L’année 2020 a été une année record pour les attaques phishing. Le moteur de recherche Google a recensé pas moins de 18 millions d’attaques par jour (source : Google Transparency Report). Un chiffre effrayant témoignant de l’ampleur de cette cybermenace.
Le phishing, une cyberattaque populaire
Aujourd’hui, les pirates informatiques ne ciblent plus uniquement les vulnérabilités technologiques, ils s’attaquent également aux utilisateurs. Ils profitent de leur manque de vigilance et de connaissance en matière de sécurité informatique afin de leur extirper des informations qu’ils exploiteront ou revendront à prix d’or.
Pour atteindre leur cible, les hackers utilisent une méthode simple d’accès et peu coûteuse : le phishing, traduit en français par l’hameçonnage. Cette méthode consiste à leurrer une personne, via un message ou un appel en se faisant passer pour un tiers de confiance (organismes financiers, fournisseurs d’énergie, instituts gouvernementaux…). Par exemple, il peut s’agir d’un faux e-mail au nom de votre banque vous demandant vos codes connexions ou encore un faux SMS d’impôts.gouv vous incitant à cliquer sur un lien piégé.
Comment reconnaître une attaque phishing ?
Avec le temps, les tactiques des pirates informatiques sont devenues plus sophistiquées. Les nouvelles technologies ont permis une diversification des canaux d’attaque, notamment avec l’utilisation des SMS et des réseaux sociaux ainsi qu’une plus grande personnalisation des messages les rendant plus convaincants.
Couplées avec de redoutables techniques de manipulation, que l’on nomme ingénierie sociale, il est de plus en plus difficile de les détecter et d’y échapper. Les chiffres sont là pour témoigner ! D’après le rapport « State of Phish », plus de 57% des entreprises sont victimes d’une attaque phishing réussite en 2020.
Pour reconnaître une attaque phishing, voici quelques éléments qui pourront vous mettre la puce à l’oreille :
-
Donner un sentiment d’urgence :
Pour vous faire mordre à l’hameçon, les pirates ont tout intérêt de ne pas vous laisser le temps de réfléchir. Quel que soit le canal utilisé, e-mail, téléphone ou SMS, vous pourrez possiblement percevoir un caractère d’urgence dans leur message. Généralement, ils cherchent à conduire l’utilisateur à prendre une décision rapide et irrationnelle en lui faisant peur ou en suscitant un vif intérêt. Par exemple : « Votre compte sera clôturé sans action de votre part avant demain » ou encore « offre exceptionnelle, ne sera plus valable demain ! ».
-
Donner l’illusion d’un profit à réaliser :
Une autre technique de manipulation plébiscitée par les hackers est de vous faire croire à un profit : réduction d’impôt, remboursement de charges, gains suite à un jeu concours… C’est souvent trop beau pour être vrai.
-
Faire croire à un problème :
« Votre compte bancaire est temporairement bloqué », « nous avons détecté une activité irrégulière » … etc. Les hackers vous font croire à un problème pour déclencher un sentiment de peur, une pression psychologique vous conduisant à agir dans la précipitation.
Quelques règles et mesures préventives pour vous protéger
1 # Ne communiquez jamais des informations sensibles
Aucune organisation gouvernementale ou société commerciale vous demandera de communiquer vos identifiants et/ou vos mots de passe, quel que soit le canal de discussion utilisé.
2 # Analysez l’adresse de redirection des liens avant de cliquer dessus
Positionnez le curseur de votre souris sur le lien, sans cliquer dessus. Cela vous permettra d’afficher l’adresse de redirection et de vérifier si celle-ci vous semble conforme et officielle. Allez directement sur le site de l’organisme concerné pour comparer les deux liens.
3# Intéressez-vous à l’orthographe du message reçu
Généralement, un message comprenant de nombreuses fautes d’orthographe ou de grammaire, c’est mauvais signe.
4# Vérifiez l’adresse du site web que vous visitez
Analysez l’URL du site web pour savoir si celui-ci correspond bien au site officiel. Vérifiez le nom de domaine (.gouv, .com, .fr), la présence du protocole HTTPS et l’orthographe de l’URL. Attention, il s’agit parfois de petits détails comme le changement d’une simple lettre ou caractère.
5# Contactez directement l’organisme concerné en cas de doute
Si un message ou un appel vous semble suspect, contactez directement l’organisme. Ils pourront vous renseigner et vous indiquer si le message ou l’appel reçu est officiel ou frauduleux.
6# Ne cliquez pas sur les pièces jointes sans avoir préalablement lu le message associé
Ne vous fiez pas uniquement à l’objet de votre message ou de votre e-mail. Lisez toujours l’intégralité du message avant de cliquer sur une pièce-jointe. Analysez son contenu et vérifiez l’adresse e-mail de l’expéditeur. En cas de doute, contactez-le directement.
7# Utilisez un mot de passe différents et complexes
L’une des règles incontournables en cybersécurité, c’est celle du mot de passe. Il est important de choisir des mots de passe différents et robustes pour chaque site et application utilisée. Pour rappel, il doit contenir au minimum 8 caractères mélangeant des chiffres, lettres et caractères spéciaux (, ?;.@&#…). Si vous en avez la possibilité, pensez à activer la double authentification pour plus de sécurité.
8# Vérifiez si les mises à jour de vos systèmes de sécurité sont bien effectuées
Pensez à mettre à jour l’ensemble de vos systèmes de sécurité afin d’empêcher les hackers d’exploiter leurs failles.
Découvrez tous nos articles sur notre Blog
Retrouvez tous nos conseils et astuces pour optimiser votre infrastructure informatique et simplifier votre quotidien !