fbpx

1-866-889-5806

|

|

QU’EST-CE QUE L’HAMEÇONNAGE?

L’hameçonnage est un cybercrime qui consiste à utiliser des faux courriels, sites Web et messages textes pour voler des informations personnelles et corporatives confidentielles.

On tend un piège à la victime pour l’emmener à révéler des informations personnelles comme son adresse, sa date de naissance, son nom et son numéro d’assurance sociale. Les cybercriminels utilisent cette information pour se faire passer pour la victime. Ils peuvent demander une carte de crédit ou un prêt, ouvrir des comptes de banque et commettre d’autres actes frauduleux.

Les criminels qui utilisent des tactiques d’hameçonnage réussissent leur coup parce qu’ils prennent soin de se dissimuler derrière des courriels et des sites Web qui sont familiers pour la victime ciblée. Par exemple, un message pressant le destinataire de mettre à jour les informations de son compte pour se protéger d’une fraude pourrait être envoyé par l’adresse courriel administrator@paypal.org.com, au lieu de administrator@paypal.com.

L’hameçonnage fait partie des types d’ingénierie sociale utilisés par les criminels pour voler des données, infecter des ordinateurs et infiltrer les réseaux des entreprises.

Quels sont les différents types d’hameçonnage?

Courriel

Il s’agit de la tactique d’hameçonnage la plus commune. On envoie un courriel à plusieurs destinataires les exhortant de mettre à jour leurs informations personnelles, de vérifier les détails de leur compte ou de changer leur mot de passe.

De façon générale, le courriel est formulé de façon à susciter chez le destinataire un sentiment d’urgence à se protéger contre un crime. En apparence, il semble provenir d’une source légitime, par exemple le service à la clientèle d’Apple, une banque, Microsoft, Paypal ou une autre entreprise connue.

Injection de contenu

Du contenu malveillant est injecté dans un site Web connu, par exemple, la page d’accueil d’un compte de courrier électronique ou d’une institution bancaire en ligne. Ce contenu prend la forme d’un lien, d’une forme ou d’une fenêtre surgissante qui dirige les gens vers un site Web secondaire où on leur demande de confirmer leurs informations personnelles, mettre à jour les détails de leur carte de crédit et changer leurs mots de passe.

Manipulation de liens

Un courriel formulé avec soin comprend un lien malveillant vers un site Web connu comme Amazon. En cliquant sur le lien, les gens sont dirigés vers un faux site Web identique au site original où ils sont encouragés à mettre à jour ou à vérifier les informations de leur compte.

Fraude du président

Cette forme commune de mystification consiste à envoyer un courriel qui semble provenir du président, des ressources humaines ou d’un collègue. Le message demande au destinataire de transférer des fonds, de confirmer un transfert électronique ou télégraphique ou de transmettre des informations en lien avec les impôts.

Faux sites Web

Les pirates créent des faux sites Web qui ont exactement la même apparence que les vrais. Le faux site Web se distingue par un domaine légèrement différent, par exemple outlook.you.live.com au lieu de outlook.live.com. Les gens croient qu’ils sont sur le bon site Web et s’exposent malencontreusement au vol d’identité.

Hameçonnage sur appareils mobiles

Un message qui informe le destinataire que son compte est fermé, corrompu ou expiré est transmis par message texte, boîte vocale, sur les médias sociaux ou sur n’importe quelle application d’un appareil mobile utilisant une messagerie intégrée. Le message comprend un lien, une vidéo ou un message permettant de voler de l’information personnelle ou d’installer un maliciel sur l’appareil mobile.

Harponnage

Le harponnage est une technique avancée d’hameçonnage ciblé par courriel. Le criminel vise un individu ou une organisation spécifique et utilise des messages personnalisés pour voler des données beaucoup plus poussées que des informations de cartes de crédit. L’objectif est d’infiltrer des banques, des hôpitaux ou des universités, entre autres, pour dérober des données qui peuvent compromettre sérieusement l’organisation.

Hameçonnage vocal

Dans le cas du hameçonnage vocal, un interlocuteur insistant laisse un message ou lit un script qui incite le destinataire à communiquer avec un autre numéro de téléphone. Ces appels sont souvent conçus pour faire naître un sentiment d’urgence et encourager le destinataire à agir avant que son compte de banque soit suspendu ou qu’il soit accusé d’un acte criminel.

