Ce que vous devez savoir pour signaler un e-mail frauduleux

Plus de 3,4 milliards d’e-mails de phishing (hameçonnage) circulent chaque jour. Ce nombre totalise donc mille milliards d’e-mails frauduleux par an. L’énormité de ces chiffres aide à comprendre l’importance qu’a pris le phishing et aussi pourquoi de plus en plus de gens en sont victimes.

En effet, nos boîtes de réception débordent d’e-mails de collègues, partenaires, amis et proches, fournisseurs, d’newsletters, de publicités et parmi eux se cachent ceux en provenance de cybercriminels. À cette surabondance s’ajoutent les journées de travail chargées et la pression de lire et traiter rapidement chaque e-mail.

C’est précisément pourquoi vous devez fournir à vos employés de l’information concrète sur la façon de signaler un e-mail frauduleux. Dans le cadre de vos simulations de phishing, il est important de rappeler aux employés qu’ils doivent signaler les e-mails frauduleux, et faire savoir immédiatement à la partie concernée qu’ils en ont été une victime.

Qu’est-ce que le phishing ?

Mais avant de rapporter les e-mails de phishing à votre équipe IT encore faut-il vous assurer de pouvoir les identifier.

Le phishing est un cybercrime reposant sur l’utilisation d’e-mails frauduleux, de faux sites web ou de faux SMS pour dérober des informations confidentielles d’entreprise ou personnelles.

Informations telles que : date de naissance, adresse, information de carte de crédit, identifiants de connexion et mots de passe, numéro de sécurité sociale. En utilisant des techniques d’ingénierie sociale, les cybercriminels rédigent des e-mails convaincants qui font croire aux victimes que leur e-mail est légitime.

Le phishing fonctionne lorsqu’une victime sans méfiance répond à une demande frauduleuse, et réalise l’action demandée par le cybercriminel. Par exemple : télécharger une pièce jointe, cliquer sur un lien, remplir un formulaire, mettre à jour un mot de passe ou encore confirmer les informations d’une carte de crédit.

De nombreuses personnes ne sont pas en mesure d’identifier les indices permettant de reconnaître des e-mails de phishing. C’est d’autant plus vrai que ces derniers se sont complexifiés et ne sont pas détectables par leurs simples fautes d’orthographe. Ce manque de connaissances souligne l’importance de fournir aux employés une formation pour les sensibiliser au phishing.

Regardez Pourquoi faire des simulations de phishing et découvrez les avantages de combiner formation en sensibilisation et simulation de phishing ainsi que des conseils pour mobiliser les équipes de direction à mettre en place une culture de la sécurité.

Comment signaler un e-mail frauduleux

Pour signaler un e-mail frauduleux, voici les étapes à suivre :

Rapporter l’e-mail frauduleux au service IT ou à son gestionnaire

Assurez-vous que vos employés connaissent la politique d’entreprise en sécurité et la façon de rapporter un e-mail frauduleux. Dans le cadre de votre campagne en continu pour promouvoir la sensibilisation à la cybersécurité, rappelez aux employés, au moyen de newsletters envoyées par e-mail, d’affiches et d’autres moyens de communication, comment signaler les e-mails frauduleux en leur indiquant à qui s’adresser.

Rapporter l’e-mail frauduleux au fournisseur de service e-mail

La plupart des fournisseurs de service e-mail proposent des mécanismes intégrés facilitant le signalement d’e-mails frauduleux. Le bouton de signalement d’un hameçonnage peut être activé dans Outlook, Gmail, Yahoo! et autres.

Si vos employés vérifient leurs e-mails personnels au travail, assurez-vous qu’ils ont activé le bouton de signalement d’un e-mail de phishing et rappelez-leur qu’ils doivent être proactifs à l’égard de cette menace (même avec leurs e-mails personnels).

Rapporter l’e-mail frauduleux à une instance dirigeante

La majorité des pays ont des instances détenant une autorité pour traiter les e-mails frauduleux. Aux États-Unis, ces e-mails peuvent être envoyés à Cyber Security and Infrastructure Agency ; au Canada, au Centre antifraude du Canada ; au Royaume-Uni, à National Fraud, and Cyber Crime Reporting Centre ou encore Signal Spam en France.

