Phishing : 3 conseils pour éviter les pièges des cyber attaquants

Email ou Site internet, comment reconnaître les imitations frauduleuses ?

Pour vous prémunir d’une escroquerie sur le web, vous devez éviter de vous fier aux apparences car les cybercriminels très aguerris réalisent des e-mails et des sites web frauduleux identiques aux originaux.

C’est pourquoi, vous devez vérifier les urls et les hyperliens pour éviter de tomber dans les pièges de personnes cyber-malveillantes.

Vous trouverez dans cet article quelques conseils pour aider vos collaborateurs à différencier un site de confiance d’une imitation frauduleuse.

Lorsque nous recevons un message en provenance d’une de nos connaissances, amis, collègues ou supérieur, il faut se rappeler d’une chose, leur compte e-mail peut avoir été piraté. C’est pourquoi il faut faire preuve de prudence en toute circonstance !

Il en va de même pour les e-mails des organismes officiels comme les banques, les administrations fiscales, les boutiques en ligne, les agences de voyage, les compagnies aériennes… Il est très simple de créer une fausse lettre qui ressemble à une vraie.

1/ Comment vérifier l’expéditeur et vous assurer que ce n’est pas un email de « phishing » ?

Vous devez vérifier l’adresse email de l’expéditeur pour vous assurer que c’est une adresse connue (nom de l’expéditeur, nom de domaine, serveur mail d’envoi).

Pour cela, il est possible d’utiliser les outils déjà implémentés dans le client mail, mais également d’installer des compléments comme Message Header Analyzer sur Outlook qui permettent de voir des informations détaillées sur l’expéditeur si vous avez des doutes.

2 / Comment savoir si vous pouvez cliquer sur des liens ?

De manière générale, il vaut mieux ne jamais suivre les liens inclus dans les e-mails. Au lieu de cela, il est possible d’ouvrir une nouvelle fenêtre et saisir manuellement l’adresse de votre banque ou de votre boutique en ligne par exemple. Ce faisant, le phishing devient inopérant.

Avant de cliquer sur un lien, vous devez vérifier s’il comporte des fautes d’orthographe ou un faux domaine. En utilisant des noms de domaines ressemblant à un nom de domaine officiel, exemple « microsfl.fr », il est probable qu’un cybercriminel tente de vous attirer sur une fausse page.

Pour vérifier le lien, il vous suffit de passer votre souris sur le lien sans y cliquer dessus, vous pouvez voir l’adresse du site et constater si celle-ci est différente du lien mentionné dans la description.

Pour les liens courts tels que bit.ly ou goo.gl, vous pouvez les vérifier avant de cliquer avec des services en ligne de type unshorten, checkshorturl ou getlinkinfo.

3 /Comment utiliser vos identifiants de connexion ?

Sur ce point soyez encore plus prudents que d’ordinaire, lorsque vous avez besoin de vous connecter.

N’utilisez pas les liens inclus dans les e-mails pour vous connecter à un service en ligne. Ouvrez une nouvelle fenêtre dans votre navigateur et saisissez manuellement l’adresse du service en ligne et ainsi une cyberattaque par phishing devient inopérante.

Ne saisissez jamais vos identifiants de connexion sur des sites web non sécurisés (http et non https). Le préfixe « https » devant l’adresse d’un site signifie que la connexion est sécurisée. S’il n’y a pas de « s », ou que le certificat n’est pas valide, il n’est pas recommandé de poursuivre.

Nous vous rappelons que les organismes sociaux, bancaires et autres ne demandent jamais d’information sensibles par e-mail.

Comment sensibiliser vos collaborateurs ? et évaluer leur niveau de vigilance ?

Harmonie Technologie s’inscrit à l’appel à la mobilisation solidaire pour faire front à l’augmentation des cyberattaques à destination des entreprises les plus vulnérables en mettant à disposition une solution de prévention à la cybersécurité gratuite pour les PME (plateforme RISK&Me). La plateforme RISK&Me met à disposition plusieurs services de prévention et notamment un service permettant de générer des campagnes de simulation de phishing pour sensibiliser et évaluer le niveau de vigilance des collaborateurs. Ce service est mis à disposition des PME gratuitement (Service limité à 3 campagnes par an et à 250 collaborateurs). Vous pouvez dès à présent vous pré-inscrire à ce service sur le site RISK&Me.

La practice Audits techniques & Pentest intervient auprès d’entreprises de toutes tailles avec de nombreuses références (PME/ETI, Next40, SBF120 et CAC40) pour compléter le service packagé proposé par la plateforme RISK&Me, en approfondissant les investigations et préconisations. Avec une approche par les risques, l’objectif est d’apporter un éclairage sur les améliorations prioritaires à mettre en œuvre sur les 3 axes organisationnel, fonctionnel et technique. (Plus d’info sur les activités Audits techniques et Pentest).

Retrouvez tous nos domaines d'expertise