distingue cette catégorie d'hameçonnage des autres, c'est le choix d'une cible de haut niveau. Une attaque de type "whaling" est une tentative de vol d'informations sensibles et vise souvent les cadres supérieurs. Les courriels d'hameçonnage sont beaucoup plus sophistiqués que les courriels d'hameçonnage ordinaires et beaucoup plus difficiles à repérer. Ils contiennent souvent des informations personnalisées sur la cible ou l'organisation, et le langage utilisé est plus corporate. L'élaboration de ces courriels demande beaucoup plus d'efforts et de réflexion, car les cybercriminels en tirent un grand profit.

Le smishing est un type d'hameçonnage qui utilise des messages SMS plutôt que des courriels pour cibler les individus. Il s'agit d'un autre moyen efficace pour les cybercriminels d'inciter les individus à divulguer des informations personnelles telles que les détails d'un compte, d'une carte de crédit ou des noms d'utilisateur et des mots de passe. Cette méthode implique que le fraudeur envoie un message texte au numéro de téléphone d'une personne et inclut généralement un appel à l'action qui nécessite une réponse immédiate.

L'hameçonnage par clonage consiste à utiliser un courriel légitime et déjà envoyé pour créer un courriel identique au contenu malveillant. L'e-mail cloné semble provenir de l'expéditeur original, mais il s'agit d'une version mise à jour qui contient des liens ou des pièces jointes malveillants.

Comment le phishing peut nuire à votre entreprise

Les attaques contre les entreprises ont presque doublé au cours des cinq dernières années et les dommages causés à une entreprise par une attaque de phishing peuvent être dévastateurs. Au fil des ans, les entreprises ont perdu des milliards à la suite d'attaques de phishing. Microsoft estime que le coût potentiel de la cybercriminalité pour la communauté mondiale est de 500 milliards et qu'une violation de données coûtera en moyenne 3,8 millions à une entreprise. Malgré la mise en place des technologies de sécurité et de défense les plus solides, les cybercriminels exploitent souvent le maillon le plus faible des défenses d'une entreprise, à savoir ses employés. Une seule erreur humaine peut entraîner une perte massive de données sensibles. Une étude de Cisco a révélé que 22 % des organisations ayant subi une violation ont perdu des clients immédiatement après l'attaque, ce qui montre à quel point les consommateurs prennent au sérieux la sécurité de leurs données.

Vol d'identité

Vol de données sensibles

Vol d'informations sur les clients

Perte des noms d'utilisateur et des mots de passe

Perte de propriété intellectuelle

Vol de fonds sur des comptes d'entreprises et de clients

Atteinte à la réputation

Transactions non autorisées

Fraude à la carte de crédit

Installation de logiciels malveillants et de logiciels rançonneurs

Accès aux systèmes pour lancer de futures attaques

Données vendues à des tiers criminels

Conseils pour repérer les attaques d'hameçonnage

Identifier un courriel de phishing est devenu beaucoup plus difficile qu’auparavant, car les criminels ont affiné leurs compétences et sont devenus plus sophistiqués dans leurs méthodes d’attaque. Les courriels de phishing que nous recevons dans notre boîte de réception sont de plus en plus bien rédigés, personnalisés, contiennent les logos et le langage de marques que nous connaissons et auxquelles nous faisons confiance et sont conçus de telle manière qu’il est difficile de faire la distinction entre un courriel officiel et un courriel douteux rédigé par un escroc.

McAfee estime que 97 % des personnes dans le monde sont incapables d’identifier un courriel de phishing sophistiqué, de sorte que les cybercriminels réussissent encore à inciter les gens à donner des informations personnelles ou à télécharger des logiciels malveillants. Malgré la sophistication croissante et la nature convaincante de ces courriels, il existe encore quelques signes qui peuvent nous alerter de la présence d’un courriel d’hameçonnage.

Conseils pour repérer les attaques d'hameçonnage

Une URL non concordante

L’une des premières choses à vérifier dans un courriel suspect est la validité de l’URL. Si vous passez votre souris sur le lien sans cliquer, vous devriez voir apparaître l’adresse complète de l’hyperlien. Même s’il semble parfaitement légitime, si l’URL ne correspond pas à l’adresse affichée, cela indique que le message est frauduleux et qu’il s’agit probablement d’un courriel d’hameçonnage.

Le courriel demande des informations personnelles

Une entreprise de bonne réputation n’enverra jamais d’e-mail à ses clients pour leur demander des informations personnelles telles qu’un numéro de compte, un mot de passe, un code PIN ou des questions de sécurité. Si vous recevez un courriel vous demandant ces informations, il s’agit probablement d’un courriel d’hameçonnage et vous devez le supprimer immédiatement.

Mauvaise orthographe et grammaire

Les cybercriminels ne sont pas réputés pour la qualité de leur orthographe et de leur grammaire. Lorsque des entreprises légitimes envoient des courriels à leurs clients, ils sont souvent relus par des rédacteurs pour s’assurer que l’orthographe et la grammaire sont correctes. Si vous remarquez des fautes d’orthographe ou de grammaire dans un courriel, il est peu probable qu’il provienne d’une organisation officielle et pourrait indiquer la présence d’un courriel d’hameçonnage.

