Comment identifier une tentative de phishing ?

Martin

15 mars 2022
Repérer le phishing

Il est essentiel que les salariés apprennent à reconnaître une attaque ou une tentative de phishing. En effet, lorsqu’ils identifient une attaque avant que le logiciel nuisible ne se déploie, ils contribuent à éviter des pertes potentielles de données ou d’argent. Et même si une attaque de phishing parvient à se répandre, il est possible d’éliminer la menace ou de la contenir.

Identifier les signes d’une attaque de phishing, tentée ou exécutée, n’est pas une compétence qui s’apprend du jour au lendemain. Les attaques de phishing varient en nature et en sophistication ; elles évoluent avec le temps. C’est pourquoi la formation de sensibilisation au phishing doit être continue et fréquemment mise à jour.

C’est quoi une tentative de phishing ?

L’e-mail de phishing se transmet par des fraudeurs qui se font passer pour des entreprises légitimes, souvent des banques ou des sociétés de paiement. Ces e-mails sont conçus pour vous inciter à fournir des informations de connexion ou des informations financières, telles que des numéros de carte de crédit ou de sécurité sociale.

D’autres courriels frauduleux peuvent vous inciter à cliquer sur un lien menant à un faux site Web conçu pour ressembler à Amazon, eBay ou votre banque. Ces faux sites Web peuvent alors installer des logiciels malveillants ou d’autres virus directement sur votre ordinateur, permettant aux pirates de voler vos informations personnelles ou de prendre le contrôle de votre ordinateur, tablette ou smartphone.

Un exemple de phishing ? Un pirate se faisant passer pour PayPal. L’email pourrait dire que vous devez cliquer sur un lien pour vérifier votre compte PayPal. Si vous ne le faites pas ? Le compte frauduleux bientôt fermé, indique l’e-mail.

Voici un exemple d’un e-mail de phishing s’inspirant de la société PayPal

Comment reconnaître les e-mails de phishing ?

Les pirates informatiques disposent désormais de moyens plus sophistiqués pour envoyer des courriels de phishing. Cependant, il existe encore des indices que vous devriez rechercher, pour contrer le phishing ou une tentative.

Des offres trop belles pour être vraies

Les e-mails de phishing vous attirent avec ce qui semble être des offres incroyablement bon marché pour des produits tels que des smartphones ou des vacances. Ces offres peuvent sembler irrésistibles, mais résistez-y. Il s’agit probablement de courriels de phishing.

Une banque vous demande des informations sur votre compte ou d’autres informations financières personnelles

Votre banque, ou toute autre institution financière, ne vous demandera jamais votre numéro de sécurité sociale, votre numéro de compte bancaire ou votre code PIN par e-mail. Ne fournissez jamais ces informations en réponse à un courriel.

Fautes d’orthographe et de grammaire

Il fut un temps où vous pouviez facilement repérer les courriels de phishing car ils étaient remplis de fautes d’orthographe et de grammaire. Les escrocs sont devenus plus doués pour éviter ces erreurs, mais si vous recevez un courriel contenant des fautes de frappe et un langage inhabituel, il se peut qu’il s’agisse d’un courriel de phishing.

Le message de bienvenue générique

Les e-mails de phishing peuvent ne pas vous être adressés spécifiquement. Ils peuvent commencer par une formule de salutation générique telle que « Madame / Monsieur » ou « Cher titulaire du compte ».

Un appel à l’action immédiate pour une tentative de phishing réussie

Les hameçonneurs veulent que vous agissiez rapidement, sans réfléchir. C’est pourquoi ils envoient des courriels vous demandant de cliquer immédiatement sur un lien ou d’envoyer des informations sur votre compte pour éviter la suspension de votre compte bancaire ou de votre carte de crédit. Ne répondez jamais hâtivement à une demande d’urgence. Les demandes d’action urgentes sont souvent des escroqueries par phishing.

Les expéditeurs inconnus

Si vous ne reconnaissez pas l’expéditeur d’un courriel, pensez à le supprimer. Si vous décidez de le lire, veillez à ne pas cliquer sur les liens ou télécharger des fichiers.

Les expéditeurs que vous pensez reconnaître

Vous pouvez recevoir un message de phishing provenant d’un nom que vous reconnaissez. Mais il y a un hic : Cet e-mail peut provenir du compte e-mail compromis d’une personne que vous connaissez. Si l’e-mail demande des informations personnelles ou de l’argent, il s’agit probablement d’un e-mail de phishing.

Hyperliens

Si vous recevez un courriel vous demandant de cliquer sur un lien hypertexte inconnu, le fait de survoler l’option peut vous montrer que le lien vous conduit en réalité à un faux domaine mal orthographié. Ce lien existe pour paraître légitime mais il s’agit probablement d’une arnaque.

Pièces jointes

L’expéditeur a inclus des pièces jointes qui n’ont pas de sens ou qui semblent être des spams.

L’e-mail de phishing est envoyé par des fraudeurs qui se font passer pour des entreprises légitimes, souvent des banques ou des sociétés de paiement. Ces e-mails sont conçus pour vous inciter à fournir des informations de connexion ou des informations financières, telles que des numéros de carte de crédit ou de sécurité sociale.

