En cette période de confinement et de télétravail, les piratages et autres hackings se développent et s’intensifient. La période est propice malheureusement, notamment en matière de phishing.

Nous allons aujourd’hui vous donner des astuces et des solutions pour éviter le pire, en apprenant à repérer la fraude.

Et rappelons-nous, ce que nous apprenons en ces jours particuliers est un acquis pour la suite ! Profitons de la situation pour devenir des pros dans la détection des intrusions et autres mails frauduleux.

Phishing : comment repérer les mails frauduleux ?

Pour rappel, le phishing consiste à dérober les identifiants d’une personne. En général, vous recevez un email semblant « officiel » et vous demandant de vous connecter à un site pour vérifier une information.

Vous êtes ensuite redirigé vers un « faux site » qui ressemble fortement à un site officiel et on vous demande vos identifiants. Ces identifiants sont ensuite récupérés par les pirates et utilisés contre vous !

Les indices à étudier !

Vérifiez consciencieusement l’adresse du destinataire du mail. Certains points vous sauteront aux yeux :

  • Si l’orthographe est différente de celle habituelle
  • Si cette personne vous est inconnue
  • Si le domaine de l’adresse mail est bizarre

Vérifiez aussi toujours le lien dans le mail. On peut voir vers quoi redirige un lien juste en passant la souris phishing : lien frauduleuxdessus (sans cliquer !).

Dans cet exemple, on voit tout de suite que le site est erroné, car c’est écrit axone-groupe avec un « e » final ! C’est une technique souvent utilisée en phishing, ajouter une lettre dans un nom de domaine. Si on n’est pas attentif, on tombe facilement dans le piège.

De plus, on se méfie et on supprime le mail, si le lien redirige :

  • Vers un site qui n’est pas sécurisé (HTTP et non HTTPS)
    • Rappel, ne jamais rentrer des identifiants sur un site qui n’est pas en HTTPS !
  • Vers un domaine inconnu

Et enfin, si on a un doute sur un mail, on ne clique surtout pas sur le bandeau qui demande de télécharger les images.

Vous l’aurez compris, au moindre doute, supprimez le mail et prévenez vos collègues. Il est possible qu’ils soient les victimes de la même campagne de phishing !

Prenez soin de vos informations personnelles !

En cas de doute, n’enregistrez pas d’information personnelle sur une page web factice qui ressemblerait à celle officielle mais qui vous paraît suspecte. En ce moment, certaines entités officielles sont les cibles privilégiées des hackers. Ces entités informent les utilisateurs des fraudes autour de leur nom sur leur site internet officiel, alors prenez le réflexe d’aller sur le site, pour valider les informations du mail suspect.

De toute façon, un mail qui vous demande de re valider des données, des coordonnées bancaires, doit être étudié méticuleusement ! Méfiance !

Travaux pratiques ! Apprenez à reconnaître le phishing

Le premier moyen lutter contre l’hameçonnage, c’est la double authentification. Cela protège, mais ce n’est pas parfait ! En effet, un pirate peut tout à fait construire un faux site vous demandant vos identifiants et le code de double authentification et se connecter avec en temps réel !

L’étape d’après, c’est une campagne de sensibilisation des utilisateurs. Car même avec la meilleure protection, si un utilisateur donne sciemment ses accès, aucun outil ne peut empêcher cela. C’est pour cela que nous vous proposons plusieurs solutions pour aider/tester/sensibiliser vos collaborateurs :

Test de détection

Pour cela, suivez ce lien, c’est un test réalisé par Google. Non, ceci n’est pas un site de phishing (mais bravo si vous vous êtes posé la question) ! Ce test prend 5-10 minutes maximum et va vous permettre d’apprendre à repérer les tentatives de phishing. Le but n’est pas de faire absolument 8/8, mais de comprendre comment repérer les mails de phishing.

Signalement et vigilance !

Vous pouvez mettre en place un système interne pour prévenir lorsque vous recevez un mail suspect. Instaurez une communication interne (envoi à toute l’entreprise d’une alerte sans transférer le mail suspect bien sûr !) ou une boîte mail dédiée pour le signalement.

Entrainement et formation

Chez AXONE Group, nous pouvons vous proposer des campagnes de phishing factices ! (déjà en production, avec bons résultats garantis !) Nous créons un mail frauduleux que nous envoyons à vos collaborateurs, le but n’étant pas de chercher à vous piéger, mais seulement de vous entraîner à détecter ce genre de mail, sans risque !

Ne vous inquiétez pas, les tests ne récupèrent pas les mots de passe, pour garantir la confidentialité de vos données. Les données d’ouverture, de clic et autres sont indexés et ensuite remontés sous forme de bilan, pour faire le point avec vous sur les failles encore existantes sur la détection de vos utilisateurs.

Prenez soin de vous, physiquement et numériquement !

Bienvenue !

 

Vous êtes dirigeant, manager, ou patron de PME, découvrez dans ce blog des articles mélangeant les notions de management et de l'informatique pour répondre à vos besoins et ceux de vos collaborateurs.