Attaques d’hameçonnage

L’hameçonnage est un type d’attaque d’ingénierie sociale souvent utilisé pour voler les données des utilisateurs, y compris les identifiants de connexion et les numéros de carte de crédit. Cela se produit lorsqu’un attaquant, se faisant passer pour une entité de confiance, dupe une victime en lui faisant ouvrir un e-mail, un message instantané ou un message texte. Le destinataire est alors amené à cliquer sur un lien malveillant, ce qui peut conduire à l’installation de malware, au blocage du système dans le cadre d’une attaque de ransomware ou à la révélation d’informations sensibles. Cet article parlera des types de techniques de phishing et de la prévention.

Techniques d’hameçonnage

Voici un bref aperçu de cinq menaces de phishing courantes qui surviennent souvent dans les environnements d’entreprise. Chaque exemple présente « Bob », un employé de niveau intermédiaire du service financier qui essaie de passer sa journée bien remplie et de répondre à des centaines d’e-mails.

  1. Abus de confiance – Bob reçoit un e-mail de ce qu’il pense être sa banque lui demandant de confirmer un virement bancaire. L’e-mail l’amène à un lien qui ressemble au site Web de sa banque, mais il s’agit en fait d’une copie « usurpée » mais identique du site Web de sa banque. Quand il arrive à la page, il a entré ses informations d’identification mais rien ne s’est passé. Trop tard, Bob vient de donner son mot de passe bancaire à un cybercriminel.
  2. Fausse loterie – Bob reçoit un e-mail l’informant qu’il a gagné un prix lors d’un tirage au sort. Normalement, Bob est trop averti pour craquer pour cette astuce. Cependant, cet e-mail vient de son patron, Joe, et fait référence à un organisme de bienfaisance qu’ils soutiennent tous les deux. Il clique et se retrouve sur une fausse page qui charge des logiciels malveillants.
  3. Mise à jour des données – Bob reçoit un e-mail de Joe lui demandant de jeter un œil à un document joint. Le document contient des logiciels malveillants. Bob ne réalise peut-être même pas ce qui s’est passé. Il regarde le document, ce qui semble normal. Le logiciel malveillant qui en résulte peut enregistrer ses frappes pendant des mois, compromettre l’ensemble du réseau et entraîner des failles de sécurité massives dans toute l’organisation.
  4. Abus sentimental – Bob reçoit un e-mail d’une personne prétendant être le beau-frère de Joe. Il souffre d’un cancer et son assurance a été annulée. Il demande à Bob de faire un don pour l’aider à se remettre de sa maladie. Bob clique sur le lien et est redirigé vers un faux site caritatif. Le site pourrait héberger des logiciels malveillants ou simplement voler les informations de carte de crédit de Bob via un faux “don en ligne”.
  5. Usurpation d’identité – Bob reçoit un e-mail de son patron Joe, qui lui dit qu’il a besoin d’argent viré à un fournisseur connu comme prépaiement pour un travail d’urgence. Bob peut-il leur virer l’argent tout de suite ? Cela semble assez routinier. Bob vire l’argent sur le compte demandé. L’argent est introuvable et jamais revu.