Détournement de session

Ce type d’hameçonnage fait appel à des techniques sophistiquées qui permettent au criminel de violer un serveur Web et de voler l’information enregistrée sur le serveur.

L’homme-du-milieu

Dans le cas d’attaques dites de l’homme-du-milieu, le criminel emmène deux personnes à partager de l’information entre elles. L’hameçonneur peut soit envoyer de fausses demandes à chacune des parties ou modifier l’information qui est transmise. Les personnes impliquées ont l’impression qu’elles communiquent entre elles et n’ont aucune idée qu’elles sont manipulées par une tierce partie.

Maliciel

Les maliciels sont déclenchés par une personne qui clique sur la pièce jointe d’un courriel et qui installe par inadvertance un logiciel qui fouille l’ordinateur et le réseau à la recherche d’information. L’enregistreur de frappe est un type de logiciel qui enregistre la pression des touches sur le clavier et permet de révéler des mots de passe. Le cheval de Troie est un autre type de maliciel utilisé qui incite les gens à saisir leurs informations personnelles.

Publicité malveillante

Ce type de maliciel utilise la publicité en ligne ou les fenêtres surgissantes pour encourager les gens à cliquer sur un lien qui permet l’installation d’un maliciel sur l’ordinateur.

Jumeau maléfique sans fil

On crée une fausse zone d’accès sans fil dans un endroit public comme un aéroport, un café, un hôpital ou tout autre endroit où l’on peut avoir accès à Internet sans fil. Les gens ouvrent une session avec cette zone d’accès en pensant qu’ils utilisent un compte légitime, ce qui permet aux criminels d’intercepter toutes les données communiquées via ce faux compte sans fil.

Ces différents types d’hameçonnage font tous partie d’une supercherie plus vaste d’ingénierie sociale. L’ingénierie sociale est une forme malicieuse de tromperie qui emmène les gens à partager des codes d’accès, des détails et des informations qui devraient pourtant demeurer confidentiels.

Saviez-vous que?

Le succès de l’ingénierie social et du hameçonnage réside dans la tendance naturelle de l’être humain à avoir confiance envers les autres. Nous assumons que la demande de mise à jour du mot de passe ou de virement bancaire est légitime puisqu’elle provient d’une source connue. Nous croyons agir dans le meilleur intérêt de tous.

Comment l’hameçonnage survient-il?

L’hameçonnage survient lorsqu’une victime sans méfiance répond à des demandes frauduleuses qui nécessitent une action. Il peut s’agir de télécharger une pièce jointe, cliquer sur un lien, remplir un formulaire, mettre à jour un mot de passe, faire un appel ou se connecter à une nouvelle zone d’accès sans fil. Un aspect essentiel d’une formation en sensibilisation à la sécurité réussie est de faire comprendre à quel point il est facile de tomber dans le piège et de partager de l’information confidentielle.

6 indices que vous êtes la proie d’un courriel d’hameçonnage

Le simple fait de connaître la personne dont le nom figure sur le courriel ne rend pas celui-ci sécuritaire pour autant. Il est facile d’utiliser le nom de quelqu’un.

Vérifiez l’adresse courriel pour confirmer que le message provient réellement de cette personne.

Prenez le temps de vérifier la formule de salutation.

S’il est indiqué «  Cher client » ou « Estimé client » au lieu de votre nom, prenez garde!

Les fraudeurs tentent d’induire un sentiment d’urgence afin de vous amener à agir plutôt qu’à réfléchir (p.ex. votre compte sera bloqué!).

Fautes de grammaire et d’orthographe? Aucune organisation légitime ne laisserait passer cela.

On vous demande des informations personnelles ou financières.

On vous demande de mettre à jour votre compte ou de changer votre mot de passe. Mais ne tombez pas dans le piège! Rapportez toute communication suspecte à votre centre de soutien informatique.

Les courriels vous incitent normalement à cliquer sur un lien ou un bouton qui vous redirigera vers un faux site Web ou installera un maliciel.

Ne cliquez jamais à moins d’être en mesure de confirmer l’identité de l’expéditeur.

En ouvrant la pièce jointe d’un fraudeur, vous ouvrez la porte au maliciel.

Un maliciel peut causer des ravages sur votre ordinateur ou même sur l’ensemble du réseau de votre organisation.