L'utilisation d'un langage menaçant ou urgent

Une tactique courante du phishing consiste à susciter un sentiment de peur ou d’urgence pour pousser quelqu’un à cliquer sur un lien. Les cybercriminels utilisent souvent des menaces indiquant que votre sécurité a été compromise et qu’une action urgente est nécessaire pour remédier à la situation. Méfiez-vous des lignes d’objet qui prétendent que votre compte a fait l’objet d’une « tentative de connexion non autorisée » ou que votre « compte a été suspendu ». Si vous n’êtes pas sûr de la légitimité de la demande, contactez directement l’entreprise via son site web officiel ou son numéro de téléphone officiel.

Correspondance inattendue

Si vous recevez un courriel vous informant que vous avez gagné un concours auquel vous n’avez pas participé, ou vous demandant de cliquer sur un lien pour recevoir un prix, il est fort probable qu’il s’agisse d’un courriel d’hameçonnage. Si une offre semble trop belle pour être vraie, c’est généralement le cas !

Comment vous protéger contre les attaques de phishing

1. Ne cliquez jamais sur des liens suspects

Le type le plus courant d’escroquerie par hameçonnage consiste à inciter les gens à ouvrir des courriels ou à cliquer sur un lien qui semble provenir d’une entreprise légitime ou d’une source fiable.

En créant un sentiment d’urgence, les utilisateurs sont incités à cliquer sur un lien ou à ouvrir une pièce jointe. Le lien peut vous diriger vers un faux site web où vous êtes invité à saisir vos données personnelles ou vers un site web qui infecte directement votre ordinateur avec un ransomware.

Les entreprises légitimes n’enverront jamais de courriels vous demandant de cliquer sur un lien pour saisir ou mettre à jour des données personnelles.

Tests de simulation d’hameçonnage pour les employés

2. Former le personnel

Les entreprises ont beau avoir mis en place les systèmes de défense les plus puissants, elles ne sont guère protégées si les cybercriminels parviennent à contourner ces défenses technologiques traditionnelles et à entrer directement en contact avec un employé pour l’amener à divulguer des informations sensibles.

Plus de 90 % des cyberattaques réussies sont le résultat d’informations fournies à leur insu par des employés. Les réseaux étant de plus en plus difficiles à pénétrer, les pirates informatiques ciblent de plus en plus ce qu’ils considèrent comme le maillon faible des défenses d’une entreprise : ses employés !

Alors que les pirates informatiques perfectionnent leurs techniques et ciblent de plus en plus leurs attaques, il est important d’informer le personnel et de lui proposer des formations régulières sur ce qu’il doit surveiller et sur la manière dont il peut jouer son rôle dans la prévention d’une cyber-attaque.

Ne laissez pas votre personnel mordre à l’hameçon !

MetaPhish a été spécialement conçu pour protéger les entreprises contre les attaques de phishing et de ransomware et constitue la première ligne de défense dans la lutte contre la cybercriminalité. Si vous souhaitez obtenir plus d’informations sur la manière dont ce logiciel peut être utilisé pour protéger et éduquer votre personnel, n’hésitez pas à nous contacter.

Phishing et Ransomware

3. Faites attention à ce que vous publiez en ligne

L’internet et les médias sociaux ont transformé la façon dont nous communiquons les uns avec les autres au quotidien. Toutefois, cette culture du partage a fourni aux cybercriminels un moyen facile d’établir le profil de victimes potentielles, en veillant à ce que leurs tentatives d’hameçonnage soient plus ciblées et plus difficiles à repérer.

Les pirates se tournent vers les sites de médias sociaux pour accéder à des informations personnelles telles que l’âge, la fonction, l’adresse électronique, la localisation et l’activité sociale. L’accès à ces données personnelles fournit aux pirates suffisamment d’informations pour lancer une attaque de phishing hautement ciblée et personnalisée.

Pour réduire le risque de tomber dans le piège d’un courriel d’hameçonnage, réfléchissez plus attentivement à ce que vous publiez en ligne, profitez des options de confidentialité améliorées, limitez l’accès aux personnes que vous ne connaissez pas et créez des mots de passe forts pour tous vos comptes de médias sociaux.

Lisez notre guide pour vous protéger des pirates informatiques

4. Vérifier la sécurité d’un site

Avant de saisir des informations sur un site web, vous devez toujours vérifier qu’il est sûr et sécurisé. La meilleure façon de le faire est de regarder l’URL d’un site web. Si elle commence par « https » au lieu de « http », cela signifie que le site a été sécurisé à l’aide d’un certificat SSL (S pour secure). Les certificats SSL garantissent que toutes vos données sont sécurisées lorsqu’elles sont transmises de votre navigateur au serveur du site web. Une petite icône de cadenas devrait également apparaître près de la barre d’adresse, ce qui indique également que le site est sécurisé.

5. Installez un logiciel antivirus

Les logiciels antivirus constituent la première ligne de défense pour détecter les menaces sur votre ordinateur et empêcher les utilisateurs non autorisés d’y accéder. Il est également essentiel de veiller à ce que votre logiciel soit régulièrement mis à jour afin d’empêcher les pirates d’accéder à votre ordinateur par le biais de vulnérabilités dans les programmes anciens et obsolètes.

Protégez-vous des attaques de phishing