Comme l’a révélé un rapport de l’Anti-Phishing Working Group (APWG) au début de l’année, le nombre d’attaques de phishing a connu une hausse notable. C’est un problème très répandu, qui présente un risque énorme pour les particuliers et les organisations (il y a eu, par exemple, plus d’attaques au premier trimestre 2016 qu’au cours de tout autre trimestre de l’histoire).
Inutile de dire que c’est quelque chose dont nous devons tous être conscients, car ces types d’attaques ne vont pas disparaître de sitôt. Mais ne vous inquiétez pas, car notre guide Top 5 vous aidera à tenir ces criminels à distance.
Avant d’entrer dans le vif du sujet, voici un bref aperçu de ce qu’est le phishing. En bref, il s’agit d’un vecteur d’usurpation d’identité par lequel les cybercriminels tentent d’amener les utilisateurs à leur remettre des informations personnelles et sensibles (à leur insu). Il est intéressant de noter que le phishing existe depuis des années, sous une forme ou une autre, par le biais d’appels téléphoniques et de lettres frauduleuses.
Les cybercriminels ont généralement déployé des attaques de phishing après une atteinte à la vie privée. C’est ce qui s’est passé avec les violations de données d’Anthem et d’eBay, où les criminels ont envoyé des avertissements aux utilisateurs pour leur conseiller de changer leur mot de passe (mais en les dirigeant vers un faux site Web dans le but de recueillir leurs données).
Cependant, certains professionnels de la sécurité de l’information pensent désormais que les cybercriminels considèrent les attaques de phishing comme un moyen efficace (et facile) de pénétrer dans une entreprise pour lancer des attaques plus sophistiquées. Après tout, l’être humain est de plus en plus considéré comme le maillon le plus faible (les menaces d’initiés sont un problème majeur) et donc la cible la plus efficace pour les criminels qui cherchent à infiltrer une entreprise ou une PME.
Soyez raisonnable en ce qui concerne les attaques de phishing
Vous pouvez réduire considérablement les risques d’être victime d’une attaque de phishing en faisant preuve de bon sens et d’intelligence lorsque vous naviguez en ligne et consultez vos e-mails.
Par exemple, comme le conseille Bruce P. Burrell d’ESET, ne cliquez jamais sur des liens, ne téléchargez pas de fichiers et n’ouvrez pas de pièces jointes dans les courriels (ou sur les médias sociaux), même s’ils semblent provenir d’une source connue et fiable.
Vous ne devriez jamais cliquer sur les liens d’un courriel menant à un site Web, à moins d’être absolument sûr qu’il est authentique. Si vous avez un doute, ouvrez une nouvelle fenêtre de votre navigateur et tapez l’URL dans la barre d’adresse.
Méfiez-vous des courriels vous demandant des informations confidentielles – surtout s’il s’agit de données personnelles ou d’informations bancaires. Les organisations légitimes, y compris et surtout votre banque, ne demanderont jamais d’informations sensibles par courrier électronique.
Attention aux liens raccourcis
Vous devez prêter une attention particulière aux liens raccourcis, notamment sur les médias sociaux. Les cybercriminels les utilisent souvent – à partir de Bitly et d’autres services de raccourcissement – pour vous faire croire que vous cliquez sur un lien légitime, alors qu’en fait vous êtes dirigé par inadvertance vers un faux site.
Vous devez toujours placer votre souris sur un lien Web dans un courriel pour vérifier si vous êtes effectivement dirigé vers le bon site Web – c’est-à-dire que « celui qui apparaît dans le texte du courriel » est le même que « celui que vous voyez lorsque vous passez la souris ».
Les cybercriminels peuvent utiliser ces « faux » sites pour voler les données personnelles que vous avez saisies ou pour effectuer une attaque de type « drive-by-download », infestant ainsi votre appareil de logiciels malveillants.
Cet email vous semble-t-il suspect ? Relisez-le
Beaucoup d’e-mails de phishing sont assez évidents. Ils sont ponctués de nombreuses fautes de frappe, de mots en majuscules et de points d’exclamation. Ils peuvent également comporter une formule de politesse impersonnelle – pensez aux salutations « Cher client » ou « Cher monsieur/madame » – ou présenter un contenu invraisemblable et généralement surprenant.
Les cybercriminels commettent souvent des erreurs dans ces courriels… parfois même intentionnellement, afin de contourner les filtres anti-spam, d’améliorer les réponses et d’éliminer les destinataires « intelligents » qui ne tomberont pas dans le panneau.
Méfiez-vous des menaces et des délais urgents
Il arrive qu’une entreprise réputée ait besoin que vous fassiez quelque chose en urgence. Par exemple, en 2014, eBay a demandé à ses clients de changer rapidement leurs mots de passe après sa violation de données.
Cependant, il s’agit d’une exception à la règle ; généralement, les menaces et l’urgence – surtout si elles proviennent de ce qui prétend être une entreprise légitime – sont un signe de phishing.
Certaines de ces menaces peuvent inclure des avis concernant une amende, ou vous conseiller de faire quelque chose pour empêcher la fermeture de votre compte. Ignorez les tactiques d’intimidation et contactez l’entreprise séparément par un canal connu et fiable.
Naviguer en toute sécurité avec HTTPs
Dans la mesure du possible, vous devez toujours utiliser un site web sécurisé (indiqué par https:// et l’icône d’un « cadenas » de sécurité dans la barre d’adresse du navigateur) pour naviguer, en particulier lorsque vous soumettez des informations sensibles en ligne, telles que des données de carte de crédit.
Vous ne devez jamais utiliser un réseau Wi-Fi public non sécurisé pour effectuer des opérations bancaires, des achats ou saisir des informations personnelles en ligne (la commodité ne doit pas primer sur la sécurité). En cas de doute, utilisez la connexion 3/4G ou LTE de votre téléphone portable.
En guise d’aparté, il devrait être plus facile de repérer les sites web douteux et non sécurisés – Google, par exemple, cherche à réprimer ce problème en étiquetant les sites qui n’offrent pas une protection appropriée.