À l'occasion du Safer Internet Day, nous avons jugé utile de vous donner quelques conseils pour identifier les e-mails de phishing et vous protéger efficacement contre les pirates informatiques .
Combien de fois ouvrez-vous votre boite mail pour voir que votre banque (ou un autre organisme) vous a envoyé un e-mail, vous demandant de mettre à jour vos informations de paiement dès que possible. Tout ce que vous avez à faire est de cliquer sur un lien. Cela semble plutôt inoffensif, non ? Mais l'est-ce vraiment ?
Est-ce que vous cliquez simplement sur le lien les yeux fermés en pensant que le courriel provient d'une source fiable ? Demandez-vous conseil à quelqu'un ? Ou supprimez-vous immédiatement l'e-mail parce que vous avez repéré une tentative de phishing ? Nous avons constaté que la plupart des gens ne sont pas conscients des risques de sécurité tels que le phishing et cliquent quand même sur des liens à risque.
Les gens interagissent très différemment avec les e-mails. Il existe en fait pas moins de 9 types différents de "cliqueurs". Lequel êtes-vous ?
Reconnaissez-vous un "cliqueur" particulier parmi vos amis, votre famille ou vos collègues ? Partagez cet article avec lui ou elle, et sauvez-les de la prochaine arnaque de phishing.
Qu'est-ce que le phishing ?
Le phishing est une pratique frauduleuse qui consiste à envoyer des courriels déguisés en provenance d'une source fiable pour persuader des personnes de révéler des informations personnelles, comme des mots de passe ou des codes d'identification. Les pirates informatiques se professionnalisent de jour en jour et les courriels qu'ils créent peuvent être très convaincants. C'est pourquoi il devient de plus en plus difficile pour de nombreuses personnes de repérer si un e-mail est une tentative de phishing ou non. En outre, nous recevons quotidiennement de nombreux courriers électroniques et nous voulons les traiter le plus rapidement possible. Cela augmente le risque de tomber dans le piège du phishing. Si vous avez le moindre doute, détendez-vous et réfléchissez à deux fois avant de cliquer sur un lien.
Les différents types de phishing
Il existe de nombreux types de phishing. Ils varient en fonction de la cible et des moyens utilisés. Au final, l'objectif des personnes malveillantes sera toujours le même : voler vos données.
Spear phishing
Le spear phishing consiste à cibler une personne spécifique dans une organisation. Par exemple, l'administrateur informatique, pour essayer de voler ses identifiants de connexion ou de compromettre son appareil avec un logiciel malveillant. Dans ce cas, les attaquants s'en prennent méthodiquement à une seule personne. Ils recueillent en premier lieu des informations sur leur victime, telles que son nom, sa fonction et ses coordonnées. Le spear phishing demande plus de préparation et de temps pour réussir, car les attaquants veulent s'assurer que leurs e-mails ont l'air aussi légitimes que possible pour augmenter les chances de tromper leurs cibles. La nature hautement personnalisée des attaques de spear-phishing rend leur identification plus difficile.
Whaling
Le whaling est un type de phishing encore plus ciblé. Ces attaques visent généralement les CEO, les CFO ou d'autres responsables qui ont accès à des informations financières dans un secteur ou une entreprise donnée. Dans le cas d'une attaque de type "whaling", l'attaquant cherche à établir la confiance avec sa cible en se faisant passer pour un associé de la même entreprise, par exemple. Une fois la confiance établie, l'attaquant peut contraindre la victime à communiquer des informations sensibles ou lui demander de cliquer sur un lien qui installera un logiciel malveillant sur l'appareil de la victime.
