Accueil
Actualités
Cybersécurité : quels réflexes avoir pour repérer un hameçonnage par email ?


#CYBERSÉCURITÉ

Cybersécurité : quels réflexes avoir pour repérer un hameçonnage par email ?



Le rapport annuel 2023 de la plateforme nationale Cybermalveillance est unanime : le phishing ou hameçonnage reste la cyberattaque la plus répandue. D’ailleurs, la page dédiée au hameçonnage sur leur site fait partie de celles les plus lues. En 2023, plus de 50 000 particuliers ou professionnels ont demandé de l’aide pour une cyberattaque de type “phishing”. Les cybercriminels continuent à duper leur cible pour obtenir des informations confidentielles avec des méthodes de plus en plus ficelées. L’email est l’un des moyens phares pour le phishing. Une réelle menace quotidienne qui pousse les particuliers et les salariés à avoir quelques réflexes pour repérer un hameçonnage (ou phishing) par email avant qu’il ne soit trop tard. Quelques actions simples peuvent suffire à contrecarrer les tentatives du cybercriminel.

CONNAÎTRE LES TECHNIQUES D'HAMEÇONNAGE PAR EMAIL

De nombreuses techniques de phishing par email existent. En plus, les cybercriminels rivalisent d’ingéniosité et trouvent de nouveaux moyens de tromper le destinataire de l’email, qu’il soit un particulier ou un professionnel.

Via l’email, ces trois techniques d’hameçonnage restent les plus courantes :

  • Les URL malveillantes qui redirigent le destinataire vers un site web piraté malveillant et / ou qui installent un maliciel (logiciel malveillant).
  • Les pièces-jointes malveillantes qui contiennent directement un maliciel qui s’installe.
  • Les formulaires de saisie de données plus vrais que nature qui encouragent le destinataire à fournir des informations sensibles personnelles comme les identifiants utilisateurs, les mots de passe, les coordonnées bancaires (carte de crédit), le numéro de téléphone…

S’ASSURER DE L'IDENTITÉ DE L'EXPÉDITEUR D’UN EMAIL, AVANT MÊME L’OUVERTURE

Lorsqu’un email arrive dans la boîte de réception, il faut s’en méfier avant même de cliquer dessus pour découvrir son contenu. En effet, la première information qu’il faut regarder attentivement est l’expéditeur.

Les campagnes de phishing tentent souvent de se faire passer par une société, par une collectivité ou par une personnalité connue (comme le chef ou la cheffe d’entreprise avec une campagne de phishing de type chasse à la baleine).

Pour éviter de tomber dans le piège, il faut développer 2 réflexes :

  • observer l’écriture du nom de l’expéditeur. Parfois, des lettres sont doublées ou inversées ou modifiées. Exemple : Collissimo ou encore Colossimo.
  • observer l’adresse email de l’expéditeur qui peut être en gmail, outlook, hotmail ou encore contenir le faux nom vu précédemment.
Parfois, la prévisualisation des premières lignes de textes de l’email peuvent confirmer vos doutes : celui-ci est une arnaque de phishing.

ANALYSER LE CONTEXTE DE L’EMAIL PAR QUELQUES INFORMATIONS CLÉS

A la lecture de l’email, l'œil du destinataire doit avoir le réflexe d’analyser rapidement la qualité du contexte de l’email. Tant sur le contenu (les textes et les images) que sur le contenant (le design de l’email).

Sur le contenu de l’email, d’un point de vue textuel, il faut repérer toutes les phrases qui inciterait le destinataire à :

  • mener une action. C’est-à-dire ? Un email de phishing n’est pas informationnel. Celui-ci incite à cliquer que ce soit sur une pièce jointe ou sur un lien malveillant comme un faux questionnaire ou une fausse page de connexion. Les mots seront choisis pour inciter à cliquer rapidement sur le lien ou l’objet en question.
  • agir rapidement, sans réfléchir. Les cybercriminels insistent sur le caractère urgent du contexte. Ils poussent les destinataires des emails à agir dans l’urgence, sans perdre de temps. Le but étant de ne pas déclencher des réflexes de cybersécurité en mettant une pression.

Quant au design de l’email, celui-ci doit vous alerter si :

  • le logo de l’entreprise ou de la collectivité n’est pas le bon (ancienne version, une lettre manquante, couleurs inexactes…)
  • les couleurs ne sont pas les bonnes
  • la qualité du design ne semble pas professionnelle ou diffère d'habituellement : texte trop gros, images mal cadrées…

S’ASSURER DE LA QUALITÉ DES LIENS ET PIÈCES JOINTES AVANT TOUT CLIC

Le clic sur une pièce jointe ou sur un lien est le moment où tout peut basculer. Alors, mieux vaut toujours prendre 2 secondes de réflexion avant de cliquer dessus. Comment reconnaît-on un lien frauduleux ou une pièce jointe malveillante ?

Plusieurs signaux peuvent nous mettre la puce à l’oreille sur une arnaque de type phishing :

  • Le nom du fichier ou de l’url : pensez à vérifier l’orthographe, l’ordre des lettres, la langue utilisée…
  • L’extension du fichier peut aussi indiquer le type de pièce jointe envoyée. Selon le destinataire, un certain type de fichier peut surprendre.
  • Les URLs raccourcies sont souvent utilisées dans le phishing. Il faut absolument s’en méfier, surtout si votre interlocuteur se présente comme une personne physique (collègue, directeur ou directrice d’entreprise…).

Les campagnes de phishing, dont celles par email, conservent leur première place sur le podium des cyberattaques. Tout le monde est concerné : la première faille étant le comportement des hommes et des femmes destinataires du message. L’acquisition de réflexes à la réception et à l’ouverture de l’email devient essentielle. C’est un acte de prévention nécessaire pour aujourd’hui et pour demain.