Quels sont les risques du phishing ?

Les observateurs s’accordent à dire que les attaques de phishing ont un impact sur les résultats d’une organisation. Une tentative de phishing avortée peut également être perçue de manière négative. Ces attaques peuvent causer tellement plus que les pertes financières initiales.

Rien qu’en 2016, les attaquants ont utilisé le phishing pour 4,2 milliards de signalements aux organisations. En outre, 81 % des organisations attaquées ont perdu des clients et subi des atteintes à leur réputation en conséquence. Le coût moyen de ces répercussions était de 1,6 million de dollars par organisation.

Ces attaques se repèrent généralement trop tardivement. Parfois, ce sont les clients, et non l’entreprise, qui découvrent une attaque. Dans de tels cas, les clients transfèrent leurs activités ailleurs par crainte que leurs informations d’identification privées ne soient exposées.

Dès que l’attaque ou la tentative de phishing est rendue publique, l’image de la marque est immédiatement affectée. Les clients sont inquiets et pensent qu’il n’est pas prudent de faire des transactions avec l’organisation. Cette crainte les conduit à perdre confiance, voire à quitter la marque au profit d’un concurrent. De plus, suite à une attaque, les clients peuvent intenter des poursuites. Surtout, les organisations peuvent aussi se voir infliger des amendes pour non-respect des réglementations en matière de protection des données.

La grande majorité des victimes d’attaques cliquent sur un lien de phishing dès les premières heures de son lancement. En tant qu’entreprise, la meilleure façon d’éviter d’être victime d’une attaque est de surveiller les différentes manières dont les pirates peuvent se faire passer pour vous. Il s’agit de surveiller les courriels, les sites web, les réseaux sociaux pour détecter les activités d’usurpation d’identité de votre marque. La meilleure solution reste la formation, en continu des collaborateurs. La formation continue permet de pallier aux progrès constants des pirates en matière de phishing, et de sensibiliser sur le long terme vos salariés.

Entraînement continu contre le phishing et la fraude

Des scénarios réalistes, inspirés d’attaques réelles auxquels les salariés sont confrontés quotidiennement. Les salariés hameçonnés sont invités à une microformation. Les contenus varient en fonction du niveau. Après activation, Oppens se charge de tout. Un expert est à votre disposition pour échanger sur les résultats.

Que peut faire le phishing ?

Les attaques et tentatives de phishing ont pour but de dérober à un individu ou à une organisation ses données privées. Elles ont donc le pouvoir de faire tout ou partie des choses suivantes

Voler l’identité

Premièrement, en utilisant leur nom et leurs informations d’identification, sur un phishing ou une tentative de phishing, les pirates peuvent se faire passer pour la victime n’importe où dans le monde. Ils peuvent vendre leurs données à des acheteurs sur le marché noir, qui peuvent utiliser les détails à des fins similaires motivées par des arrière-pensées.

Siphonner les fonds des comptes bancaires des victimes

Deuxièmement, une fois sur leur compte bancaire, ils peuvent dépouiller les victimes de toutes leurs économies et de leur argent, les laissant avec peu ou pas d’options pour réparer les dégâts.

Que fait le phishing à votre ordinateur ?

Si une attaque de phishing n’a pas pour but d’extraire les données personnelles des utilisateurs via des sites web frauduleux, elle vise sans aucun doute à installer un logiciel malveillant dans le système informatique de l’utilisateur. Voici quelques-unes des conséquences évidentes de l’installation d’un logiciel malveillant par une attaque de phishing réussie

  • Perte d’éléments essentiels du système.
  • Désactivation du système d’exploitation.
  • Panne du serveur et augmentation massive du trafic de spam, qui finit par paralyser le réseau de l’entreprise.
  • Suppression de données dans le BIOS Flash qui désactive les redémarrages du système.
  • Panne de disque pour les ordinateurs fréquemment utilisés.
  • Perte d’informations précieuses faisant disparaître des années de dur labeur.

Comment se faire rembourser en cas de phishing ?

En cas de transactions frauduleuses, les clients des banques ne savent pas toujours s’ils seront remboursés. Les règles diffèrent entre les banques sur les actions à mener en cas de fraude.

La fraude doit être signalée au plus tard 13 mois après le débit. Cela ne garantit néanmoins pas un un remboursement. Ce délai est de 70 jours si l’établissement du bénéficiaire du paiement se situe hors de l’Union européenne ou de l’Espace économique européen (articles 133-1-1 et 133-24 du Code monétaire et financier).

La Société Générale a créé Oppens, la solution de sécurité informatique pour les entreprises : formation, entraînement au phishing, audit …

Entraînement continu pour un suivi régulier

Oppens a créé une solution unique d'entraînement des salariés pour une vigilance de haut niveau, qui fait rentrer la cybersécurité dans votre culture d'entreprise.

Simulation de phishing

L'erreur est humaine ... et coûte chère ? Choisissez les simulations de phishing Oppens pour mieux évaluer et sensibiliser vos collaborateurs.