De nos jours, il est plus important que jamais de veiller à la protection de ses renseignements personnels et de ceux de son organisation ou entreprise. Mais il arrive parfois que les fraudeurs soient tellement convaincants, que les victimes leurs offrent des données confidentielles sur un plateau d’argent en pensant les partager à une personne digne de confiance.
Vous avez peut-être déjà réussi à déjouer ce genre de stratagème, mais il est tout de même important de sensibiliser la population en général à un type de cybercrime très répandu : l’hameçonnage.
Dans cet article, nos spécialistes en gestion d’infrastructure informatique et en cybersécurité vous expliquent en quoi consiste l’hameçonnage et comment faire pour ne pas mordre à l’hameçon des pirates informatiques qui l’utilisent!
Qu’est-ce que l’hameçonnage (phishing) ?
L’hameçonnage est une technique de fraude utilisée par des cybercriminels qui cherchent à mettre la main sur les renseignements personnels ou confidentiels d’une personne ou d’une organisation pour ensuite en tirer profit (vol d’identité, ouverture de compte, utilisation de carte de crédit et autres actes frauduleux). Cette pratique est considérée comme un cybercrime et implique généralement l’utilisation de faux courriels, de faux sites Web ou de messages textes.
Pour amener les victimes à divulguer des informations privées (adresse, date de naissance, numéro d’assurance sociale, informations de carte de crédit, NIP, etc.), les cybercriminels prennent soin de se dissimuler derrière des courriels et des sites Web qui sont familiers pour la victime ciblée.
Différents types d’hameçonnage
Courriel
C’est la forme d’hameçonnage la plus répandue. Les cybercriminels envoient un courriel à plusieurs destinataires leur demandant de mettre à jour leurs informations personnelles, de vérifier certains détails de leur compte ou de modifier leur mot de passe.
Il faut dire que les fraudeurs sont passés maitres dans l’art de recréer l’esthétique des courriels provenant d’institutions crédibles et pour susciter un sentiment d’urgence chez les destinataires.
Faux sites Web
Les pirates ont la capacité de créer de faux sites Web ayant une apparence tellement semblable à ceux qu’ils reproduisent que certaines victimes vont tomber dans le piège et y entrer leurs informations personnelles. Malheureusement, ces dernières s’exposent ainsi au vol d’identité.
Injection de contenu
L’injection de contenu consiste à injecter du contenu malveillant dans un site Internet connu (institution financière, compte courriel, etc.). Ce contenu contient un lien qui dirige ensuite la victime vers un site secondaire où on lui demande de fournir des renseignements confidentiels.
Hameçonnage sur appareils mobiles
L’hameçonnage sur appareils mobiles est aussi possible. Dans cette forme de fraude électronique, les pirates envoient un message texte ou vocal signifiant qu’un compte de la victime est fermé, corrompu ou expiré. Ils espèrent ainsi que l’utilisateur va cliquer sur le lien accompagnant le message et qui peut comprendre un lien, une vidéo ou un message permettant de voler de l’information personnelle ou d’installer un logiciel malveillant sur l’appareil mobile.
Hameçonnage vocal
Comme son nom l’indique, l’hameçonnage vocal se fait au téléphone. Le fraudeur prend le rôle d’un interlocuteur insistant et laisse un message ou lit un script qui incite la victime à communiquer avec un autre numéro de téléphone.
Ces appels frauduleux sont conçus pour faire naître un sentiment d’urgence ou l’appât du gain et encourager le destinataire à agir rapidement. Par exemple, le malfaiteur peut dire à sa victime qu’il a besoin de certaines informations pour éviter que son compte de banque soit suspendu ou empêcher qu’elle soit accusée d’une infraction criminelle.
Harponnage
Le harponnage est une variante de l’hameçonnage et est utilisé par les cybercriminels qui ciblent particulièrement les utilisateurs d’entreprises. Le harponnage consiste en une attaque ciblée sur un utilisateur ou un groupe restreint d’utilisateurs, avec des informations très précises et personnalisées susceptibles de tromper la vigilance du destinataire.