Une organisation légitime vous permettra d’entrer en contact avec elle, au besoin.

Ses coordonnées seront indiquées dans le courriel afin que vous puissiez communiquer avec elle et valider son authenticité.

Essayez d’identifier les indices dans ces exemples de courriels d’hameçonnage :

La simulation d’hameçonnage vous permet d’identifier les employés à risque et de faire prendre conscience à votre équipe à quel point il est facile de se faire hameçonner.

Comment prévenir l’hameçonnage

1. Informez vos employés sur l’hameçonnage. Profitez des outils de simulation d’hameçonnage pour les éduquer et identifier les risques d’hameçonnage.

2. Utilisez des formations en cybersécurité et des plateformes de simulation d’hameçonnage afin que les risques liés à l’hameçonnage et à l’ingénierie sociale demeurent au sommet des préoccupations de vos employés. Formez à l’interne des héros de la cybersécurité dédiés à préserver la cybersécurité au sein de votre organisation.

3. Rappelez à vos chefs de la sécurité et héros de la cybersécurité de régulièrement contrôler la sensibilisation de vos employés au hameçonnage à l’aide d’outils de simulation. Utilisez les modules de microapprentissage sur l’hameçonnage pour éduquer, former et changer les comportements.

4. Effectuez des communications et des campagnes en continu sur la cybersécurité et l’hameçonnage. Profitez-en pour mettre sur pied des politiques de mots de passe forts et rappelez à vos employés les risques liés aux pièces jointes, aux courriels et aux URL.

5. Établissez des règles d’accès au réseau qui limitent l’utilisation d’appareils personnels et le partage d’information à l’extérieur de votre réseau d’entreprise.

6. Assurez-vous que tous les systèmes d’exploitation, outils réseau, applications et logiciels internes sont à jour et sécurisés. Installez des logiciels de protection contre les maliciels et les pourriels.

7. Intégrez les campagnes de sensibilisation à la cybersécurité, la formation, le soutien et l’éducation à votre culture d’entreprise.

phishing simulation whitepaper

Consultez le livre blanc PHISHING DEFENSE AND GOVERNANCE – How to Improve User Awareness, Enhance Controls and Build Process Maturity (en anglais) pour plus d’information.

Qu’est-ce qu’une simulation d’hameçonnage?

Une simulation d’hameçonnage est la meilleure façon de sensibiliser les utilisateurs sur les risques et d’identifier les employés les plus susceptibles de se faire prendre au piège de l’hameçonnage.

La simulation d’hameçonnage vous permet d’intégrer la sensibilisation à la cybersécurité de façon interactive et informative.

Les simulations d’hameçonnage en temps réel constituent une façon rapide et efficace d’éduquer les gens et d’accroître la vigilance face aux attaques. Les participants constatent d’eux-mêmes comment la fraude du président, les courriels, les faux sites Web, les maliciels et le harponnage sont utilisés pour voler des informations personnelles et corporatives.

Quels sont les 10 principaux avantages des simulations d’hameçonnage?

La simulation d’hameçonnage génère les principaux avantages suivants pour votre organisation :

1. Mesurer le degré de vulnérabilité de l’entreprise et des employés

2. Éliminer les risques que représentent les cybermenaces

3. Accroître la vigilance des utilisateurs face aux risques d’hameçonnage

4. Instiller une culture de cybersécurité et former des héros de la cybersécurité

5. Changer les comportements pour éliminer les réflexes de confiance automatique

6. Déployer des solutions anti-hameçonnage ciblées
7. Protéger vos précieuses données corporatives et personnelles
8. Répondre aux exigences de l’industrie en matière de conformité
9. Évaluer les impacts de la formation en sensibilisation à la cybersécurité
10. Segmenter la simulation d’hameçonnage

En apprendre davantage sur les simulations d’hameçonnage

Pour en apprendre davantage sur les simulations d’hameçonnage et comment garder votre entreprise en cybersécurité, consultez les ressources gratuites suivantes :

Contactez nous au 1-866-889-5806 ou sur info@terranovasecurity.com pour en apprendre d’avantage sur les simulations d’hameçonnage.

Terranova Security s’engage à fournir une formation centrée sur les personnes qui sensibilise votre entreprise à la cybersécurité.