Le phishing : comment le détecter et se protéger ?

Le phishing est une cybermenace qui pèse toujours sur les internautes. En témoigne cette étude réalisée par Sophos en 2021 qui indique que cette technique reste toujours très prisée des cybercriminels. Et les entreprises ne sont bien sûr pas épargnées par cette tendance. Alors pour protéger votre structure, nous vous donnons toutes les clés pour détecter ces arnaques et vous en prémunir.

Qu’est-ce que le phishing ?

Le phishing, aussi appelé « hameçonnage » correspond à une escroquerie souvent réalisée par email. Les pirates se font généralement passer pour un organisme de confiance (entreprise, banque, impôts, etc…). Sous un faux prétexte ils demandent aux destinataires leurs coordonnées bancaires ou leurs identifiants de connexion à des services tiers. Souvent dans le but de leur soutirer de l’argent. On retrouve généralement ces trois grands types de stratégies pour vous appâter :

  1. vous n’avez pas réglé une certaine somme d’argent (factures, impôts, électricité, téléphonie, etc…) et on vous ordonne de le faire sous peine de sanction
  2. on vous signale une erreur d’ordre financier en votre faveur (impôts, banque…) et on vous invite à rapidement demander un remboursement
  3. suite à une erreur technique ou un bug, on vous demande de confirmer certaines informations confidentielles en vous connectant sur une page web

Détecter une tentative de phishing

Heureusement il existe des moyens de repérer ces tentatives de phishing. Certaines sont bluffantes de réalisme, d’autres sont véritablement grossières mais toutes contiennent au moins un de ces éléments qui doivent vous alerter :

  • Mise en page douteuse : des images floues ou pixelisées, l’utilisation d’un ancien logo de l’organisme peuvent être des signes de tentative de phishing. Pour vous en assurer comparez l’email reçu aux autres mails de l’organisme que vous avez pu recevoir (fouillez votre corbeille si nécessaire). Si l’apparence graphique du nouveau mail est différente des précédents vous êtes probablement face à une arnaque.
  • Adresse email de l’expéditeur « non professionnelle » : l’adresse mail de l’expéditeur ne correspond pas à l’adresse mail habituellement utilisée pour communiquer avec vous. Ou bien elle ne possède pas le même nom de domaine que le site officiel de l’organisme, voire s’avère complètement fantaisiste (exemple : ed.la1659709183bolgb1659709183ew.re1659709183vres@1659709183ilema1659709183). Dans tous les cas, ne vous fiez pas uniquement au nom de l’expéditeur affiché. Car dans le cas d’une usurpation de nom de domaine, ce dernier peut sembler correct mais lorsqu’on vérifie l’email associé il est souvent louche.
  • Lien suspect : survolez avec votre souris le lien présent dans l’email sans cliquer dessus pour voir son URL. Si cette dernière est différente de l’URL du site officiel de l’organisme, considérez le lien comme suspect. Par exemple une URL de ce type : « http://infocaf.org/allocataires » devra vous alerter puisque les URL du site de la caf se présentent sous cette forme « https://caf.fr/allocataires/». A noter que cette manipulation est plus complexe à réaliser sur mobile.
  • Fautes d’orthographe / de syntaxe : si vous remarquez des fautes d’orthographe/grammaire, des expressions inappropriées, des phrases hasardeuses, ou encore un manque de soin global sur le ton du message, ce sont des signes que vous êtes probablement face à une tentative de phishing. Même s’il est vrai que désormais les pirates font de plus en plus attention à ces détails.

Exemple de tentative de phishing

Comme une image vaut mille mots, voici un exemple :

exemple de mail imitant un email de l'assurance maladie utilisé dans une tentative de phishing

Un œil averti remarquera tout de suite :

  • l’adresse email de l’expéditeur qui ne correspond pas au nom de domaine du site officiel de l’Assurance Maladie (ameli.fr)
  • un logo qui prend une place énorme et dans une qualité qui laisse à désirer
  • des fautes d’orthographe même dans l’objet du mail ainsi que des oublis de mots
  • des approximations qui donnent un rendu peu professionnel. Comme par exemple, l’objet du mail qui est habituellement plus précis que « Asurance Maladie | Ameli.Fr »
  • le bouton qui tente de rassurer l’utilisateur avec son libellé « https://www.assure.ameli.fr » mais qui en devient suspect puisque habituellement le label est plus explicite (exemple : « Accéder à mon espace assuré » ou « Télécharger mon attestation »….)

Comment se protéger du phishing ?

1. Ne communiquez jamais d’informations confidentielles par email

Un organisme sérieux (banque, assurance, site gouvernemental, etc.…) ne demande jamais par email les données confidentielles (mots de passe, informations personnelles, n° de compte ou de carte bancaire, etc…) de ses clients/utilisateurs. Même si le message vous presse de répondre sous peine de sanctions financières, ne réagissez pas dans l’urgence. Demandez vous d’abord si cette demande est légitime.