Maliciel
Les maliciels sont déclenchés lorsque les destinataires cliquent sur la pièce jointe d’un courriel et installent par mégarde un logiciel malveillant qui fouille l’ordinateur et le réseau à la recherche d’informations utiles.
Parmi les maliciels les plus populaires, on compte les enregistreurs de frappe (qui vont permettre de connaître les mots de passe) et les logiciels de type « cheval de Troie ». Il faut aussi se méfier de virus qui se cachent dans de fausses mises à jour.
Publicité malveillante
Les cybercriminels peuvent créer des publicités en ligne ou des « pop-up » qui incitent les gens à cliquer sur un lien qui lance automatiquement l’installation d’un logiciel malveillant.
Besoin d'un service informatique pour votre entreprise au Québec? Contactez-nous dès maintenant!
Comment reconnaître une tentative de fraude par courriel ?
Vous recevez un courriel vous demandant des renseignements comme votre nom d’utilisateur, votre mot de passe ou votre date de naissance. Il contient souvent une pièce jointe ou un hyperlien menant à un site frauduleux.
Si le message semble provenir d’une entreprise connue (telle que votre banque), méfiez-vous encore davantage : la plupart des institutions ne communiquent pas avec les clients par courriel pour leur demander des informations personnelles.
4 caractéristiques notables des courriels frauduleux :
- Le courriel contient une pièce jointe pouvant contenir les mots : DHL, notification, livraison ou facturation.
- Il contient un hyperlien pointant vers une page Web infectée qui installe un virus sur votre ordinateur.
- Le message est susceptible d’éveiller l’intérêt du destinataire. Le sujet peut contenir : « fermeture imminente de votre compte », « colis en attente », « facture à payer ».
- L’expéditeur vous demande de payer une facture par courriel alors que ce n’est pas le mode de paiement habituel.
Comment se protéger des tentatives d’hameçonnage?
Il n’existe pas vraiment de système de protection automatique infaillible. La solution consiste à prendre des précautions et sensibiliser les employés. Effectuer un audit de sécurité informatique ponctuellement peut aider à se protéger.
Voici néanmoins quelques conseils permettant de réduire les chances de se faire dérober des données confidentielles ou sensibles:
- Ne répondez pas aux courriels qui demandent une action urgente ou immédiate et qui annoncent une conséquence imminente. Ne suivez pas les liens proposés, n’ouvrez pas de pièce jointe et ne communiquez aucune information personnelle.
- Même si vous connaissez l’entreprise à l’origine du courriel, évitez de cliquer sur un lien. Inscrivez plutôt l’adresse officielle du site directement dans votre navigateur Web.
- Validez la qualité de la rédaction : les courriels d’hameçonnage contiennent souvent des fautes d’orthographe.
- Sachez repérer un courriel suspect. Voici quelques questions à se poser :
- Est-ce que je connais l’expéditeur ?
- Le contenu du courriel est-il suspect ?
- Le sujet du courriel est-il normal ?
- Le contenu est-il en adéquation avec l’expéditeur ?
- Y’a-t-il une signature ?
- Contient-il une pièce jointe ?
- Mettez à jour vos logiciels, notamment Adobe Flash Player, Adobe Reader, votre antivirus et votre système d’exploitation.
- Avant d’effectuer des transactions en ligne, vérifiez toujours la fiabilité du site de l’entreprise.
- Si un employé pense être face à un courriel frauduleux, il doit détruire le courriel en question.
Groupe SL vous aide à déjouer les stratégies des cybercrimninels
En conclusion, l’hameçonnage est un véritable fléau qui est très difficile à éliminer à la source. Il est donc important que les individus et organisations soient au courant des différents types d’hameçonnage et se montrent toujours méfiants à l’égard de tous les messages demandant de divulguer des informations ou données sensibles.
Cela dit, si vous voulez un coup de main pour protéger votre entreprise des menaces informatiques qui pourraient causer des fuites de données sensibles, contactez notre équipe de spécialistes en cybersécurité ! Nous pourrons discuter de vos besoins et vous proposer des solutions adaptées pour renforcer la cybersécurité et la fiabilité de votre infrastructure TI.