Il est essentiel que les salariés apprennent à reconnaître une attaque ou une tentative de phishing. En effet, lorsqu’ils identifient une attaque avant que le logiciel nuisible ne se déploie, ils contribuent à éviter des pertes potentielles de données ou d’argent. Et même si une attaque de phishing parvient à se répandre, il est possible d’éliminer la menace ou de la contenir.
Identifier les signes d’une attaque de phishing, tentée ou exécutée, n’est pas une compétence qui s’apprend du jour au lendemain. Les attaques de phishing varient en nature et en sophistication ; elles évoluent avec le temps. C’est pourquoi la formation de sensibilisation au phishing doit être continue et fréquemment mise à jour.
C’est quoi une tentative de phishing ?
L’e-mail de phishing se transmet par des fraudeurs qui se font passer pour des entreprises légitimes, souvent des banques ou des sociétés de paiement. Ces e-mails sont conçus pour vous inciter à fournir des informations de connexion ou des informations financières, telles que des numéros de carte de crédit ou de sécurité sociale.
D’autres courriels frauduleux peuvent vous inciter à cliquer sur un lien menant à un faux site Web conçu pour ressembler à Amazon, eBay ou votre banque. Ces faux sites Web peuvent alors installer des logiciels malveillants ou d’autres virus directement sur votre ordinateur, permettant aux pirates de voler vos informations personnelles ou de prendre le contrôle de votre ordinateur, tablette ou smartphone.
Un exemple de phishing ? Un pirate se faisant passer pour PayPal. L’email pourrait dire que vous devez cliquer sur un lien pour vérifier votre compte PayPal. Si vous ne le faites pas ? Le compte frauduleux bientôt fermé, indique l’e-mail.
Comment reconnaître les e-mails de phishing ?
Les pirates informatiques disposent désormais de moyens plus sophistiqués pour envoyer des courriels de phishing. Cependant, il existe encore des indices que vous devriez rechercher, pour contrer le phishing ou une tentative.
Des offres trop belles pour être vraies
Les e-mails de phishing vous attirent avec ce qui semble être des offres incroyablement bon marché pour des produits tels que des smartphones ou des vacances. Ces offres peuvent sembler irrésistibles, mais résistez-y. Il s’agit probablement de courriels de phishing.
Une banque vous demande des informations sur votre compte ou d’autres informations financières personnelles
Votre banque, ou toute autre institution financière, ne vous demandera jamais votre numéro de sécurité sociale, votre numéro de compte bancaire ou votre code PIN par e-mail. Ne fournissez jamais ces informations en réponse à un courriel.
Fautes d’orthographe et de grammaire
Il fut un temps où vous pouviez facilement repérer les courriels de phishing car ils étaient remplis de fautes d’orthographe et de grammaire. Les escrocs sont devenus plus doués pour éviter ces erreurs, mais si vous recevez un courriel contenant des fautes de frappe et un langage inhabituel, il se peut qu’il s’agisse d’un courriel de phishing.
Le message de bienvenue générique
Les e-mails de phishing peuvent ne pas vous être adressés spécifiquement. Ils peuvent commencer par une formule de salutation générique telle que « Madame / Monsieur » ou « Cher titulaire du compte ».
Un appel à l’action immédiate pour une tentative de phishing réussie
Les hameçonneurs veulent que vous agissiez rapidement, sans réfléchir. C’est pourquoi ils envoient des courriels vous demandant de cliquer immédiatement sur un lien ou d’envoyer des informations sur votre compte pour éviter la suspension de votre compte bancaire ou de votre carte de crédit. Ne répondez jamais hâtivement à une demande d’urgence. Les demandes d’action urgentes sont souvent des escroqueries par phishing.
Les expéditeurs inconnus
Si vous ne reconnaissez pas l’expéditeur d’un courriel, pensez à le supprimer. Si vous décidez de le lire, veillez à ne pas cliquer sur les liens ou télécharger des fichiers.
Les expéditeurs que vous pensez reconnaître
Vous pouvez recevoir un message de phishing provenant d’un nom que vous reconnaissez. Mais il y a un hic : Cet e-mail peut provenir du compte e-mail compromis d’une personne que vous connaissez. Si l’e-mail demande des informations personnelles ou de l’argent, il s’agit probablement d’un e-mail de phishing.
Hyperliens
Si vous recevez un courriel vous demandant de cliquer sur un lien hypertexte inconnu, le fait de survoler l’option peut vous montrer que le lien vous conduit en réalité à un faux domaine mal orthographié. Ce lien existe pour paraître légitime mais il s’agit probablement d’une arnaque.
