Les campagnes d’hameçonnage sont plus que jamais à l’ordre du jour. Très simples et accessibles à n’importe quel hacker, elles peuvent être désastreuses pour celui qui tombe dans le piège. En témoigne ce récent hameçonnage par mail qui, lorsque l’utilisateur ouvrait la pièce jointe, déployait pas moins de trois malwares. A la clé : vol de données personnelles et bancaires, prise de contrôle du système et espionnage.
Avant d’aller plus loin, pensez à consulter nos articles pour protéger vos mails:
Au fait qu’est-ce que le hameçonnage (phishing) ?
L’hameçonnage ou phishing en anglais est le principal mode opératoire utilisé par les cybercriminels pour dérober des informations personnelles et/ou bancaires aux internautes. Par message électronique (e-mail), SMS ou encore par téléphone, il consiste à usurper l’identité d’un tiers de confiance (banque, administration, réseau social, entreprise de livraison, commerce en ligne…) pour tromper la victime et l’inciter à communiquer ses données d’identité, ses mots de passe ou ses numéros de carte bancaire. Les informations dérobées lors de l’hameçonnage/phishing seront ensuite directement utilisées par les escrocs ou revendus à d’autres cybercriminels pour mener diverses actions frauduleuses (piratage de compte en ligne, fraude à la carte bancaire, usurpation d’identité, hameçonnage ciblé sur la victime…).
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/dossier-phishing
Le phishing est l’une des techniques les plus utilisées par les hackers pour compromettre votre sécurité et votre vie privée.
Ici, nous allons spécifiquement traiter des campagnes de phishing par mail.
Comment reconnaître les mails de phishing?
A l’heure où les campagnes de phishing sont de mieux en mieux ficelées et de plus en plus difficiles à détecter, il est nécessaire de rappeler quelques critères à prendre en compte pour mieux se défendre.
- Les liens suspects : Méfiez-vous des liens contenus dans les mails. Regardez l’aperçu du lien avant de cliquer. Si vous avez un doute, ne cliquez pas.
- Si vous constatez des fautes orthographes ou de grammaire, méfiez-vous. Des organisations reconnues laissent rarement partir des mails marketing avec des erreurs de ce type. Quoi que…
- Attention aux pièces jointes. De façon habituelle, les entreprises et administrations vous inviteront plutôt à vous connecter à votre espace personnel ou à cliquer sur un lien. Une fois la pièce jointe activée, il sera peut-être trop tard.
- Attention aux mails qui font appel à vos émotions. Beaucoup de personnes se font piéger par des messages qui font appel à leurs émotions. L’objectif est de vous faire prendre des décisions irrationnelles et vous pousser à commettre une erreur. C’est de la manipulation, aussi appelée ingénierie sociale.
- Attention aux mails trop impersonnels qui s’adressent à Madame ou Monsieur, à la « personne concernée ». Ou bien un mail dont la formulation est trop générique.
- Les demandes d’informations par mail doivent vous alerter. On vous demande des informations personnelles, identité, mots de passe, mails ou autres ? Venant d’une entreprise ou d’une administration, c’est tout à fait improbable.
- En cas de doute sur un mail, vous pouvez vous référer au nom et au mail de l’expéditeur. Peut-être diffère t-il, auquel cas il devient clair que c’est une tentative d’hameçonnage. Pour cela, il faut souvent regarder de plus près le nom de celui qui envoie le mail, sous le nom, en cherchant un peu, vous constaterez un mail très différent ou inhabituel.
- Certains pirates usurpent le nom de votre chef ou d’un cadre dirigeant pour tenter de vous soutirer des informations sensibles. Si c’est le cas, vérifiez le mail de l’expéditeur comme vue dans le point précédent. Ou bien rappelez la personne qui vous en fait la demande pour vérifier et confirmer la demande. Cela évitera par exemple la fameuse « fraude au président ».
- Si vous n’avez aucune signature de l’e-mail, si la personne ne donne aucune information pour décliner son identité, c’est aussi un signe qui doit vous alerter.
- Pour finir, les campagnes de phishing par mail sont de plus en plus difficiles à détecter : mail propre, pas de fautes d’orthographe, une syntaxe correcte. En cas de doute, ne cliquez pas. Préférez appeler la société ou allez faire un tour sur son site officiel.
Source : digitalguardian.com