Cette étape est souvent oubliée, voire méconnue de la plupart des individus ayant affaire à un e-mail frauduleux. Pourtant, le signalement des escroqueries fournit aux instances dirigeantes des informations précieuses dont elles ont besoin pour identifier les cybercriminels et éviter à d’autres personnes d’être victimes de leur ruse.

Placer l’expéditeur dans la liste des pourriels ou des e-mails frauduleux

Ajoutez l’expéditeur de l’e-mail à la liste d’adresses d’e-mails bloqués dans votre boîte mail. Puis, déplacez tous e-mails de cet expéditeur vers les spams, pour les retirer de la boîte de réception principale.

Supprimer l’e-mail

Supprimez l’e-mail, puis videz le dossier des messages supprimés.

Il est très important que vos employés sachent quoi faire lorsqu’ils reçoivent un e-mail de phishing. Facilitez-leur la tâche pour rapporter cet e-mail, et mentionnez-leur qu’ils posent ainsi le bon geste.

Comment reconnaître un e-mail de phishing ?

Pour savoir reconnaître un e-mail frauduleux, rappelez à vos employés qu’il existe six principaux indicateurs auxquels il faut porter une attention particulière.

1. Expéditeur

Les cybercriminels savent que leurs victimes sont, d’une part, très occupées et d’autre part, elles sont naturellement portées à faire confiance aux expéditeurs qui les sollicitent. Ils sont peu prompts à vérifier l’adresse e-mail de ces derniers, ce qui rend très facile de les faire tomber dans un piège en leur faisant croire à la légitimité de l’e-mail reçu. Pourtant :

• Le nom et l’adresse e-mail de l’expéditeur sont très faciles à contrefaire.
• Ce n’est pas parce que vous pensez connaître la personne qui envoie l’e-mail que celui-ci est sécuritaire.

Rappelez à vos employés de toujours vérifier avec attention si le nom et l’adresse e-mail de l’expéditeur sont épelés correctement. Conseillez-leur de passer leur souris sur le nom de l’expéditeur de l’e-mail et de vérifier si son nom et son adresse e-mail sont légitimes.

N’oubliez pas que les fraudeurs essaient souvent de se faire passer pour des banques, des sociétés de cartes de crédit, de grands détaillants en ligne, des institutions gouvernementales ou des applications couramment utilisées. Redoublez de prudence lorsque vous recevez des e-mails de ces expéditeurs.

2. Salutations

Normalement, les e-mails sont personnalisés et n’utilisent pas de salutation vague comme « Cher client », « Cher consommateur », ou « À qui de droit ». Ces salutations génériques devraient susciter la méfiance, surtout si l’e-mail provient d’une personne connue ou d’une organisation où vous avez déjà travaillé.

3. Contenu

Les cybercriminels savent comment rédiger des e-mails au moyen de techniques habiles d’ingénierie sociale qui berneront leurs victimes et les inciteront à croire qu’en répondant ils font ce qu’il fallait faire.

Rappelez à vos employés de surveiller ces indices dans le contenu d’un e-mail. Ils indiquent bien souvent une fraude :

• Fautes de grammaire et d’orthographe ou phrases mal structurées.
• Langage qui attire l’attention et évoque l’urgence pour créer un sentiment de panique poussant le destinataire à faire une action. Par exemple, votre compte sera verrouillé si vous ne répondez pas immédiatement.
• Demande d’informations confidentielles, personnelles ou d’entreprise. Aucune organisation légitime ne demandera ce genre d’information par e-mail.
• Mot de passe qui doit être réinitialisé immédiatement sous prétexte qu’il y a eu des activités ou des tentatives de connexion suspectes sur votre compte, que l’organisation a été fraudée ou que sa base de données a été corrompue.
• Fausse facture pour des articles que vous n’avez pas achetés ou offre de produits gratuits.

4. Lien ou bouton

Les attaques de phishing incluent généralement un lien ou un bouton qui dirige le destinataire vers un site web contrefait. Ce faux site a l’air bien réel, mais le nom de domaine n’est pas légitime. Par exemple, un cybercriminel pourrait recréer la page de compte d’Amazon, mais l’URL sera amazon.accountsupdate.ca au lieu de amazon.ca/gp/css/homepage.html.

