Sensibilisation aux techniques de phishing les plus courantes
Comment les repérer, les éviter, et assurer la protection des données d’une entreprise ?
D’après le rapport de février 2022 sur les tendances de l’activité de phishing de APWG’s Phishing Activity Trends Report, l’année 2021 a connu une recrudescence sans précédent des attaques de phishing. En décembre, plus de 300 000 attaques ont été recensées, soit une augmentation de plus de trois fois par rapport à il y a moins de deux ans.
Également appelé l’hameçonnage, le phishing est un exemple d’ingénierie sociale –manipulation de la psychologie humaine— qui vise à tromper les utilisateurs et à leur soutirer des informations confidentielles tels que des identifiants, des mots de passes, des numéros de carte bancaire…
Ces informations seront ensuite utilisées pour accéder à des comptes importants et peuvent entraîner un vol d’identité et une perte financière. Afin de contrer cette menace, il est essentiel de se sensibiliser aux techniques de phishing les plus courantes, de savoir les repérer et de prendre des mesures pour les éviter.
Les Techniques de Phishing les plus courantes
Phishing par e-mail
Le courrier électronique est l’une des méthodes les plus utilisées en ce qui concerne le phishing. Il s’agit d’une tentative de vol d’informations sensibles par le biais d’un courrier électronique qui semble provenir d’une organisation légitime telles que des banques, des sites e-commerce, des institutions gouvernementales et bien d’autres.
Ces courriels demandent souvent aux utilisateurs de fournir directement des informations personnelles (par e-mail), ou alors de cliquer sur des liens frauduleux, dans un seul but: celui de voler des informations personnelles ou des accès à des comptes en ligne.
Il convient de noter que le phishing par e-mail est généralement une attaque de masse, visant un grand nombre de destinataires, et seul un petit pourcentage d’entre eux se fait piéger.
Le smishing
Le terme combine « SMS » (message) et « phishing » (hameçonnage). Vous pouvez donc comprendre que le smishing est un hameçonnage par SMS qui envoie des liens malveillants par le biais des messages textuels. Le smishing peut être assisté par des logiciels malveillants ou des sites web frauduleux qui se présentent généralement sous forme de faux relevés de comptes bancaires, alertes de réductions de prix et messages à caractère politique…
Le Vishing
Le vishing quant à lui allie « Voice » (voix) et « phishing » ! Comme le phishing ou le smishing, l’hameçonnage vocal consiste à convaincre les victimes qu’elles font le bon choix en répondant à l’appelant. Souvent, l’appelant se fait passer pour un représentant du gouvernement ou une autre organisation, du fisc, de la police ou de la banque de la victime. Les fraudeurs utilisent des menaces et un langage persuasif pour faire croire aux victimes qu’elles n’ont pas d’autre choix que de fournir les informations demandées.
Quelques recommandations pour éviter les attaques d’Hameçonnage
Pour repérer le phishing et éviter de tomber dans le piège des cybercriminels, il est important de se familiariser avec quelques bonnes pratiques :
- Ne faites pas confiance aux adresses d’expédition
Les cybercriminels peuvent usurper des adresses électroniques et des noms de domaine pour donner l’apparence de provenir d’une source de confiance. Il est donc essentiel de vérifier attentivement le nom de domaine et de s’assurer qu’il n’a pas été altéré et de ne pas supposer qu’une adresse e-mail est légitime.
-
Soyez attentif aux fautes de frappe Les fraudeurs ne sont généralement pas aussi attentifs à la grammaire et à l’orthographe que les organisations légitimes. Par conséquent, les courriels de phishing contiennent souvent des fautes de frappe et des erreurs évidentes. La présence de telles erreurs dans un message peut constituer un indicateur fort de son caractère non authentique.
-
Évitez de céder à l’urgence
Les attaques de phishing utilisent souvent des tactiques de manipulation basées sur la peur et l’urgence pour inciter les victimes à prendre des mesures immédiates. Il est important de garder à l’esprit que les véritables institutions légitimes ne vous pousseront jamais à agir précipitamment.