2. Levez le doute rapidement

Ensuite, rien ne vous empêche de contacter l’émetteur du mail (via un autre canal) pour confirmer qu’il en est bien à l’origine. De cette manière vous clarifiez instantanément la situation. S’il n’est effectivement pas derrière cet envoi, vous l’informez alors d’un potentiel problème de sécurité sur sa boîte mail professionnelle. Et vous lui permettez de mettre en place une campagne de prévention auprès de ses clients ou usagers.

3. Ne cliquez jamais sur un lien douteux contenu dans un email

En cas de doute sur la légitimité d’un lien qui vous est présenté dans le contenu du mail, ne cliquez surtout pas dessus.

Observez d’abord son URL, toute faute d’orthographe ou irrégularité (tiret ou point en trop/en moins, par exemple) doit vous alerter. Et si vous n’arrivez pas à définir si ce lien est crédible ou non :

  • recherchez manuellement dans un moteur de recherche le site web de l’organisme qui semble vous avoir envoyé ce mail
  • naviguez et connectez-vous sur le site uniquement à partir de ce résultat de recherche et non pas à partir du lien fourni dans le mail

Soyez également attentifs. Certains sites web comme celui des impôts affichent parfois des messages vous mettant en garde contre de potentielles campagnes de phishing réalisées avec leur identité.

4. Vérifiez la sécurité du site vers lequel on veut vous rediriger

Dans la mesure où il s’avère réellement nécessaire de fournir vos informations confidentielles à un organisme via un formulaire web, nous recommandons de vérifier que le site en question est bien sécurisé et fiable :

  • son adresse web commence bien par « https » comme ceci illustration URL en HTTPS indiquant que le site web est sécurisé
  • une petit icone « cadenas » illustration cadenas indiquant qu'un site web est sécurisé est présent à côté du nom de domaine du site
  • les mentions légales apparaissent bien et sont accessibles

Notez également que certains navigateurs émettent des avertissements « Phishing » lorsque vous essayez d’accéder à des sites catégorisés comme tels. Si votre navigateur vous alerte, faîtes lui confiance et quittez immédiatement la page.

illustration se protéger contre le phishing : faîtes confiance à votre navigateur web s'il identifie un site douteux

5. Protégez vous à l’aide d’outils

L’intérêt est de limiter au maximum le nombre de campagnes de phishing qui arrivent dans votre boîte de réception. Car moins vous y serez confrontés, moins vous serez susceptibles de tomber dans un piège.

Pour cela, utilisez un logiciel de filtre anti-spam comme Mailinblack par exemple. Ou encore les fonctionnalités de classement automatique en tant que spam/indésirable de votre boîte mail. Même si ces filtres ne sont pas exhaustifs, ils permettent toutefois de réduire drastiquement le nombre d’emails frauduleux reçus. Et bien sûr il est indispensable de compléter ces dispositifs avec un antivirus à jour qui pourra vous alerter si vous recevez un email douteux.

6. Entraînez vous à repérer les campagnes de phishing

Les attaques en phishing reposent essentiellement sur la crédulité des utilisateurs et le manque d’informations sur cette pratique. Formez vous et entraînez vos équipes à reconnaître ce type de cyberattaques. C’est la première des défenses contre ces dernières ! Vous pouvez par exemple, échanger autour de cas de phishing dans l’actualité (vous aurez malheureusement toujours des ressources…). Ou bien organisez des fausses campagnes de phishing au sein de votre entreprise. Ainsi, vous pourrez évaluer les connaissances de vos collaborateurs et débriefer autour de leurs réactions dans cette situation précise. Et pour approfondir le sujet vous pouvez aussi consulter notre article dédié à la sensibilisation à la cybersécurité.

Enfin, sachez qu’en cas de cyberattaque, seule votre organisation est responsable. En conséquence, vous ne pourrez pas être dédommagés du montant que les pirates auront réussi à vous soutirer. Et si les hackers se sont attaqués aux données de votre entreprise, vous vous exposez potentiellement à des sanctions de la CNIL. Surtout si elle estime que vous n’avez pas assez sécurisé votre système informatique.

C’est pourquoi, chez Axis Solutions nous utilisons notre expertise en matière de cybersécurité comme bouclier contre les cyberattaques visant votre entreprise. Après analyse de votre structure et de vos méthodes de travail, nous intégrons à votre système les outils nécessaires (antispam, antivirus, pare-feu, vpn, prévention/détection d’intrusion etc…) à une protection à 360° de vos données professionnelles. Et parce que l’on est jamais trop prudent, nous vous accompagnons aussi sur la mise en place de sauvegardes récurrentes et de Plans de Reprise et de Continuité d’Activité (PRA/PCA).

.

Vous pourriez lire aussi :