Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ivanti : Comment reconnaître un e-mail d’hameçonnage ?

juillet 2017 par Ivanti

Objet : ACTION IMMÉDIATE REQUISE !

« votre mot de passe va bientôt expirer. Pour changer de Mot de passe et continuer à utiliser ce compte, cliquez ici

Merci
centre de support »

Ci-dessus un e-mail, inoffensif au premier abord, exhortant le destinataire à cliquer sur un lien. En effet, les choses ne sont parfois pas ce qu’elles semblent être et cet e-mail, aux allures de simple rappel, est en réalité un e-mail d’hameçonnage. Si le destinataire clique, il exposera son entreprise à une cyberattaque ; 91 % de ces cyberattaques étant causées par un mail similaire. Par ailleurs, une étude récente expose que 50 % des utilisateurs cliquent sur des liens par simple curiosité.

Anatomie d’un e-mail d’hameçonnage

Les tentatives d’hameçonnage sont un peu comme l’histoire du « loup déguisé en mouton ». Créés de toutes pièces par des cybercriminels dans le but de tromper leurs destinataires, les e-mails d’hameçonnage imitent les e-mails reçus quotidiennement. Le plus souvent, l’aspect inhabituel est le message insistant qu’ils divulguent, exigeant une intervention immédiate.

Deux raisons expliquent le fait que certains tombent dans le panneau. Tout d’abord, la grande majorité des salariés d’une entreprise traite un mail urgent rapidement, sinon il sera perdu dans la masse et oublié. Ensuite, ces types d’e-mails ont pour effet de bloquer certains des mécanismes naturels de filtrage de notre cerveau. Nous avons tendance à adopter une approche « orientée tâche » pour traiter un message urgent... la pensée critique et la phase d’analyse sont occultées.

Stratégie de contenu

Par nature, pour qu’une attaque par « piratage psychologique » réussisse, dans le cas des e-mails d’hameçonnage, le message doit intéresser, voire fasciner, le destinataire. Le célèbre e-mail du « prince nigérian », dans les années 90 en est la preuve. Cet e-mail, envoyé à des milliers de « victimes », promettait une fabuleuse récompense au destinataire s’il transférait une certaine somme d’argent, supposée lui apporter en retour des millions de dollars. Cette escroquerie, ainsi que toutes les autres qui ont suivi, faisait appel aux émotions de la personne qui recevait le message.

Dans un premier temps, elle joue sur le désir le plus profond de la victime, dans ce cas, le souhait de s’enrichir. Dans un second temps, elle exploite l’instinct naturel qui est celui d’aider son prochain. Cette combinaison de faits a suffi pour convaincre de nombreuses personnes à tomber dans le piège.

Pour certains, même si l’e-mail reçu provient d’une source inconnue, le message va avoir un impact sur leur stade émotionnel. Les destinataires risquent donc de cliquer et compromettre l’activité de leur entreprise, même si ces escroqueries semblent peu dangereuses au premier coup d’œil. Ainsi, une réelle stratégie de contenu est conçue pour jouer sur le mécanisme cognitif des destinataires. Des « déclencheurs de motivation » sont toujours mis en œuvre dans les e-mails d’hameçonnage et, souvent, ils fonctionnent. L’être humain reste vulnérable aux attaques lorsque son désir ou son instinct le pousse à croire une histoire, au point de museler sa prudence.

C’est pour cette raison que particuliers ou employeurs doivent rester vigilants. En étant conscients de nos faiblesses et notre vulnérabilité, nous pouvons reconnaître que ces attaques sont en réalité de vraies escroqueries.

Comment éviter d’en être victime

Pour lutter contre les cyberattaques la formation continue et l’implication des utilisateurs est primordiale.

En bref, si le destinataire est capable de reconnaître un e-mail frauduleux, ses informations personnelles ou professionnelles seront protégées. Alors oui, plus facile à dire qu’à faire, surtout que les pirates envoient ces messages depuis des adresses « copycat » qui ressemblent à celles d’expéditeurs connus comme Google Docs, l’administrateur système, la DRH, le PDG, un ami... Compte tenu de cela, il est essentiel de s’informer et de prendre du recul, d’évaluer le message et de repérer les indices qui montrent que cet e-mail est trompeur. En cas de doute, il est préférable de contacter l’expéditeur et vérifier la validité de l’e-mail avant de l’ouvrir. Si le destinataire ne peut pas garantir son authenticité, il est préférable de suivre la règle : « si je ne suis pas sûr, ça va aux ordures ».

Quelques astuces :

 Il faut être réaliste, les e-mails du type : « comment gagner de l’argent en restant assis dans son canapé » sont des pièges !
 Les documents légaux et authentiques ne sont jamais envoyés par e-mail mais par courrier postal.
 Les sources légitimes n’exhortent pas leurs destinataires à modifier leurs mots de passe ou à envoyer leurs informations personnelles sensibles par e-mail. De même, pour les messages demandant un numéro de sécurité sociale, des informations bancaires, détails fiscaux etc. Alors avant de fournir tous ces détails, il est souhaitable de contacter l’institution officielle pour confirmer l’authenticité du message.
 Un logo connu par le destinataire présent dans un e-mail, ne signifie pas qu’il ne s’agit pas d’une escroquerie. Il faut repérer les signes « louches » comme une police de caractères inhabituelle, des fautes d’orthographe, des images pixélisées...
 Il faut impérativement examiner l’adresse de l’expéditeur et les liens URL... souvent révélateurs d’une arnaque.

Aujourd’hui, la multiplication des escroqueries par e-mails a rendu les internautes beaucoup plus sceptiques, ce qui peut leur épargner des complications.

Pour confirmer les affirmations ci-dessus, réexaminons le message de départ :

Objet : ACTION IMMÉDIATE REQUISE !

« votre mot de passe va bientôt expirer. Pour changer de Mot de passe et continuer à utiliser ce compte, cliquez ici

Merci
centre de support »

Premièrement, la ligne d’objet est conçue pour donner une fausse impression d’urgence. Ensuite, dans l’ensemble, l’e-mail manque de ponctuation et la règle des majuscules n’est pas respectée. Enfin, n’importe quel centre de support officiel, est doté d’une signature d’e-mail, d’aspect beaucoup plus professionnel.

Tous ces indices ne sont parfois pas évidents à identifier, mais ils font toute la différence car les dommages causés par ces e-mails d’hameçonnage s’évaluent à près d’un milliard de dollars. À méditer !


Voir les articles précédents

    

Voir les articles suivants