Rappelez à vos employés de ne jamais cliquer sur un lien ou un bouton dans un e-mail, et qu’ils doivent plutôt ouvrir un nouvel onglet du navigateur et entrer manuellement l’URL du site web, ou encore utiliser un signet.

5. Pièce jointe

Les pièces jointes sont utilisées par les cybercriminels pour installer des malwares sur un ordinateur et, potentiellement, sur le réseau informatique d’entreprise. Ce malware peut alors verrouiller l’ordinateur ou le réseau en entier, installer un logiciel qui enregistre les frappes de l’ordinateur et les mots de passe, ou installer un virus capable de corrompre les fichiers, avec une demande de rançon.

Rappelez à vos employés de ne jamais ouvrir les pièces jointes inattendues dans un e-mail ou sur une clé USB provenant de l’externe, et éviter d’activer des macros dans des documents en cours de production.

 6. Information de contact

Les organisations et les employés légitimes demandent une réponse en fournissant des coordonnées pour qu’il soit facile de les contacter. Surveillez attentivement la salutation et cherchez un numéro de téléphone et une adresse, et vérifiez que l’adresse e-mail dans la salutation correspond à l’adresse e-mail de l’expéditeur.

Rappelez à vos employés qu’en cas de doute sur la légitimité d’un message, ils doivent communiquer avec l’expéditeur pour valider sa demande en utilisant l’information de contact tirée d’une source sûre (p. ex., un site web officiel), et non l’information de l’e-mail comme tel.

Faites valoir à vos employés que d’agir sécuritairement évite bien des regrets. Durant votre formation en sensibilisation à la cybersécurité, faites ressortir clairement que vous voulez que vos employés gardent une certaine méfiance envers leurs e-mails. Dites-leur qu’il vaut mieux prendre le temps de lire l’e-mail attentivement dans son entièreté et au moindre doute, qu’ils doivent en parler à un collègue à l’interne ou au service des TI.

Faites en sorte que vos employés se sentent à l’aise de signaler une situation, et ce, même après avoir cliqué. Cet encouragement permettra de limiter les dégâts et de mieux détecter les menaces.

Conseils et astuces pour déjouer les e-mails et les contenus d’hameçonnage

Voici quelques conseils à suivre pour vous aider à éviter d’être victime d’une fraude par e-mail.

Ne répondez jamais à une demande de renseignements personnels.

Ne partagez pas vos informations personnelles telles que votre numéro de carte de crédit, votre date d’anniversaire ou votre numéro de compte bancaire par le biais de SMS, d’appels téléphoniques ou d’e-mails. On ne sait jamais qui pourrait avoir accès à ces conversations.

Méfiez-vous des messages « trop beaux pour être vrais ».

Le plus souvent, les messages trop beaux pour être vrais le sont réellement. Ils sont conçus pour attirer rapidement l’attention du destinataire et l’inciter à s’engager dans le message.

Les messages suggérant que vous pourriez devenir riche ou gagner un prix simplement suivant quelques étapes rapides doivent toujours être pris avec un grain de sel. Demandez-vous pourquoi vous recevriez cette offre magique et pas quelqu’un d’autre.

Réfléchissez avant de cliquer

Analysez toujours la source des liens que vous avez reçus avant de cliquer dessus. Le lien provient-il d’une personne en qui j’ai confiance ? Pourquoi quelqu’un m’envoie-t-il un lien ? En cas de doute, parlez directement à l’expéditeur pour confirmer la source de l’e-mail.

Comment protéger les employés contre le phishing et les fraudes par e-mail

La meilleure façon de protéger les employés contre le phishing, les e-mails frauduleux et autres fraudes est de renforcer la cybersécurité en communiquant en continu des messages à cet effet. Vos employés sont votre première ligne de défense contre les cybercrimes.

En renforçant la sensibilisation au phishing et en formant des cyberhéros à l’interne, vous protégez votre entreprise et vos employés des risques et menaces provenant des quelque 3,4 milliards d’e-mails de phishing circulant chaque jour.