Smishing
Le smishing utilise des SMS pour mener à bien l'attaque. Un SMS est envoyé à un téléphone mobile contenant un lien cliquable ou un numéro de téléphone à rappeler. Par exemple, un SMS de votre banque vous indiquant que votre compte a été compromis et que vous devez réagir immédiatement en donnant des informations sensibles. En règle générale, si un SMS tente de vous faire révéler des informations d'identification, de télécharger quelque chose ou d'envoyer de l'argent à quelqu'un, vous êtes probablement victime de phishing. Il existe de nombreux types de phishing : le phishing HTTPS, le phishing Evil twin, etc. Ils ont tous leurs propres caractéristiques, leurs cibles, leurs intermédiaires, etc. Il est donc important d'apprendre à connaître les différents types de menaces pour éviter de se faire piéger à l'avenir ? Vous voulez en savoir plus sur les différents types de phishing ? Jetez un oeil à ce site web
7 façons de reconnaître un e-mail de phishing ?
Il ne suffit plus de se fier à des courriels d'apparence douteuse comportant des fautes d'orthographe. Les pirates prennent maintenant le temps de rendre un message vraiment convaincant, même pour un œil averti. Ne vous inquiétez pas, en cas de doute, inspectez les éléments suivants dans votre courrier électronique et vous serez en sécurité.
L'expéditeur
Attendez-vous un e-mail de cette personne ? Vérifiez soigneusement l'adresse de l'expéditeur. Un courrier provenant de John.doe@google.accountverification.com ne provient probablement pas de Google.
Sens de l'urgence
Une technique classique de phishing consiste à vous dire que vous devez faire quelque chose de façon urgente : confirmez votre compte aujourd'hui, effectuez un paiement urgent avant la fin de la semaine. Ne vous laissez pas berner. Avez-vous vraiment reçu une première demande de paiement ? Connaissez-vous vraiment ce soi-disant "ami en difficulté" ?
Demande étrange
Les organismes officiels sont très sensibles aux questions de sécurité. Ils ne vous demanderont jamais d'envoyer votre mot de passe, vos coordonnées bancaires ou vos données personnelles par e-mail, SMS ou téléphone.
Lien suspect
Si vous êtes invité à cliquer sur un lien, survolez-le d'abord avec votre souris et voyez où il vous mène. Le nom de domaine, c'est-à-dire le mot avant .be, .com, .eu, .org et la première barre oblique "/", correspond-il vraiment au nom de l'organisation ? Par exemple, dans le lien www.easi.net/en/solutions/adfinity, le domaine est "easi". Dans le lien www.easi.itsolutions.be/blog, le domaine est "itsolutions" ; ce lien vous renvoie à un autre site web. De même, si vous recevez des e-mails étranges, ne vous contentez pas de cliquer sur "Unsubscribe". Vérifiez le lien pour voir où il vous mènera. C'est une ruse classique pour vous tromper.
Est-ce que cet e-mail vous est adressé personnellement ?
Si un courriel commence par "Cher Monsieur" ou "Au CEO de cette société", méfiez-vous ! Les escrocs envoient des milliers de courriels en espérant que quelqu'un cliquera sur un lien qu'ils contiennent. S'ils ne connaissent pas votre nom, il s'agit probablement d'un message malveillant ou frauduleux.
Comment puis-je protéger mon entreprise contre le phishing ?
Environ 3,7 millions de messages suspects ont été signalés au Center for Cybersecurity Belgium (CCB) en 2021. Cela représente environ 12 000 par jour. Vous imaginez ? Il n'y a pas que les particuliers, les entreprises sont également visées. Même si nombre d'entre elles peuvent penser avoir atteint un niveau de sécurité suffisant pour prévenir les menaces. Par exemple, en faisant un audit de sécurité réalisé par un expert, en mettant en place des firewalls ou en protégeant leurs terminaux. Cependant, aussi utiles que soient ces mesures, le véritable niveau de sécurité d'une entreprise ne se mesure qu'à l'aune de son maillon le plus faible : les utilisateurs finaux. Former correctement vos employés et les sensibiliser à la sécurité est crucial pour prévenir tout risque de sécurité (piratage, vol de données, phishing).
awareness">Training your employees properly and making them aware of security is crucial to prevent any security risk (hacking, data theft, phishing)