Que vous dirigiez une grande entreprise ou une petite boutique, vous devez maintenant être conscient des menaces posées par les cybercriminels pour vous inciter à cliquer sur un lien, à télécharger une pièce jointe ou à s’emparer de votre argent.
Les escroqueries modernes par courrier électronique deviennent de plus en plus sophistiquées, entraînant des pertes énormes pour les entreprises de toutes tailles.
Selon le rapport d’enquête sur les violations de données de Verizon 2018, le phishing était utilisé dans 93% des violations signalées, le courrier électronique étant le principal vecteur d’attaque dans 96% des cas signalés.
Bien que ces chiffres soient ahurissants, ils continuent à augmenter alors que les arnaqueurs récoltent des gains énormes de la part de BEC (Business Email Compromise), de fraudes de PDG et d’autres escroqueries par phishing.
Ainsi, pour lutter contre ce fléau, un utilisateur averti est la meilleure défense contre les eccascroqueries par hameçonnage.
Voici sur les 10 meilleurs conseils sur la manière de d’identifier les attaques de phishing et surtout de s’en protéger.
⇒Le phishing est l’utilisation frauduleuse de communications électroniques pour tromper et tirer avantage des utilisateurs.
⇒Les attaques de phishing tentent d’obtenir des informations sensibles et confidentielles telles que des noms d’utilisateur, des mots de passe, des informations de carte de crédit, des identifiants de réseau, etc.
⇒En se présentant comme un individu ou une institution légitime par téléphone ou par courrier électronique, les cyber-attaquants utilisent l’ingénierie sociale pour manipuler les victimes afin qu’elles effectuent des actions spécifiques – comme cliquer sur un lien malveillant ou une pièce jointe – ou divulguer délibérément des informations confidentielles.
Si vous pensez avoir cliqué sur un email frauduleux, suivez les étapes suivantes
– Déconnectez immédiatement l’ordinateur ou le périphérique d’Internet ou du réseau.
– Prévenez votre superviseur.
– Lancer une analyse de votre ordinateur contre les virus, en particulier si vous avez ouvert une pièce jointe.
– Changer les noms d’utilisateur et les mots de passe.
– Contactez le IDDI informatique et transférez le courrier électronique frauduleux.
– Alerter l’entreprise ou la personne dont le courrier semblait provenir.
1-Méfiez-vous des messages déguisés, comme des notifications d’expédition ou de paiement. Ceux-ci contiennent souvent des liens vers des sites de logiciels malveillants. Passez votre souris sur les liens pour vous assurer qu’ils sont sécurisés. Pensez avant de cliquer! Voici un exemple d’utilisation d’un e-mail de phishing reçu de HSBC.
2- Surveillez les messages demandant des informations personnelles telles que des numéros de compte et d’autres informations personnelles. Les entreprises légitimes ne le demanderont jamais par courrier électronique.
3- Méfiez-vous des messages urgents ou menaçants prétendant que votre compte a été suspendu et vous invitant à cliquer sur un lien pour le déverrouiller.
4- Surveillez les messages demandant des informations personnelles telles que des numéros de compte et d’autres informations personnelles. Les entreprises légitimes ne le demanderont jamais par courrier électronique.
5- Vérifiez les fautes de grammaire ou d’orthographe. En effet, les entreprises légitimes sont très strictes concernant les courriels qu’elles envoient alors que les courriels de phishing contiennent souvent des fautes d’orthographe ou une grammaire médiocre.
6- Vérifier le message d’accueil – Le message est-il adressé à un destinataire générique, tel que “Monsieur / Madame?” Si oui, soyez prudent et réfléchissez-y à deux fois! Les entreprises légitimes utiliseront souvent votre prénom et votre nom de famille. Dans notre exemple HSBC, remarquez le message d’accueil générique.
7- Vérifier la signature – En plus du message d’accueil, les courriels de phishing omettent souvent des informations importantes dans la signature. Les entreprises légitimes auront toujours des informations de contact exactes dans leur signature. Par conséquent, si la signature d’un message est incomplète ou inexacte, il s’agit probablement de spam. Dans notre exemple HSBC, le nom de l’expéditeur et les informations de contact sont absents de la signature.
8- Ne pas télécharger les pièces jointes – Avec la prolifération de Ransomware en tant que service (Raas), les spammeurs disposent d’un mécanisme simple pour distribuer des spams contenant des logiciels malveillants à des milliers d’utilisateurs. Et parce que le paiement pour les ransomwares peut être assez élevé, même une infection réussie par ransomware pourrait rapporter au spammeur de grosses sommes d’argent. Si vous avez des doutes sur l’identité de l’expéditeur du message ou sur le contenu d’une pièce jointe, faites preuve de prudence et ne téléchargez pas la pièce jointe.
9- Ne faites pas confiance à l’adresse de l’expéditeur – De nombreux emails de phishing auront une adresse d’expéditeur falsifiée. L’adresse “De” est affichée à deux endroits. L’enveloppe “de” est utilisée par les serveurs de messagerie pour générer des messages de non-remise, tandis que l’en-tête de est utilisée par le client de messagerie pour afficher des informations dans le champ De. Ces deux en-têtes peuvent être usurpés. De nombreux clients de messagerie cachent l’adresse de départ, en affichant uniquement le nom de l’expéditeur, qui peut être facilement falsifié.
10- Ne pas activer les macros – Bien que nous parlions de ransomware, les macros dans les documents Microsoft Word sont un autre vecteur courant d’infections par ransomware. Ces documents arrivent souvent dans des courriels d’hameçonnage prétendant avoir un contenu important provenant des ressources humaines, des finances ou d’un autre département important, et pour duper l’utilisateur, ils demandent à l’utilisateur d’activer les macros. Ne faites jamais confiance à un courrier électronique qui vous demande d’activer des macros avant de télécharger un document Word.
Nous sommes là pour vous aider
IDDI informatique vous conseille grandement de former vos collaborateurs à être plus vigilant. Des indices visuels peuvent être ajoutés aux e-mails entrants pour avertir les employés lorsqu’un e-mail n’a pas été envoyé par une personne interne. En outre, les services anti-phishing de IDDI informatique peuvent filtrer le phishing dans les e-mails à l’aide de technologies avancées, afin de minimiser le risque que votre entreprise soit victime de phishing.