- Survolez, ne cliquez pas aveuglément
Avant de cliquer sur un lien, survolez-le avec votre souris. Vérifiez si l’URL affichée correspond au texte du lien ou si quelque chose semble suspect. Si vous avez le moindre doute, ne cliquez pas dessus.
- Attention aux pièces jointes
Passez votre souris sur les pièces jointes pour vérifier s’il existe un lien réel, avant de cliquer dessus ou de la télécharger. Mais si vous n’êtes toujours pas sûr de l’expéditeur, ne cliquez pas sur le lien.
- Méfiez-vous des offres trop alléchantes
Si quelque chose semble trop beau pour être vrai, il y a de fortes chances que ce soit le cas ! Les attaques de phishing utilisent souvent de fausses récompenses ou des offres irrésistibles pour inciter les victimes à agir. Rappelez-vous que vous ne pouvez pas gagner à une loterie à laquelle vous n’avez jamais participé.
Comment assurer la sécurité des données de votre entreprise?
Que ce soit pour les particuliers ou les professionnels, le hameçonnage connaît une augmentation considérable et constitue désormais la principale menace pour tous types d’utilisateurs.
D’ailleurs, la plupart des cyberattaques réussies sont causées par celui-ci.
Ainsi, il est crucial de mettre en place un ensemble de bonnes pratiques pour préserver non seulement la confidentialité, l’intégrité et la disponibilité de vos informations sensibles, mais aussi celles de votre entreprise.
Politiques de sécurité
Veillez à bien établir des politiques de sécurité claires et précises, l’objectif étant de mettre en place des actions qui protègent le système d’information de l’entreprise contre les menaces –virus, bots, malwares, fuite et vols de données, erreurs de manipulation–
Assurez-vous surtout que tous les employés comprennent et suivent ces politiques !
Sensibilisation et formation
Il est important d’organiser des programmes de sensibilisation et formation réguliers sur la sécurité des données, tels que la gestion des mots de passe, l’identification des attaques de phishing, l’utilisation sécurisée des appareils et réseaux…
Accès et authentification
Il est essentiel de mettre en place un système d’authentification solide, en utilisant des mots de passe robustes (l’ANSSI, l’Agence nationale de sécurité des systèmes d’information, propose un service permettant de calculer la force d’un mot de passe). De plus, l’utilisation de méthodes de double authentification (2FA) et de contrôles d’accès basés sur les rôles (RBAC) est recommandée pour restreindre l’accès aux données aux seules personnes autorisées.
Mise à jour et sauvegardes régulières
Les vulnérabilités non corrigées peuvent être exploitées par des attaquants pour accéder aux données. C’est la raison pour laquelle il est nécessaire de maintenir tous les logiciels, systèmes d’exploitations et applications à jour et ainsi sauvegarder régulièrement les données critiques dans un emplacement sécurisé (de préférence hors site ou dans le cloud).
Chiffrement des données
le chiffrement rend les données illisibles pour les personnes non autorisées! De fait, il est conseillé de l’utiliser pour la protection des données sensibles, que ce soit lorsqu’elles sont stockées sur des serveurs, en transit via des réseaux ou sur des appareils mobiles.
Plan de réponse aux incidents et évaluation de la sécurité
Effectuez régulièrement des évaluations de sécurité pour identifier les vulnérabilités potentielles et élaborez un plan de réponse aux incidents pour gérer efficacement les violations de sécurité et les cyberattaques. Ce plan devrait inclure les étapes à suivre, les responsabilités et les procédures de notification en cas d’incident.
En résumé…
Le phishing connaît une croissance exponentielle et de plus en plus préoccupante en termes de menace.
Chaque jour qui passe, cette technique d’attaque gagne en ampleur et en sophistication. Il est donc de notre responsabilité de prendre activement part à la protection de notre sécurité numérique.
En adoptant une attitude vigilante, en restant informés des dernières techniques de phishing et en appliquant les bonnes pratiques de sécurité, nous renforçons notre défense contre les attaques frauduleuses.
En protégeant nos informations personnelles, nous préservons notre vie privée, nos finances et notre identité numérique.