Véritable fléau informatique, le phishing est une technique de fraude qui se propage à grande vitesse. Comment éviter les escroqueries dans votre vie personnelle et professionnelle ? Que faire si vous êtes victime de phishing ?
Notre article vous liste les bons réflexes à adopter afin d’assurer la sécurité de vos données.
Parcourez les sujets de cet article
Qu’est-ce que le phishing ?
Le phishing (hameçonnage en français) se définit comme une attaque informatique qui consiste à envoyer des emails frauduleux à un grand nombre d’internautes.
L’objectif est d’inciter les utilisateurs à faire une action comme cliquer sur une URL ou un formulaire. Le plus souvent, ces URL redirigent vers un faux site web d’une entreprise connue (banques, opérateurs téléphoniques, outils de bureautique…).
Les cybercriminels qui se cachent derrière ces sites frauduleux ont pour but de récupérer vos informations personnelles ou professionnelles. Ils peuvent vous demander de modifier votre mot de passe, de mettre à jour vos codes d’identification ou actualiser vos coordonnées bancaires.
Aujourd’hui, les attaques de phishing sont très répandues et ne cessent de s’accroître depuis la crise sanitaire et le développement du télétravail.
L’hypervigilance est l’une des clés pour éviter toutes attaques informatiques ! Altonéo vous explique comment contourner le phishing dans cet article.
Zoom sur le phishing en quelques chiffres*
*Selon le baromètre de CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), plus d’une entreprise sur 2 a été victime de cybercriminalité au cours de l’année 2021 et 73% des attaques étaient du phishing en 2021.
Selon le Data Breach Investigations : 94% des logiciels malveillants sont délivrés par e-mail.
Le spear phishing et le clone phishing : quelles différences ?
Le spear phishing ou clone phishing sont des variantes du phishing. Les hackers regorgent de plus en plus d’ingéniosité lorsqu’il s’agit de voler vos informations personnelles ou professionnelles.
Le spear phishing
Consiste à cibler une seule et même personne. Cette attaque prend la forme d’un email provenant d’une personne que vous connaissez (ex : collègues, responsables). Le cybercriminel usurpe l’identité de cette personne et vous demande de faire une action, par exemple, effectuer un virement bancaire.
Cette fraude s’appuie sur de l’ingénierie sociale dont l’objectif est de gagner votre confiance pour être le plus convaincant possible.
Le clone phishing
Se matérialise par une parfaite réplique d’un email que vous avez reçu récemment. Les cybercriminels récupèrent l’adresse email de l’expéditeur légitime et modifient les pièces jointes ou les liens par du contenu malveillant.
Ces emails clonés jouent sur votre confiance et sont très difficiles à détecter.
- Attention
Si vous recevez ces types d’email, cela ne présage rien de bon pour votre entreprise. Cela signifie que les attaquants ont déjà un pied dans votre système d’information…
Comment reconnaître une attaque de phishing ?
Les attaques de phishing sont de plus en plus virulentes et peuvent toucher n’importe qui. Il existe des astuces à connaître afin de les détecter rapidement et ne surtout pas tomber dans le piège des cybercriminels !
Lorsque vous recevez un email qui vous semble trompeur, portez une attention particulière sur :
- L’adresse de l’expéditeur, est-elle crédible ? Bien souvent les adresses emails sont farfelues et comportent de nombreux chiffres ou caractères spéciaux. Exemple : Alain.Dupont56877@municipality.org.fr
- Le nombre de fautes d’orthographe présent dans le corps du mail.
- L’absence de formules de politesse et le manque de personnalisation.
- La présence des lettres « TR » dans l’objet du mail. Cela signifie que le courrier électronique est diffusé en masse.
- L’apparence de l’email est-elle suspecte ? Vous connaissez l’expéditeur mais il vous fait une demande inhabituelle comme un virement bancaire. Il s’agit ici d’une usurpation d’identité, méfiez-vous !
- L’objet du mail : offre alléchante, incitation à cliquer sur un lien, une urgence à traiter, un remboursement inattendu, demande d’informations d’identification…
Méfiez-vous des emails de ce type :
Si vous êtes sur un site qui vous semble suspect, vérifiez ces détails :
- L’adresse URL du site web doit être sécurisée et certifiée. Les URL se terminant par : .fr ; .org ; .com ; .gouv sont fiables. Attention, un seul caractère manquant ou différent dans l’URL peut vous tromper !
