Plus de 3,4 milliards de courriels frauduleux ou d’hameçonnage (phishing) circulent chaque jour. Ce nombre totalise mille milliards de courriels frauduleux par année. L’énormité de ces chiffres aide à comprendre l’importance qu’a pris l’hameçonnage et aussi pourquoi de plus en plus de gens en sont victimes.
Nos boîtes de réception débordent de courriels de collègues, partenaires, amis et proches, fournisseurs, d’infolettres, de publicités et parmi eux se cachent ceux en provenance de cybercriminels. À cette surabondance s’ajoutent les journées de travail chargées et la pression de lire et traiter rapidement chaque courriel.
C’est précisément pourquoi vous devez fournir à vos employés de l’information concrète sur la façon de signaler un courriel frauduleux. Dans le cadre de vos simulations d’hameçonnage, il est important de rappeler aux employés qu’ils doivent signaler les courriels frauduleux, et faire savoir immédiatement à la partie concernée qu’ils en ont été une victime.
Qu’est-ce que l’hameçonnage ?
Mais avant de rapporter les courriels d’hameçonnage à votre équipe TI encore faut-il vous assurer de pouvoir les identifier.
L’hameçonnage est un cybercrime reposant sur l’utilisation de courriels frauduleux, de faux sites web ou les messages texte pour dérober des informations confidentielles d’entreprise ou personnelles. Informations telles que : date de naissance, adresse, information de carte de crédit, identifiants de connexion et mots de passe et numéro d’assurance sociale. En utilisant des techniques d’ingénierie sociale, les cybercriminels rédigent des courriels convaincants qui font croire aux victimes que leur courriel est légitime.
L’hameçonnage fonctionne lorsqu’une victime sans méfiance répond à une demande frauduleuse, et réalise l’action demandée par le cybercriminel. Par exemple : télécharger une pièce jointe, cliquer sur un lien, remplir un formulaire, mettre à jour un mot de passe ou encore confirmer les informations d’une carte de crédit.
De nombreuses personnes ne sont pas en mesure d’identifier les indices permettant de reconnaître des courriels d’hameçonnage. C’est d’autant plus vrai que ces derniers se sont complexifiés et ne sont pas détectables par leurs simples fautes d’orthographe. Ce manque de connaissances souligne l’importance de fournir aux employés une formation pour les sensibiliser à l’hameçonnage.
Regardez Pourquoi faire des simulations d’hameçonnage et découvrez les avantages de combiner formation en sensibilisation et simulation d’hameçonnage ainsi que des conseils pour mobiliser les équipes de direction à mettre en place une culture de la sécurité.
Comment signaler un courriel frauduleux
Pour signaler un courriel frauduleux, voici les étapes à suivre :
Rapporter le courriel frauduleux au service en TI ou à son gestionnaire
Assurez-vous que vos employés connaissent la politique d’entreprise en sécurité et la façon de rapporter un courriel frauduleux. Dans le cadre de votre campagne en continu pour promouvoir la sensibilisation à la cybersécurité, rappelez aux employés, au moyen d’infolettres envoyées par courriel, d’affiches et d’autres moyens de communication, comment signaler les courriels frauduleux en leur indiquant à qui s’adresser.
Rapporter le courriel frauduleux au fournisseur de service courriel
La plupart des fournisseurs de service courriel proposent des mécanismes intégrés facilitant le signalement de courriels frauduleux. Le bouton de signalement d’un hameçonnage peut être activé dans Outlook, Gmail, Yahoo! et autres. Si vos employés vérifient leurs courriels personnels au travail, assurez-vous qu’ils ont activé le bouton de signalement d’un courriel d’hameçonnage et rappelez-leur qu’ils doivent être proactifs à l’égard de cette menace (même avec leurs courriels personnels).
Rapporter le courriel frauduleux à une instance dirigeante
La majorité des pays ont des instances détenant une autorité pour traiter les courriels frauduleux. Aux États-Unis, ces courriels peuvent être envoyés à Cyber Security and Infrastructure Agency ; au Canada, au Centre antifraude du Canada ; au Royaume-Uni, à National Fraud, and Cyber Crime Reporting Centre ou encore Signal Spam en France. Cette étape est souvent oubliée, voire méconnue de la plupart des individus ayant affaire à un courriel frauduleux. Au Canada, moins de 5 % de tous les incidents de fraude sont signalés aux autorités. Pourtant, le signalement des escroqueries fournit aux instances dirigeantes des informations précieuses dont elles ont besoin pour identifier les cybercriminels et éviter à d’autres personnes d’être victimes de leur ruse.
