Qu’est-ce que l’hameçonnage ? 7 conseils pour être en sécurité en 2019

Qu’est-ce que l’hameçonnage ? 7 conseils pour être en sécurité en 2019
Evan Porter
PAR : Evan Porter
Publié le : 7 juillet 2019

Alors que certains pirates utilisent des méthodes discrètes comme l’infection de votre ordinateur à l’aide d’un programme malveillant pour soutirer vos informations les plus précieuses, d’autres vous les demandent directement. Cette pratique s’appelle l’« hameçonnage » et c’est l’une des méthodes les plus efficaces pour leurrer les victimes sans méfiance.

L’hameçonnage est un type de cybercrime qui permet aux pirates de se faire passer pour des figures d’autorité, des représentants d’un service client ou de sources fiables, afin de vous volez vos informations personnelles les plus précieuses.

Les attaques d’hameçonnage surviennent généralement par courriel, mais elles peuvent également avoir lieu par SMS ou même par appels téléphoniques. Alors, comment distinguer un activité légitime et une escroquerie ?

Voici notre guide complet pour reconnaître les attaques d’hameçonnage, comment vous défendre contre elles et que faire si vous êtes la cible d’un cybercriminel.

Qu’est-ce que l’hameçonnage ? 7 conseils pour être en sécurité en 2019

Unsplash

Comment fonctionnent les attaques d’hameçonnage ?

Bien qu’il puisse prendre différentes formes, le principe fondamental de l’hameçonnage, est qu’un criminel essaiera de vous leurrer afin que vous lui transmettiez volontairement des informations personnelles, comme des numéros de carte de crédit, des mots de passe, des numéros de compte et bien plus.

Cela peut se passer ainsi :

Imaginez que vous recevez un courriel urgent de votre compagnie de carte de crédit. Il semble y avoir un problème avec votre compte et il a été verrouillé pour des raisons de sécurité.

Le courriel peut vous inviter à cliquer sur un lien menant à une page de connexion où vous pouvez confirmer votre identité et débloquer votre carte ou votre compte.

Vous pouvez effectuer tout ce processus sans même vous rendre compte que le courriel et la page de connexion sont frauduleux, et que vous avez été ciblé par une attaque d’hameçonnage.

Certains exemples courants de courriels d’hameçonnage incluent des invitations à :

  • Débloquer votre carte de crédit ou compte bancaire
  • Mettre à jour vos coordonnées officielles
  • Renouveler votre compte ou votre adhésion
  • Confirmer la réception d’une commande
  • Réclamer un remboursement ou un paiement
  • Envoyer votre formulaire W-2 ou celui de quelqu’un d’autre
  • Faciliter un virement bancaire

Ces courriels peuvent ressembler à des messages officiels provenant de votre fournisseur d’accès à Internet, le gouvernement des États-Unis, voire votre supérieur hiérarchique.

Souvent, les demandes contenues dans ces courriels sont urgentes (votre carte de crédit est bloquée) ou très tentantes (réclamez votre remboursement).

Ce type d’attaque est généralement effectuée en masse à l’aide de « kits d’hameçonnage » ou de clones de courriels ou de sites Internet légitimes. Par exemple, un criminel peut cloner la page de connexion d’une banque et modifier le code afin de recevoir vos identifiants une fois que vous les avez renseignés.

Dans des cas plus rares, des individus peuvent être ciblés par des attaques d’hameçonnage conçues sur mesure. Cela s’appelle du « harponnage » et consistera généralement en des courriels personnalisés incluant des informations sur vous ou des personnes que vous connaissez. Vous pourriez par exemple recevoir un courriel urgent qui semble avoir été envoyé par votre supérieur et qui vous demande d’envoyer les formulaires W-2 de tous les membres de votre département.

La « pêche à la baleine » est une attaque d’hameçonnage particulièrement personnalisée et sophistiquée ciblant des cibles de choix, comme le PDG d’une grande société.

Comment repérer et prévenir des attaques d’hameçonnage en 2019 ?

Comment repérer et prévenir des attaques d’hameçonnage en 2019 ?

Pixabay

Les attaques d’hameçonnage peuvent être vraiment effrayantes, précisément car elles peuvent cibler n’importe qui et qu’elles sont conçues pour imiter à la perfection des échanges quotidiens légitimes.

Vous n’avez pas besoin d’accéder à des sites Internet louches ou partager des fichiers sur les sites de torrent pour être touché par une attaque d’hameçonnage. Vous pourriez facilement trouver demain un courriel frauduleux dans votre boîte de réception qui ressemble à un message d’Amazon, de Netflix ou de votre banque et vous demandant d’agir de manière urgente.

Ceci étant dit, les attaques d’hameçonnage ne sont pas si difficiles à repérer et à prévenir, si vous savez ce qu’il vous faut chercher.

Voici quelques conseils pour vous protéger pendant que vous consultez vos courriels ou d’autres messages.

1. Restez méfiant vis-à-vis des offres « trop belles pour être vraies »

Développez une forme de scepticisme sain vis-à-vis des messages que vous recevez dans votre boîte de réception, en particulier si vous ne connaissez pas personnellement l’expéditeur ou que vous n’attendez pas ce message aussi tôt.

Erreur de la banque en votre faveur ? Énorme remboursement de la part d’Amazon ? Les impôts souhaitent vous envoyer de l’argent ?

