Blogs & actualité

9 conseils pour reconnaître le phishing. La liste de contrôle ultime des e-mails de phishing.

Nous y sommes tous confrontés presque quotidiennement : les e-mails de phishing dans la boîte de réception. Le phishing reste la plus grande menace numérique dans la vie professionnelle et privée. Pour brosser un tableau, 90 % de toutes les cyberattaques réussies dans les organisations sont causées par un e-mail de phishing.

Les conséquences directes peuvent être énormes. Pensez aux infections par rançongiciels qui paralysent des organisations entières et aux piratages qui entraînent de gigantesques fuites de données. Mais n'oubliez pas les conséquences indirectes, telles que les dommages financiers pour remettre les systèmes en marche, ne pas pouvoir faire des affaires pendant des jours et les dommages permanents à votre image. A titre personnel, cela vous coûte surtout beaucoup d'argent, car la plupart des attaques visent à accéder à votre compte bancaire.

Un moment d'inattention et une erreur se commettent facilement, surtout dans les sujets d'actualité. Il est important d'être bien conscient des "drapeaux rouges" dans un e-mail qui devrait déclencher toutes les sonnettes d'alarme. Par conséquent, travaillez avec une liste de contrôle pour reconnaître rapidement les e-mails de phishing et distinguer les vrais des faux. Nous avons répertorié 9 conseils pour reconnaître le phishing pour vous. Cela vous évitera bien des ennuis.

10 fév Cartoony picture of a criminal phishing

1) Ne faites pas immédiatement confiance au nom indiqué comme expéditeur

Le nom de l'expéditeur n'indique pas toujours l'adresse e-mail (réelle). Cliquez ou double-cliquez sur le nom de l'expéditeur pour afficher l'adresse e-mail. Mais attention : les « hameçonneurs » essaient souvent de vous tromper en vous donnant l'impression qu'un e-mail est digne de confiance. Par exemple, en faisant en sorte qu'une adresse e-mail ressemble beaucoup à une adresse e-mail légitime en modifiant ou en omettant une lettre.

Comment déterminez-vous la légitimité d'une adresse e-mail ? La partie après le signe @ doit se terminer par le nom de domaine. Tout texte relatif au nom de domaine doit être séparé par un point. Vous pouvez souvent reconnaître le phishing lorsque ce n'est pas le cas.

Correct : serviceclient@mail. bnpparibas.fr
Incorrect : newsletter@emaillogin-bnpparibas.fr

Mais attention ! Une adresse e-mail qui est tout à fait correcte et qui provient effectivement d'une relation ou d'une organisation connue n'offre aucune garantie. L'adresse e-mail peut avoir été usurpée ou le compte e-mail peut avoir été piraté. Dans ces cas, seule l'adresse e-mail n'est donc pas une caractéristique du phishing.

2) Vérifiez tous les liens, mais ne cliquez pas

Ne cliquez sur un lien que si vous êtes sûr à 100 % que l'expéditeur et le message sont dignes de confiance. Déplacez votre souris sur le lien dans l'e-mail et vérifiez si le nom de domaine dans l'URL est légitime. La partie avant la première barre oblique doit se terminer par le nom de domaine. Tout texte relatif au nom de domaine doit être séparé par un point. Sur un smartphone ou une tablette, vous pouvez voir le lien complet en appuyant sur le lien pendant un certain temps, jusqu'à ce qu'une fenêtre apparaisse avec l'adresse Web.

3) Faites attention à l'urgence

Le phishing menace souvent des conséquences majeures ( " transférez de l'argent rapidement ou nous perdrons l'affaire " ) ou des coûts élevés si vous n'agissez pas rapidement. Dans la fraude au PDG , est une forme d'hameçonnage où le criminel se fait passer pour une personne de haut rang au sein de l'organisation, les demandes sont souvent envoyées vers la fin de la journée pour rendre l'urgence encore plus convaincante. Soyez donc très vigilant lorsqu'un message contient une urgence élevée ou une certaine pression temporelle. C'est ainsi que vous reconnaissez un e-mail de phishing.

4) Portez une attention particulière aux pièces jointes

Les pièces jointes sont une source d'infections par des logiciels malveillants. Portez une attention particulière aux pièces jointes qui se terminent par .exe, .zip, .docm ou .xlsm . Les pièces jointes que vous ne devez jamais ouvrir sont des fichiers qui se terminent par .js .lnk .wsf .scr .jar. N'ouvrez les pièces jointes que si vous les attendez et si elles ont une extension fiable. Vous pouvez reconnaître le phishing lorsque vous ne vous attendez pas à une pièce jointe. Faites alors très attention.