Prévenir les attaques de phishing

  1. Restez informé des techniques d’hameçonnage – De nouvelles escroqueries par hameçonnage sont constamment développées. Sans rester au fait de ces nouvelles techniques de phishing, vous pourriez en être victime par inadvertance. Gardez un œil sur les nouvelles concernant les nouvelles escroqueries par phishing. En les découvrant le plus tôt possible, vous aurez beaucoup moins de risques de vous faire piéger par un. Pour les administrateurs informatiques, une formation continue de sensibilisation à la sécurité et une simulation de phishing pour tous les utilisateurs sont fortement recommandées afin de garder la sécurité au premier plan dans toute l’organisation.
  2. Pensez avant de cliquer! – C’est bien de cliquer sur des liens lorsque vous êtes sur des sites de confiance. Cependant, cliquer sur des liens qui apparaissent dans des e-mails et des messages instantanés aléatoires n’est pas une décision si intelligente. Survolez les liens dont vous n’êtes pas sûr avant de cliquer dessus. Menent-ils là où ils sont censés conduire ? Un e-mail de phishing peut prétendre provenir d’une entreprise légitime et lorsque vous cliquez sur le lien vers le site Web, il peut ressembler exactement au vrai site Web. L’e-mail peut vous demander de remplir les informations, mais l’e-mail peut ne pas contenir votre nom. La plupart des e-mails de phishing commencent par “Cher client”, vous devez donc être vigilant lorsque vous rencontrez ces e-mails. En cas de doute, allez directement à la source plutôt que de cliquer sur un lien potentiellement dangereux.
  3. Installer une barre d’outils anti-hameçonnage – Les navigateurs Internet les plus populaires peuvent être personnalisés avec des barres d’outils anti-hameçonnage. Ces barres d’outils effectuent des vérifications rapides sur les sites que vous visitez et les comparent à des listes de sites de phishing connus. Si vous tombez sur un site malveillant, la barre d’outils vous en avertira. Il ne s’agit que d’une couche de protection supplémentaire contre les escroqueries par hameçonnage, et c’est totalement gratuit.
  4. Vérifier la sécurité d’un site – Il est naturel de se méfier un peu de la fourniture d’informations financières sensibles en ligne. Tant que vous êtes sur un site Web sécurisé, vous ne devriez pas rencontrer de problèmes. Avant de soumettre des informations, assurez-vous que l’URL du site commence par “https” et qu’il devrait y avoir une icône de cadenas fermé près de la barre d’adresse. Vérifiez également le certificat de sécurité du site. Si vous recevez un message indiquant qu’un certain site Web peut contenir des fichiers malveillants, n’ouvrez pas le site Web. Ne téléchargez jamais de fichiers à partir d’e-mails ou de sites Web suspects. Même les moteurs de recherche peuvent afficher certains liens qui peuvent conduire les utilisateurs vers une page Web de phishing proposant des produits à faible coût. Si l’utilisateur effectue des achats sur un tel site Web, les cybercriminels auront accès aux détails de la carte de crédit.
  5. Vérifiez régulièrement vos comptes en ligne – Si vous ne visitez pas un compte en ligne pendant un certain temps, quelqu’un pourrait s’en donner à cœur joie. Même si techniquement vous n’en avez pas besoin, vérifiez régulièrement chacun de vos comptes en ligne. Prenez également l’habitude de changer régulièrement vos mots de passe. Pour éviter les escroqueries par hameçonnage bancaire et par hameçonnage par carte de crédit, vous devez vérifier personnellement vos relevés régulièrement. Obtenez des relevés mensuels pour vos comptes financiers et vérifiez soigneusement chaque entrée pour vous assurer qu’aucune transaction frauduleuse n’a été effectuée à votre insu.
  6. Gardez votre navigateur à jour – Des correctifs de sécurité sont publiés en permanence pour les navigateurs populaires. Ils sont publiés en réponse aux failles de sécurité que les hameçonneurs et autres pirates découvrent et exploitent inévitablement. Si vous ignorez généralement les messages concernant la mise à jour de vos navigateurs, arrêtez-vous. Dès qu’une mise à jour est disponible, téléchargez-la et installez-la.
  7. Utilisez des pare – feu – Des pare – feu de haute qualité agissent comme des tampons entre vous, votre ordinateur et les intrus extérieurs. Vous devez utiliser deux types différents : un pare-feu de bureau et un pare-feu réseau. La première option est un type de logiciel et la deuxième option est un type de matériel. Lorsqu’ils sont utilisés ensemble, ils réduisent considérablement les chances que des pirates et des hameçonneurs s’infiltrent dans votre ordinateur ou votre réseau.
  8. Méfiez -vous des fenêtres contextuelles – Les fenêtres contextuelles se font souvent passer pour des composants légitimes d’un site Web. Trop souvent, cependant, il s’agit de tentatives de phishing. De nombreux navigateurs populaires vous permettent de bloquer les pop-ups ; vous pouvez les autoriser au cas par cas. Si l’on parvient à passer entre les mailles du filet, ne cliquez pas sur le bouton « annuler » ; de tels boutons mènent souvent à des sites de phishing. Au lieu de cela, cliquez sur le petit “x” dans le coin supérieur de la fenêtre.
  9. Ne jamais divulguer d’informations personnelles – En règle générale, vous ne devez jamais partager d’informations personnelles ou financièrement sensibles sur Internet. Cette règle remonte à l’époque d’America Online, lorsque les utilisateurs devaient être constamment avertis en raison du succès des premières escroqueries par phishing. En cas de doute, rendez-vous sur le site principal de l’entreprise en question, obtenez son numéro et appelez-le. La plupart des e-mails de phishing vous dirigeront vers des pages où des informations financières ou personnelles sont requises. Un internaute ne doit jamais effectuer de saisie confidentielle via les liens fournis dans les e-mails. N’envoyez jamais un e-mail contenant des informations sensibles à qui que ce soit. Prenez l’habitude de vérifier l’adresse du site Web. Un site Web sécurisé commence toujours par “https”.
  10. Utiliser un logiciel antivirus – Il existe de nombreuses raisons d’utiliser un logiciel antivirus. Les signatures spéciales incluses avec le logiciel antivirus protègent contre les solutions de contournement et les failles technologiques connues. Assurez-vous simplement de garder votre logiciel à jour. De nouvelles définitions sont ajoutées tout le temps car de nouvelles escroqueries sont également imaginées tout le temps. Les paramètres d’anti-spyware et de pare-feu doivent être utilisés pour empêcher les attaques de phishing et les utilisateurs doivent mettre à jour les programmes régulièrement. La protection par pare-feu empêche l’accès aux fichiers malveillants en bloquant les attaques. Un logiciel antivirus analyse tous les fichiers qui transitent par Internet vers votre ordinateur. Cela permet d’éviter d’endommager votre système.