Carly Franks, Senior IT Security Risk & Compliance Analyst chez Mitratech, a d'autres bons conseils à donner sur le sujet du phishing, afin que vos employés puissent faire échec aux fraudeurs qui cherchent à s'emparer de données personnelles.
L'homme sur l'image ci-dessus vient de se rendre compte qu'il y avait quelque chose de pas très net dans le courriel qu'il vient d'ouvrir, censé provenir de son propre PDG, de son directeur financier ou de quelqu'un d'autre prétendant être un correspondant digne de confiance. Pendant la pandémie, ces malfaiteurs ont eu moins de honte que jamais et ont augmenté la fréquence et l'ingéniosité de leurs attaques.
Le dictionnaire anglais Oxford définit le phishing...
nom ; pratique frauduleuse consistant à envoyer des courriels censés provenir d'entreprises réputées afin d'inciter les individus à révéler des informations personnelles, telles que des mots de passe et des numéros de carte de crédit ; "un courriel qui est probablement une escroquerie par hameçonnage".
Il existe trop de sous-espèces différentes de phishing pour qu'on s'y attarde ici. C'est à cela que sert Wikipédia ou une conversation sérieuse avec un responsable de la conformité ou un administrateur de messagerie. Nous aimerions nous concentrer sur la manière de repérer une attaque de phishing et sur les mesures qu'un employé doit prendre pour vérifier l'authenticité d'un courriel suspect.
Carly a un exemple formidable à partager : Une tentative d'hameçonnage a été menée en utilisant le nom de notre propre PDG chez Mitratech, Mike Williams, comme appât.
Se méfier des noms "familiers
Dans ce cas, Carly met en évidence les indicateurs d'hameçonnage de quelques-uns des courriels censés provenir de Mike Williams. Remarquez dans les deux exemples ci-dessous que l'e-mail de l'expéditeur est la première indication claire qu'il ne s'agit pas d'un e-mail de Mike.
Pour rappel, voici cinq clés pour reconnaître et se protéger des courriels de phishing :
1 - Vérifiez l'adresse électronique réelle de l'expéditeur, et pas seulement le nom affiché, ainsi que l'heure à laquelle l'e-mail a été envoyé. Assurez-vous que l'adresse électronique est bien celle de l'expéditeur et que l'heure correspond à son comportement. Si vous recevez un courriel à 1h30 du matin d'un expéditeur qui ne travaille jamais en dehors des heures normales, méfiez-vous.
2 - Être conscient des fautes d'orthographe et de grammaire. Comprendre qu'il existe une différence entre les barrières linguistiques et les fautes d'orthographe et de grammaire. Ne pas ne pas ne pas rejeter un message parce que l'anglais n'est pas la langue maternelle de l'expéditeur. Mais si votre expéditeur n'a pas tendance à faire des erreurs, c'est votre premier signal d'alarme. Il peut s'agir de
- Utilisation de la ponctuation ou absence de ponctuation. L'expéditeur utilise-t-il généralement une ponctuation correcte ?
- Absence d'utilisation correcte de l'affaire.
- Mots mal orthographiés. L'expéditeur a-t-il l'habitude de mal orthographier les mots courants ? L'orthographe des mots correspond-elle à la langue de l'expéditeur ?
Vous trouverez ci-dessous un exemple d'e-mail de phishing qui prétend provenir de Microsoft Skype, mais qui présente quelques indices révélateurs d'un faux.
3 - N'ouvrez ou ne téléchargez jamais une pièce jointe inconnue. Si vous n' attendez pas un courriel, et encore moins une pièce jointe, supposez qu'il s'agit d'un courriel d'hameçonnage jusqu'à ce que vous l'ayez vérifié auprès de l'expéditeur.
4 - Ne jamais cliquer sur les liens contenus dans les courriels. Nous recevons tous, au sein des entreprises, des courriels internes contenant des liens vers des ressources internes ; cependant, prenez l'habitude de ne jamais cliquer sur les liens. Au lieu de cela, faites un clic droit sur le lien (courriel, option de désabonnement, lien hypertexte, etc.), sélectionnez copier (copier l'adresse du courriel, copier l'adresse du lien, etc.), puis collez dans le champ approprié (nouveau courriel, navigateur web, etc.). Vous éviterez ainsi d'être redirigé vers un site malveillant et de compromettre votre nom d'utilisateur et votre mot de passe ou des informations sensibles.
5 - Soyez attentif à l'urgence. Si vous recevez un courriel qui nécessite une action urgente, arrêtez-vous ! Évaluez-le, recherchez les éléments mentionnés ci-dessus, déterminez si l'urgence est justifiée, puis prenez les mesures qui s'imposent. L'urgence est l'une des principales méthodes utilisées pour amener le destinataire à baisser sa garde. Souvent, le moment choisi pour envoyer un courriel de phishing (par exemple, en fin d'après-midi) et l'urgence qu'il requiert sont des signaux d'alarme importants.
Comment vérifier un courriel ?
Ne jamais vérifier la légitimité d'un courriel ou de son contenu en répondant à l'expéditeur initial. Ne vérifiez pas non plus en utilisant les informations de contact fournies dans le courriel. Procédez plutôt comme suit :
- Appelez l'expéditeur pour vérifier l'e-mail et son contenu.
- Envoyez un autre courriel à l'adresse électronique connue de l'expéditeur pour vérifier la légitimité du courriel suspect avant d'y donner suite.
- Si l'expéditeur est un collègue et qu'il utilise un outil de discussion commun comme Slack ou Teams, envoyez-lui un message à l'aide de cet outil pour vérifier qu'il vous a bien envoyé le courriel.
Comme l'indique l'acronyme, il convient d' examiner le message jusqu'à ce que vous soyez sûr qu'il est digne de confiance. Arrêtez-vous, identifiez si l'un des indicateurs d'hameçonnage est présent et agissez en vérifiant l'e-mail et en supprimant tous ceux qui ne sont pas légitimes.
Autres mesures à retenir ?
- Si vous pensez avoir été piégé par un courriel d'hameçonnage, veillez à le signaler immédiatement à votre équipe informatique et/ou de sécurité des données.
- Vous n'êtes pas sûr qu'il s'agisse d'une attaque de phishing ? Vérifiez auprès de ces équipes. Il se peut également que votre entreprise dispose d'un guide ou d'un canal où vous pouvez obtenir des informations, y compris des mises à jour sur les escroqueries les plus récentes.
De nos jours, on ne peut malheureusement jamais être trop prudent. Ou, comme nous le dit Carly Franks,