5) Faites attention à la salutation

L'hameçonnage utilise souvent une salutation générale ( Cher client ) au lieu d'une salutation personnelle ( Cher [votre nom] ). Mais là aussi la prudence est de mise. Les criminels utilisent régulièrement des données personnelles capturées lors d'un piratage. Dans ces cas, ils utiliseront donc une salutation personnelle. L'hameçonnage dans lequel des données personnelles ou spécifiques à l'organisation sont utilisées est également appelé harponnage.

6) Êtes-vous invité à fournir des informations de connexion ?

La détection ultime du phishing. Les vraies entreprises ne vous demandent jamais de partager vos informations d'identification par e-mail, SMS ou téléphone. Si possible, rendez-vous sur le site Web légitime avec les détails que vous connaissez et connectez-vous pour vérifier le message.

7) Surveillez les fautes de langage et d'orthographe

Un message de phishing ne tient souvent pas compte de l'orthographe et de la grammaire. Cela semble donc être un moyen facile de repérer le phishing et de déjouer un escroc. Mais attention : de nos jours, le phishing devient de plus en plus sophistiqué. L'époque où tous les messages de phishing étaient pleins d'erreurs de langage est révolue. Par conséquent, analysez attentivement le texte d'un e-mail suspect.

8) Cela vous semble-t-il trop beau pour être vrai ?

Alors c'est souvent le cas ! Les méga remises, les produits gratuits ou les rendements élevés sont souvent utilisés pour vous inciter à cliquer ou à laisser des données. Le cas le plus "classique" est celui du prince nigérian qui vous a nommé dans son testament et qui peut faire de vous un millionnaire instantané.

9) En cas de doute, vérifiez toujours !

Recevez-vous une demande étrange ou inattendue de quelqu'un que vous connaissez ? Pensez-vous reconnaître le phishing ? Contactez ensuite l'expéditeur via un autre canal, par exemple par téléphone. N'utilisez simplement pas le numéro qui figure dans le message, mais recherchez-le vous-même. Au travail, vous pouvez bien sûr toujours demander à un collègue ou au service desk de votre organisation de jeter un coup d'œil avec vous. Et rappelez-vous de ne jamais dévier des procédures de l'entreprise sans raison. 

La responsabilité des organisations

Il incombe aux organisations de maintenir en permanence la « sensibilisation au phishing » auprès de leurs employés à un niveau élevé. Formez régulièrement les employés à reconnaître le phishing et effectuez également des simulations de phishing pour déterminer le degré de vulnérabilité de l'organisation. En plus d'être un moyen de déterminer le risque actuel, les simulations, si elles sont effectuées correctement, sont un moyen parfait de sensibiliser et de rendre les employés résilients aux futures attaques de phishing.

Il est essentiel de garder les employés aussi alertes que possible à tout moment. Cela n'est possible que par une approche basée sur les processus. Chez Awaretrain, nous sommes heureux de vous aider. Consultez nos produits et services ou n'hésitez pas à nous contacter.

Essayez notre plateforme de phishing gratuitement pendant 28 jours

Plus d'informations sur l'utilisation gratuite de notre plateforme de phishing ou demander votre accès gratuit ? Vous pouvez le faire via le bouton ci-dessous.

Lancez le hameçonnage !

Téléchargez notre affiche gratuite

Cliquez ici ou sur l'aperçu ci-dessous pour télécharger l'affiche au format A2.

+33 (0)1 44 04 01 73 info@awaretrain.fr

Découvrez notre plateforme de sensibilisation à la cybersécurité

Plus d'infos

Lire la suite

Découvrez nos autres blogs et articles d'actualité.

09 jan
Hameçonnage : Le fossé entre les connaissances et le comportement Plus d'infos
5 étapes vers une culture de reporting sécurisée 14 nov
5 étapes vers une culture de reporting sécurisée pour une meilleure sécurité des données Plus d'infos
De la sensibilisation à la culture de la sécurité. 10 oct
De la sensibilisation à un environnement de travail cyber sécurisé et à une culture de la sécurité. Plus d'infos
Voir tous les blogs