Comme l'a révélé, plus tôt cette année, un rapport du groupe de travail anti-phishing (APWG) il y a eu une augmentation notable du nombre de campagnes de phishing. C'est un problème très répandu, qui représente un risque énorme pour les individus et les organisations (il y a eu par exemple plus d'attaques au premier trimestre 2016 que dans tout autre trimestre de l'histoire).
Inutile de dire que c'est quelque chose dont nous devons tous être conscients, car ces types d'attaques ne vont pas disparaître de sitôt. Mais ne vous inquiétez pas, ce top 5 vous aidera à tenir ces criminels à distance.
Avant d'aborder cette question, voici un bref aperçu de ce qu'est l’hameçonnage ou phishing (pour plus de détails, consultez cette rubrique d’opinion d'experts). En bref, il s’agit d’une technique de vol d’identité au cours de laquelle les cybercriminels tentent d'amener les utilisateurs à transmettre des informations personnelles et sensibles (sans qu'ils le sachent de manière consciente). Fait intéressant, l’hameçonnage - sous une forme ou une autre – existe en réalité depuis de nombreuses années sous la forme d'appels téléphoniques et de tentatives d’escroquerie par courrier.
Habituellement, les cybercriminels lancent leurs attaques de phishing après la fuite de données personnelles. Ce fut le cas avec les fuites de données des sociétés Anthem et eBay, où les criminels ont envoyé des alertes à leurs utilisateurs leur conseillant de changer leurs mots de passe (mais en les dirigeant vers un faux site Internet destiné à récolter leurs informations).
Selon certains experts en cybersécurité, le phishing serait considéré comme une méthode fiable (et facile) par les cybercriminels pour entrer dans le réseau d’une entreprise et lancer des attaques plus sophistiquées. Les salariés sont, après tout, de plus en plus perçus comme le maillon faible (les menaces internes sont un gros problème) et donc la cible la plus efficace pour les criminels qui cherchent à s'infiltrer dans une entreprise ou une PME.
Voici donc nos 5 conseils pour détecter et se protéger au mieux des tentatives d’hameçonnage.
1. Prudence est mère de sûreté
Vous pouvez réduire considérablement les risques d'être victime d’une tentative de phishing en étant attentif lors de votre navigation et la vérification de vos e-mails.
Tout d’abord, comme le conseille Bruce Burrell, chercheur en sécurité d'ESET, réfléchissez à deux fois avant de cliquer sur des liens, télécharger des fichiers ou ouvrir des pièces jointes dans des courriels (ou sur les médias sociaux), même si cela semble provenir d'une source fiable et connue.
Ne cliquez jamais sur des liens dans un courriel renvoyant vers un site Internet, sauf si vous êtes absolument sûr qu'il est authentique. En cas de doute, ouvrez une nouvelle fenêtre de navigateur et tapez l'URL dans la barre d'adresse.
Par ailleurs, méfiez-vous des e-mails demandant des informations confidentielles ou bancaires. Les organisations légitimes, dont votre banque, ne vous demanderont jamais de communiquer vos informations sensibles directement par courriel.
2. Attention aux liens raccourcis
Faîtes attention aux liens raccourcis, en particulier sur les médias sociaux. Les cybercriminels les utilisent souvent - à partir de Bitly et d'autres services de raccourcissement - pour vous faire croire que vous cliquez sur un lien légitime, alors qu'en réalité vous serez redirigé vers un faux site.
Survolez toujours le(s) lien(s) web présent(s) dans un e-mail avec votre souris. Vous pourrez ainsi vous assurer que le lien affiché dans le message correspond bien à celui vers lequel vous serez redirigé.
Les cybercriminels peuvent utiliser ces « faux » sites web pour voler vos données personnelles saisies, mais aussi pour mener une attaque par téléchargement intempestif de fichiers, infectant ainsi votre ordinateur avec des logiciels malveillants.
3. Cet e-mail semble suspect? Relisez-le!
La plupart des e-mails de phishing sont plutôt évidents à reconnaître. Ils sont ponctués de nombreuses fautes de frappe, de mots en majuscules et de points d'exclamation. Ils peuvent également contenir une salutation impersonnelle - pensez à ces salutations « Cher Client » ou « Cher Monsieur / Madame » - ou présenter un contenu peu plausible et généralement surprenant.
Par ailleurs, les cybercriminels commettent souvent des erreurs dans ces courriels... parfois même de manière intentionnelle pour passer au travers des filtres antispam, améliorer le taux de réponse et filtrer les destinataires « intelligents » qui ne tomberont pas dans le piège.
Une rumeur veut que la tristement célèbre Unité 61398 chinoise étudie spécifiquement les ouvertures et interactions d’utilisateurs avec leurs plus mauvais e-mails d’hameçonnage.
4. Méfiez-vous des injonctions et des urgences
Parfois, une entreprise tout à fait digne de confiance peut vous solliciter sur un sujet ou problème urgent. Par exemple, en 2014, eBay a demandé à ses clients de changer rapidement leur mot de passe après une fuite de données.
Cependant, il s’agit d’un cas exceptionnel. Habituellement, les menaces et ou les demandes urgentes - surtout si elles proviennent d’une entreprise aux apparences légitimes - sont un signe probable d’hameçonnage.
Certaines de ces menaces peuvent prendre la forme d’une amende ou vous conseiller de faire quelque chose pour empêcher la fermeture de votre compte. Ne cédez pas à la panique et contactez la société séparément via un canal connu et sécurisé.
5. Sécurisez votre navigation web grâce au HTTPs
Dans la mesure du possible, connectez-vous uniquement aux sites Web sécurisés (indiqués par https:// et une icône de verrouillage dans la barre d'adresse du navigateur), notamment lorsque vous communiquez des informations confidentielles en ligne, telles que les détails de carte de crédit.
N’utilisez jamais un réseau Wi-Fi public non sécurisé pour effectuer des opérations bancaires, faire des achats ou saisir des informations personnelles en ligne (la commodité ne doit pas l'emporter sur la sécurité). En cas de doute, utilisez de préférence la connexion 3 / 4G ou LTE de votre mobile.
À ce titre, il est désormais plus facile de repérer les sites Web dangereux et incertains - Google, par exemple, informe ses utilisateurs en signalant les sites qui n'offrent pas une protection appropriée.
NDLR
Cet article est une localisation d’un texte publié en version originale en 2016. Nous le partageons avec le lectorat de We Live Security… En français parce que son contenu demeure tout à fait d’actualité. Voici quelques articles publiés plus récemment au sujet de l’hameçonnage, à titre de complément d’informations :
- https://www.welivesecurity.com/2018/07/25/hook-line-sinker-avoid-looking-phish-y/
- https://www.welivesecurity.com/2018/06/14/phishing-anniversary-free-50-month-subscription/
- https://www.welivesecurity.com/fr/2018/05/09/arnaque-impot-sms-canada/
- https://www.welivesecurity.com/fr/2018/03/14/oceanlotus-vieux-trucs-backdoor/
- https://www.welivesecurity.com/fr/2018/07/26/apps-bancaires-google-play/
- https://www.welivesecurity.com/fr/2017/12/21/mise-jour-de-sednit-fancy-bear/