Placer l’expéditeur dans la liste des pourriels ou des courriels frauduleux
Ajoutez l’expéditeur du courriel à la liste des auteurs de pourriels ou courriels frauduleux dans votre messagerie courriel. Puis, déplacez tout courriel de cet expéditeur vers la boîte de pourriels ou courriels frauduleux, pour les retirer de la boîte de réception principale.
Supprimer le courriel
Supprimez le courriel, puis videz le dossier des messages supprimés. Il est très important que vos employés sachent quoi faire lorsqu’ils reçoivent un courriel d’hameçonnage. Facilitez-leur la tâche pour rapporter ce courriel, et mentionnez-leur qu’ils posent ainsi le bon geste.
Comment reconnaître un courriel d’hameçonnage ?
Pour savoir reconnaître un courriel frauduleux, rappelez à vos employés qu’il existe six principaux indicateurs auxquels il faut porter une attention particulière.
1. Expéditeur
Les cybercriminels savent que leurs victimes sont, d’une part, très occupées et d’autre part, elles sont naturellement portées à faire confiance aux expéditeurs qui les sollicitent. Ils sont peu prompts à vérifier l’adresse courriel de ces derniers, ce qui rend très facile de les faire tomber dans un piège en leur faisant croire à la légitimité du courriel reçu. Pourtant :
- Le nom et l’adresse courriel de l’expéditeur sont très faciles à contrefaire.
- Ce n’est pas parce que vous pensez connaître la personne qui envoie le courriel que celui-ci est sécuritaire.
Rappelez à vos employés de toujours vérifier avec attention si le nom et l’adresse courriel de l’expéditeur sont épelés correctement. Conseillez-leur de passer leur souris sur le nom de l’expéditeur du courriel et de vérifier si son nom et son adresse courriel sont légitimes. N’oubliez pas que les fraudeurs essaient souvent de se faire passer pour des banques, des sociétés de cartes de crédit, de grands détaillants en ligne, des institutions gouvernementales ou des applications couramment utilisées. Redoublez de prudence lorsque vous recevez des courriels de ces expéditeurs.
2. Salutations
Normalement, les courriels sont personnalisés et n’utilisent pas de salutation vague comme « Cher client », « Cher consommateur », ou « À qui de droit ». Ces salutations génériques devraient susciter la méfiance, surtout si le courriel provient d’une personne connue ou d’une organisation où vous avez déjà travaillé.
3. Contenu
Les cybercriminels savent comment rédiger des courriels au moyen de techniques habiles d’ingénierie sociale qui berneront leurs victimes et les inciteront à croire qu’en répondant ils font ce qu’il fallait faire. Rappelez à vos employés de surveiller ces indices dans le contenu d’un courriel. Ils indiquent bien souvent une fraude :
- Fautes de grammaire et d’orthographe ou phrases mal structurées.
- Langage qui attire l’attention et évoque l’urgence pour créer un sentiment de panique poussant le destinataire à faire une action. Par exemple, votre compte sera verrouillé si vous ne répondez pas immédiatement.
- Demande d’informations confidentielles, personnelles ou d’entreprise. Aucune organisation légitime ne demandera ce genre d’information par courriel.
- Mot de passe qui doit être réinitialisé immédiatement sous prétexte qu’il y a eu des activités ou des tentatives de connexion suspectes sur votre compte, que l’organisation a été fraudée ou que sa base de données a été corrompue.
- Fausse facture pour des articles que vous n’avez pas achetés ou offre de produits gratuits.
4. Lien ou bouton
Les attaques d’hameçonnage incluent généralement un lien ou un bouton qui dirige le destinataire vers un site web contrefait. Ce faux site a l’air bien réel, mais le nom de domaine n’est pas légitime. Par exemple, un cybercriminel pourrait recréer la page de compte d’Amazon, mais l’URL sera amazon.accountsupdate.ca au lieu de amazon.ca/gp/css/homepage.html. Rappelez à vos employés de ne jamais cliquer sur un lien ou un bouton dans un courriel, et qu’ils doivent plutôt ouvrir un nouvel onglet du navigateur et entrer manuellement l’URL du site web, ou encore utiliser un signet.