- Les logos sont pixélisés et les couleurs sont différentes.
- Les menus du site web ne sont pas clairs.
- Absence de mentions légales et des CGV/CGU.
- Ayez toujours à l’esprit
S’il y a un doute, il n’y a pas de doute ! Ne répondez jamais et n’ouvrez pas les pièces jointes ou liens présents dans le corps de mail. Les techniques de phishing sont parfois très sophistiquées et il n’est pas toujours simple de différencier le vrai du faux. Vous pouvez toujours appeler directement l’expéditeur concerné afin d’être rassuré.
Comment réagir si vous êtes exposés au phishing ?
En seulement 3 étapes, vous pouvez vous protéger du phishing.
Lorsque vous recevez un email frauduleux :
- Placez-le dans les courriers indésirables.
- Bloquez l’expéditeur.
- Signalez l’email ou le faux site web grâce à des plateformes de signalement spécialisées*.
Si vous avez cliqué sur un lien douteux :
- Modifiez immédiatement vos identifiants et mots de passe.
- Faites opposition si vous avez communiqué vos coordonnées bancaires.
- Conservez toutes vos preuves (emails, messages, débits bancaires…).
- Déposez plainte au commissariat ou à la gendarmerie.
- Signalez votre email auprès de Signal Spam et de Phishing Initiative.
Dans le cadre professionnel, alertez votre service informatique le plus rapidement possible.
*Plateformes de signalement :
Quelles sont les conséquences en cas d’attaque de phishing ?
Les conséquences peuvent être désastreuses en cas d’attaque de phishing tant pour un particulier que pour une organisation. Les hackers se perfectionnent en créant des emails et sites web très réalistes.
Les risques encourus peuvent être :
- Une perte financière (demandes de rançons pour les entreprises).
- Une usurpation d’identité.
- Une fuite de données sensibles.
- Un préjudice sur la réputation de l’organisation.
Comment se prémunir face aux attaques de phishing en entreprise ?
Aujourd’hui, il existe des moyens de prévention pour contourner les attaques de phishing.
Du côté des organisations
Selon le dernier rapport d’activité de la CNIL, moins d’une entreprise sur deux investit dans la cybersécurité. Les organisations ont plus qu’intérêt à mettre en place des mesures préventives comme :
- Des formations de sensibilisation auprès des employés (à réaliser idéalement plusieurs fois dans l’année).
- Des contrôles internes qui ont pour but de filtrer les pages web ouvertes par les collaborateurs.
- Des sauvegardes régulières des données pour prévenir en cas de perte ou de piratage.
- La mise en place de la double authentification. Un simple mot de passe ne suffit plus à protéger les accès.
- Des filtres antispam pour les messageries. La plupart des boîtes de réception en intègrent automatiquement.
Du côté de l’employé :
Lorsque vous recevez un email suspect, prenez quelques minutes pour vérifier l’adresse mail de l’expéditeur. En cas de doute, n’ouvrez pas le message et contactez le correspondant en question.
S’il s’agit d’un email de phishing, spear phishing ou de clone phishing signalez-le immédiatement au service informatique de votre organisation ou via des plateformes spécialisées.
Pour aller plus loin… Nos conseils préventifs à appliquer au quotidien
- Utilisez des mots de passe complexes et différents sur chaque site ou application. Vous pouvez utiliser des gestionnaires de mots de passe.
- Ne communiquez jamais vos mots de passe ou informations bancaires. Aucune organisation ou organisme bancaire vous le demandera que ce soit par téléphone ou par email.
- Privilégiez la double authentification sur les sites ou applications.
- Installez des antivirus sur votre téléphone mobile et ordinateur.
- Évitez de cliquer sur les publicités pop-up lorsque vous êtes sur un site web.
- Bon à savoir
Les attaques de phishing sont de mieux en mieux réalisées et même les plus aguerris peuvent tomber dans le piège ! Soyez vigilants dès que vous recevez un email suspect. Plus vous adopterez les bons réflexes, plus il vous sera facile de déceler les signes d’alerte !
Vous êtes dirigeant et vous souhaitez être accompagné dans la cybersécurité de votre organisation ?
Référente : Équipe digitalisation et numérique, IT Solutions
Rédactrice : Adelle LUCAS, web rédactrice