Ce sont des signaux d’alerte que vous devriez examiner plus attentivement.

Prenez également garde aux messages très urgents qui semblent nécessiter une action immédiate sans contexte.

2. Vérifiez soigneusement les URL et les adresses électroniques

Alors, vous avez reçu un courriel de la part d’Amazon vous demandant de réclamer votre remboursement suite à un débit erroné. Cela semble trop beau pour être vrai, mais que devriez-vous faire exactement ?

Examinez soigneusement l’adresse électronique de l’expéditeur. Est-ce qu’elle vous semble légitime ?

Si quelqu’un affirmant être un représentant d’Amazon vous contacte par courriel, son adresse électronique devrait ressembler à « [email protected] », ou inclure un éventail de sous-domaine (comme support.amazon.com, par exemple).

Si le courriel provient d’un domaine avec une faute subtile (comme Amazonn.com) ou qu’il a été transmis par un domaine méconnaissable ou ressemblant à du charabia, c’est un bon signe que vous avez affaire à un courriel d’hameçonnage.

Veillez à passer votre curseur sur tous les liens présents dans le courriel avant de cliquer dessus, cela devrait révéler les URL cibles des liens. Elles doivent être reconnaissables et correspondre à l’expéditeur.

Ne consultez pas de sites Internet avec des URL non reconnaissables et ne répondez pas aux courriels transmis depuis des domaines aux noms fantaisistes.

3. Confirmez l’authenticité du message avant de fournir des informations critiques

Il est rare qu’un service client légitimé vous demande votre numéro de compte complet, votre numéro de carte de crédit ou d’autres informations personnelles complètes. Ils utiliseront le plus souvent des informations partielles (les 4 derniers numéros d’un numéro de compte ou votre adresse postale) afin de confirmer votre identité.

Toutefois, dans certains cas, vous pouvez vraiment avoir besoin de fournir des informations supplémentaires.

Si l’interaction semble suspecte pour une raison quelconque, essayez de confirmer l’authenticité de la demande.

Une bonne stratégie est d’appeler le numéro de téléphone du service client concerné disponible sur le site Internet de la société, ou de trouver d’autres moyens officiels de communication complètement distincts du courriel suspect.

4. Utilisez un fournisseur de courriel digne de confiance

En 2019, la plupart des bons fournisseurs de courriel fourniront certains niveaux de protection contre les attaques d’hameçonnage et d’autres pourriels.

Outlook et Gmail, par exemple, ont accès à de nombreuses données sur des escroqueries signalées et des messages malveillants. Ils sont souvent mieux à même de filtrer les courriels nocifs que la majorité des fournisseurs plus petits.

Quel que soit le fournisseur que vous choisissez pour votre compte de courriel, étudiez les paramètres concernant les pourriels et, si nécessaire, demandez au service client s’il a des recommandations pour vous protéger contre l’hameçonnage.

5. Méfiez-vous des efforts caritatifs entourant les grands évènements mondiaux

Lorsqu’une catastrophe naturelle ou une attaque terroriste survient, des escrocs créent souvent des organismes caritatifs dans l’espoir de capitaliser sur la compassion des âmes charitables.

Adoptez toujours des comportements sûrs en matière de courriel, mais soyez vigilant, en particulier durant les périodes de collecte de fonds importante et ne fournissez pas votre numéro de carte de crédit, sauf si vous êtes sûr à 100 % que c’est une opération légitime.

Si vous souhaitez contribuer à une cause politique ou humanitaire, cherchez une organisation fiable afin de lui faire un don direct.

6. Installez un antivirus doté d’une protection contre l’hameçonnage

Les meilleurs programmes antivirus incluent des fonctionnalités supplémentaires afin de vous aider à vous protéger contre l’hameçonnage.

Ils amélioreront la protection offerte par votre fournisseur de courriel et filtreront mieux les pourriels grâce à une vaste librairie de cas signalés et d’autres attaques d’hameçonnage.

7. Signalez les potentielles attaques d’hameçonnage

Soyez un bon citoyen et informez votre banque, votre fournisseur d’accès à Internet ou les autres sociétés si des pirates mènent des attaques en utilisant leurs noms.

Ils pourront peut-être prendre des mesures de sécurité comme envoyer des avertissements ou ajuster la conception de leurs pages de connexion afin d’améliorer la sécurité des utilisateurs.

Conclusion – Pour rester en sécurité, restez sceptique

Les attaques d’hameçonnage sont relativement faciles à éviter si vous êtes bien informés sur leur fonctionnement.

Contrairement aux attaques de vers informatiques ou les attaques par force brute à l’aide de programmes malveillants, l’hameçonnage repose sur le fait que vous baissez votre garde et que vous fournissez vos informations.

La moyen le plus simple de rester protéger est de ne jamais fournir des informations sensibles ou importantes à quiconque en ligne, sauf si vous êtes sûr à 100 % qu’il s’agit d’un représentant d’une source de confiance.

C’est plus facile à faire, bien sûr, car les pirates modernes répliquent parfaitement les pages de paiement, de connexion et d’autres portails web importants.

Mais si vous faites attention et que vous inspectes l’adresse électronique et les URL avant d’agir, vous serez capable de repérer une attaque avant d’en être victime.