Hameçonnage par courrier électronique

Réfléchissez avant de cliquer

Près de cinq milliards de personnes utilisent le courrier électronique chaque jour pour gérer leurs affaires courantes, car il s’agit d’un moyen de communication efficace et pratique. Si le courrier électronique est un outil de communication précieux, il présente également un certain nombre de menaces et de risques. Les criminels utilisent le courrier électronique pour diverses attaques de phishing afin d’accéder à des informations sensibles, telles que des numéros de carte de crédit ou des données d’identification personnelle, ou pour inciter les victimes à effectuer une action qui compromet leur sécurité.

Comprendre les courriels d’hameçonnage

La définition d’un courriel de phishing est un courriel envoyé à un destinataire dans l’intention de l’amener à effectuer une tâche spécifique. L’attaquant peut utiliser des techniques d’ingénierie sociale pour faire paraître le courriel authentique et peut demander au destinataire de cliquer sur un lien, d’ouvrir une pièce jointe ou de fournir d’autres informations sensibles telles que des données de connexion.

Les courriels d’hameçonnage à caractère social sont dangereux. Ils sont structurés de manière à être pertinents et semblent souvent authentiques aux yeux de leurs cibles. Le destinataire fait davantage confiance à l’e-mail et exécute la tâche demandée dans l’e-mail. Les résultats peuvent être dévastateurs. Si le destinataire clique sur un lien vers un site web infecté par un logiciel malveillant, ouvre une pièce jointe contenant une charge utile malveillante ou révèle ses données de connexion, un pirate peut obtenir un accès non détecté au réseau. Il est en fait assez effrayant de voir tout ce que l’on peut apprendre sur une personne sur l’internet sans avoir à pénétrer dans des bases de données ou à inciter quelqu’un à révéler des informations confidentielles.

Le rôle des médias sociaux dans le phishing

Les criminels peuvent rapidement recueillir des informations personnelles sur les sites de médias sociaux, les profils professionnels et d’autres publications en ligne afin d’identifier les éléments déclencheurs potentiels auxquels les gens réagissent. Il ne serait pas trop difficile de trouver des informations sur les enfants d’un employé, leur école et un événement qui s’y déroule afin d’envoyer un courriel aux parents leur demandant de cliquer sur un lien ou d’ouvrir une pièce jointe pour que leur enfant puisse assister à l’événement. L’apprentissage automatique et l’intelligence artificielle permettront aux escrocs de recueillir ces informations beaucoup plus rapidement à l’avenir.

Comment identifier les courriels d’hameçonnage

Selon les statistiques de l’Université de la Colombie-Britannique, environ 150 millions de courriels d’hameçonnage sont envoyés chaque jour et environ 80 000 personnes tombent chaque jour dans le piège d’une escroquerie. Il peut en résulter, par exemple, des vols d’identité, des pertes financières et des fraudes à la carte de crédit. Comment identifier les courriels d’hameçonnage et éviter de tomber dans le panneau ?

Les courriels qui menacent les destinataires de conséquences négatives ou d’occasions perdues s’ils n’agissent pas d’urgence sont généralement des courriels d’hameçonnage. Les attaquants utilisent souvent cette approche pour pousser les destinataires à agir avant qu’ils n’aient eu le temps d’examiner le message pour y déceler d’éventuelles erreurs ou incohérences. Les fautes de grammaire et d’orthographe sont un autre moyen d’identifier les courriels d’hameçonnage. De nombreuses entreprises utilisent des outils de vérification orthographique par défaut sur les courriels sortants afin de s’assurer que les courriels sont grammaticalement corrects. Ceux qui utilisent des clients de messagerie basés sur des navigateurs utilisent des fonctions d’autocorrection ou de surlignage dans leurs navigateurs.

Les courriels échangés entre collègues contiennent généralement une formule de politesse informelle. Ceux qui commencent par « Cher » ou contiennent des phrases qui ne sont pas normalement utilisées dans une conversation informelle, qui proviennent de sources qui ne sont pas familières avec le style d’interaction au bureau de votre entreprise, devraient éveiller les soupçons. Un autre moyen d’identifier l’hameçonnage consiste à rechercher des incohérences dans les adresses électroniques, les liens et les noms de domaine. Le courriel provient-il d’une organisation avec laquelle vous échangez fréquemment de la correspondance ? Si c’est le cas, vérifiez l’adresse de l’expéditeur et comparez-la avec des courriels antérieurs provenant de la même organisation. Vérifiez si le lien est légitime en passant votre souris sur le lien et en observant ce qu’il affiche. Si le courriel prétend provenir de Google, par exemple, mais que le nom de domaine est différent, il peut s’agir d’une attaque par hameçonnage.

Pièces jointes et demandes suspectes, trop belles pour être vraies

Aujourd’hui, la plupart des échanges de fichiers liés au travail se font par l’intermédiaire d’outils de collaboration bien connus et largement utilisés. Par conséquent, les courriels internes contenant des pièces jointes doivent toujours être traités avec méfiance – en particulier s’ils contiennent une extension de fichier inconnue ou communément associée à des logiciels malveillants (.zip, .exe, .scr, etc.). Les courriels provenant d’un expéditeur inattendu ou inconnu et demandant des informations de connexion, des détails de paiement ou d’autres informations sensibles doivent toujours être traités avec prudence. Les « spear phishers » peuvent usurper des pages de connexion pour les faire ressembler aux vraies et envoyer un courriel contenant un lien qui dirige le destinataire vers la page usurpée. Lorsque le destinataire est redirigé vers la page de connexion ou qu’on lui dit qu’un paiement est requis, il ne doit saisir aucune information s’il n’est pas sûr à 100 % que l’e-mail est légitime.

Les courriers électroniques qui encouragent le destinataire à cliquer sur un lien ou à ouvrir une pièce jointe, en prétendant qu’il recevra une récompense quelconque, sont trop beaux pour être vrais.