Pièces jointes
L’expéditeur a inclus des pièces jointes qui n’ont pas de sens ou qui semblent être des spams.
Quels sont les risques du phishing ?
Les observateurs s’accordent à dire que les attaques de phishing ont un impact sur les résultats d’une organisation. Une tentative de phishing avortée peut également être perçue de manière négative. Ces attaques peuvent causer tellement plus que les pertes financières initiales.
Rien qu’en 2016, les attaquants ont utilisé le phishing pour 4,2 milliards de signalements aux organisations. En outre, 81 % des organisations attaquées ont perdu des clients et subi des atteintes à leur réputation en conséquence. Le coût moyen de ces répercussions était de 1,6 million de dollars par organisation.
Ces attaques se repèrent généralement trop tardivement. Parfois, ce sont les clients, et non l’entreprise, qui découvrent une attaque. Dans de tels cas, les clients transfèrent leurs activités ailleurs par crainte que leurs informations d’identification privées ne soient exposées.
Dès que l’attaque ou la tentative de phishing est rendue publique, l’image de la marque est immédiatement affectée. Les clients sont inquiets et pensent qu’il n’est pas prudent de faire des transactions avec l’organisation. Cette crainte les conduit à perdre confiance, voire à quitter la marque au profit d’un concurrent. De plus, suite à une attaque, les clients peuvent intenter des poursuites. Surtout, les organisations peuvent aussi se voir infliger des amendes pour non-respect des réglementations en matière de protection des données.
La grande majorité des victimes d’attaques cliquent sur un lien de phishing dès les premières heures de son lancement. En tant qu’entreprise, la meilleure façon d’éviter d’être victime d’une attaque est de surveiller les différentes manières dont les pirates peuvent se faire passer pour vous. Il s’agit de surveiller les courriels, les sites web, les réseaux sociaux pour détecter les activités d’usurpation d’identité de votre marque. La meilleure solution reste la formation, en continu des collaborateurs. La formation continue permet de pallier aux progrès constants des pirates en matière de phishing, et de sensibiliser sur le long terme vos salariés.
Entraînement continu contre le phishing et la fraude
Des scénarios réalistes, inspirés d’attaques réelles auxquels les salariés sont confrontés quotidiennement. Les salariés hameçonnés sont invités à une microformation. Les contenus varient en fonction du niveau. Après activation, Oppens se charge de tout. Un expert est à votre disposition pour échanger sur les résultats.
Que peut faire le phishing ?
Les attaques et tentatives de phishing ont pour but de dérober à un individu ou à une organisation ses données privées. Elles ont donc le pouvoir de faire tout ou partie des choses suivantes
Voler l’identité
Premièrement, en utilisant leur nom et leurs informations d’identification, sur un phishing ou une tentative de phishing, les pirates peuvent se faire passer pour la victime n’importe où dans le monde. Ils peuvent vendre leurs données à des acheteurs sur le marché noir, qui peuvent utiliser les détails à des fins similaires motivées par des arrière-pensées.
Siphonner les fonds des comptes bancaires des victimes
Deuxièmement, une fois sur leur compte bancaire, ils peuvent dépouiller les victimes de toutes leurs économies et de leur argent, les laissant avec peu ou pas d’options pour réparer les dégâts.
Que fait le phishing à votre ordinateur ?
Si une attaque de phishing n’a pas pour but d’extraire les données personnelles des utilisateurs via des sites web frauduleux, elle vise sans aucun doute à installer un logiciel malveillant dans le système informatique de l’utilisateur. Voici quelques-unes des conséquences évidentes de l’installation d’un logiciel malveillant par une attaque de phishing réussie
- Perte d’éléments essentiels du système.
- Désactivation du système d’exploitation.
- Panne du serveur et augmentation massive du trafic de spam, qui finit par paralyser le réseau de l’entreprise.
- Suppression de données dans le BIOS Flash qui désactive les redémarrages du système.
- Panne de disque pour les ordinateurs fréquemment utilisés.
- Perte d’informations précieuses faisant disparaître des années de dur labeur.
Comment se faire rembourser en cas de phishing ?
En cas de transactions frauduleuses, les clients des banques ne savent pas toujours s’ils seront remboursés. Les règles diffèrent entre les banques sur les actions à mener en cas de fraude.
La fraude doit être signalée au plus tard 13 mois après le débit. Cela ne garantit néanmoins pas un un remboursement. Ce délai est de 70 jours si l’établissement du bénéficiaire du paiement se situe hors de l’Union européenne ou de l’Espace économique européen (articles 133-1-1 et 133-24 du Code monétaire et financier).