5. Pièce jointe
Les pièces jointes sont utilisées par les cybercriminels pour installer des maliciels sur un ordinateur et, potentiellement, sur le réseau informatique d’entreprise. Ce maliciel peut alors verrouiller l’ordinateur ou le réseau en entier, installer un logiciel qui enregistre les frappes de l’ordinateur et les mots de passe, ou installer un virus capable de corrompre les fichiers, avec une demande de rançon. Rappelez à vos employés de ne jamais ouvrir les pièces jointes inattendues dans un courriel ou sur une clé USB provenant de l’externe, et éviter d’activer des macros dans des documents en cours de production.
6. Information de contact
Les organisations et les employés légitimes demandent une réponse en fournissant des coordonnées pour qu’il soit facile de les contacter. Surveillez attentivement la salutation et cherchez un numéro de téléphone et une adresse, et vérifiez que l’adresse courriel dans la salutation correspond à l’adresse courriel de l’expéditeur. Rappelez à vos employés qu’en cas de doute sur la légitimité d’un message, ils doivent communiquer avec l’expéditeur pour valider sa demande en utilisant l’information de contact tirée d’une source sûre (p. ex., un site web officiel), et non l’information du courriel comme tel. Faites valoir à vos employés que d’agir sécuritairement évite bien des regrets. Durant votre formation en sensibilisation à la cybersécurité, faites ressortir clairement que vous voulez que vos employés gardent une certaine méfiance envers leurs courriels. Dites-leur qu’il vaut mieux prendre le temps de lire tout le courriel attentivement et au moindre doute, qu’ils doivent en parler à un collègue à l’interne ou au service des TI. Faites en sorte que vos employés se sentent à l’aise de signaler une situation, et ce, même après avoir cliqué. Cet encouragement permettra de limiter les dégâts et de mieux détecter les menaces.
Conseils et astuces pour déjouer les courriels et les contenus d’hameçonnage
Voici quelques conseils à suivre pour vous aider à éviter d’être victime d’une fraude par courriel.
Ne répondez jamais à une demande de renseignements personnels.
Ne partagez pas vos informations personnelles telles que votre numéro de carte de crédit, votre date d’anniversaire ou votre numéro de compte bancaire par le biais de messages texte, d’appels téléphoniques ou de courriels. On ne sait jamais qui pourrait avoir accès à ces conversations.
Méfiez-vous des messages « trop beaux pour être vrais ».
Le plus souvent, les messages trop beaux pour être vrais le sont réellement. Ils sont conçus pour attirer rapidement l’attention du destinataire et l’inciter à s’engager dans le message. Les messages suggérant que vous pourriez devenir riche ou gagner un prix simplement suivant quelques étapes rapides doivent toujours être pris avec un grain de sel. Demandez-vous pourquoi vous recevriez cette offre magique et pas quelqu’un d’autre.
Réfléchissez avant de cliquer
Analysez toujours la source des liens que vous avez reçus avant de cliquer dessus. Le lien provient-il d’une personne en qui j’ai confiance ? Pourquoi quelqu’un m’envoie-t-il un lien ? En cas de doute, parlez directement à l’expéditeur pour confirmer la source du courriel.
Comment protéger les employés contre l’hameçonnage et les fraudes par courriel
La meilleure façon de protéger les employés contre l’hameçonnage, les courriels frauduleux et autres fraudes est de renforcer la cybersécurité en communiquant en continu des messages à cet effet. Vos employés sont votre première ligne de défense contre les cybercrimes. En renforçant la sensibilisation à l’hameçonnage et en formant des cyberhéros à l’interne, vous protégez votre entreprise et vos employés des risques et menaces provenant des quelque 3,4 milliards de courriels d’hameçonnage circulant chaque jour.
Le Hub de Cyber Security : accès à des contenus exclusifs en cybersécurité
Visitez notre Hub de la cybersécurité gratuit pour apprendre et partager des informations cruciales sur l’hameçonnage, l’ingénierie sociale et d’autres cybermenaces.
