encryption

10 conseils à suivre pour identifier les messages de phishing

October 04, 2016
Estelle Derouet

En octobre dernier, la plupart d'entre nous s'intéressait à la sculpture sur citrouille, aux changements climatiques et, pour peu que vous soyez canadien, à Thanksgiving. Dans le secteur de la sécurité toutefois, l'événement le plus intéressant était que le mois d'octobre correspondait également au mois de Sensibilisation à la cybersécurité nationale. Dans le cadre de cette campagne de sensibilisation, vous trouverez ci-après 10 conseils visant à aider chacun d'entre nous à lutter contre les pires cybermenaces aujourd'hui rencontrées dans les entreprises : les tentatives de phishing par courrier électronique.

La compromission de la messagerie en entreprise (BEC, Business Email Compromise) a coûté 3,1 milliards aux entreprises depuis janvier 2015, tandis que le phishing par courrier électronique destiné aux particuliers atteint un niveau record. D'une manière générale, nous ne faisons pas attention au champ « De » présent dans nos e-mails quotidiens, mais sans les outils adéquats, il n'y a aucune raison de faire confiance au contenu de ce champ.

Pour les entreprises, utiliser systématiquement la sécurité avancée comme premier mécanisme de protection contre la fraude à la messagerie se révèle crucial. Une protection par passerelle de messagerie sécurisée et authentification des messages électroniques comme DMARC (Domain-based Authentication Reporting and Conformance) est le meilleur moyen de protéger vos employés et clients.

Malheureusement, aussi perfectionnée que puisse être la stratégie de votre entreprise en matière de messagerie, certains e-mails de phishing parviendront jusqu'aux boîtes de réception. Ces messages sont d'une efficacité redoutable. Selon Verizon, 30 % des destinataires visés ouvrent ces messages de phishing, et 12 % vont jusqu'à cliquer sur leurs pièces jointes.

La sensibilisation doit être un élément clé de votre stratégie de protection de la messagerie. Vous trouverez ci-après les dix principaux conseils à suivre pour identifier un message de phishing. N'hésitez pas à les communiquer à vos employés et à vos clients.

Conseil n°1 : Ne faites pas confiance au nom affiché.

La tactique de phishing préférée des cybercriminels consiste à usurper le nom indiqué dans le message électronique. Le fonctionnement est le suivant : imaginons par exemple qu'un fraudeur souhaite usurper la marque ficitve « My Bank » ; son message ressemblera alors à ceci :

fig-1_3.png

Comme le domaine « secure.com » n'appartient pas à My Bank, le mécanisme de protection par authentification des e-mails ne bloquera pas ce message de la part de My Bank.

Une fois délivré, le message semble légitime puisque la plupart des boîtes de réception et des téléphones portables présentent uniquement le nom d'affichage. Vérifiez systématiquement l'adresse électronique indiquée dans le champ « De » et, en cas de doute, désignez le message comme suspect.

Conseil n°2 : Regardez mais ne cliquez pas.

Les cybercriminels adorent intégrer des liens malveillants dans les messages en apparence légitimes. Lorsque de tels liens sont présents dans le corps du message, survolez-les avec votre souris. Si l'adresse correspondante vous semble étrange, ne cliquez pas sur le lien. En cas de doute, quel qu'il soit, transmettez directement ce message à l'équipe en charge de la sécurité.

Conseil n°3 : Cherchez les fautes d'orthographe.

Les marques se montrent généralement consciencieuses dans leurs communications. Les vrais messages ne contiennent donc généralement pas de graves fautes d'orthographe ou de grammaire. Lisez soigneusement vos messages et n'hésitez pas à les signaler en cas de doute.

Conseil n°4 : Analysez la formule de salutation.

Le message s'adresse-t-il à un vague « précieux client » ? Si oui, faites attention. Une véritable entreprise utilisera généralement une formule plus personnelle, indiquant vos nom et prénom.

Conseil n°5 : Ne communiquez jamais d'informations confidentielles (les vôtres comme celles de l'entreprise).

La plupart des entreprises ne vous demanderont jamais vos identifiants de connexion à caractère personnel par e-mail, et en particulier les banques. À l'inverse, la plupart d'entre elles ont mis en place des règles qui interdisent les communications externes de leurs adresses IP. Réfléchissez bien avant d'envoyer toute donnée confidentielle par e-mail.

Conseil n°6 : Méfiez-vous des propos urgents ou menaçants éventuellement présents dans la ligne d'objet.

Susciter la crainte ou un sentiment d'urgence est une tactique de phishing courante. Méfiez-vous des lignes d'objet qui vous signalent que « votre compte a été suspendu » ou qui vous invitent à répondre rapidement à une « demande de paiement urgente ».

Conseil n°7 : Examinez la signature.

L'absence de détails sur le signataire ou de coordonnées permettant de contacter l'entreprise fait fortement penser à une tentative de phishing. Les véritables entreprises donnent toujours leurs coordonnées. Vérifiez-les !

Conseil n°8 : Ne cliquez jamais sur les pièces jointes.

Joindre des documents contenant des virus et des logiciels malveillants est une tactique de phishing courante. Ces logiciels malveillants peuvent endommager votre ordinateur, voler vos mots de passe ou encore vous espionner à votre insu. N'ouvrez jamais les pièces jointes aux courriers électroniques que vous n'attendez pas.

Conseil n°9 : Ne vous fiez pas à l'en-tête indiqué dans l'adresse électronique.

Les fraudeurs ne se contentent pas d'usurper le nom d'affichage des marques ; ils se font également passer pour celles-ci dans l'en-tête de l'adresse électronique, y compris dans le nom de domaine. Gardez à l'esprit que, même si l'adresse de l'expéditeur semble légitime (par exemple nomexpéditeur@votresociete.com), ce n'est peut-être pas le cas. L'apparition d'un nom familier dans votre boîte de réception est parfois trompeuse.

Conseil n°10 : Ne croyez pas tout ce que vous voyez.

Les auteurs de phishing se montrent d'une habileté extrême. Nombre d'e-mails malveillants présentent les logos et les argumentaires d'une marque et une adresse de messagerie apparemment valide pour vous convaincre. Montrez-vous prudent pour tous les messages électroniques et, en cas de doute, même le plus léger, n'ouvrez pas le message.

Contribuez à la discussion sur la sécurité en diffusant ces conseils sur Twitter via le hashtag #CyberAware. Si vous souhaitez en savoir plus sur les menaces associées aux messages d'imposteurs, consultez notre dernier livre blanc.