Hameçonnage

L’hameçonnage consiste à utiliser des courriels frauduleux pour vous convaincre de cliquer sur des pièces jointes ou des liens malveillants. Les courriels peuvent sembler légitimes et provenir d’expéditeurs que vous connaissez, comme un établissement financier, un fournisseur de logiciels ou de matériel informatique, d’autres organisations réputées ou encore des personnes qui font partie de votre entreprise ou de votre réseau professionnel.

L’objectif des courriels est que vous téléchargiez une pièce jointe ou que vous cliquiez sur un lien pour répondre à une demande qui paraît urgente. Ces pièces jointes contournent souvent les programmes de sécurité et antivirus en utilisant des «macros» de la suite Microsoft Office qui téléchargent des logiciels malveillants s’ils sont exécutés.

Les liens peuvent mener à des sites Web en apparence légitimes, mais ceux-ci exploitent les vulnérabilités de votre ordinateur pour y installer des codes malveillants. Ces pages Web peuvent aussi simplement vous amener à entrer des renseignements personnels, comme des noms d’utilisateur et des mots de passe, ce qui peut permettre ensuite aux fraudeurs d’avoir accès à vos données financières, à des données relatives à vos clients ou encore à vos données personnelles.

Les pirates informatiques qui utilisent les tactiques les plus complexes envoient des courriels de harponnage très convaincants à des personnes soigneusement choisies. Ils consultent les réseaux sociaux, LinkedIn et d’autres sources de données accessibles en ligne au grand public. Ces courriels semblent provenir d’un expéditeur que vous connaissez et en qui vous avez confiance, ce qui vous incite à cliquer sur le lien, à télécharger la pièce jointe ou à rendre de toute autre manière votre système vulnérable.

L’hameçonnage à vaste échelle, quant à lui, cible le plus grand nombre de destinataires possible. Pour que cette stratégie s’avère une réussite, seul un petit nombre de destinataires a besoin de tomber dans le panneau. Les fausses factures, les faux avis de réception, les faux reçus et les fausses mises à jour bancaires peuvent tous servir d’hameçon dans ces tentatives.

• Vol de données (ou extorsion basée sur le chiffrement)
• Dommages matériels
• Redirection frauduleuse des services bancaires par Internet
• Vol d’argent ou de données financières

• Installez et mettez régulièrement à jour un antivirus de bonne qualité et tenez-vous au courant des nouvelles versions et des correctifs de sécurité les plus récents.
• Vous ne devez jamais ouvrir les pièces jointes, cliquer sur des liens ou télécharger des logiciels de sources inconnues ou de sites Web louches.
• Mettez en place des politiques et des formations afin de fournir aux employés les connaissances nécessaires pour qu’ils s’acquittent de leurs activités en ligne de façon sécuritaire.
• Limitez l’accès aux systèmes et aux données en fonction des tâches de chacun de vos employés et répartissez les responsabilités financières entre les employés.
• N’accordez l’accès qu’à des sites Web dignes de confiance et limitez l’utilisation de dispositifs médias externes.
• Sachez quels sont les renseignements vous concernant et concernant votre entreprise qui circulent dans les médias sociaux. En connaissant l’existence de ces renseignements, vous serez mieux placé pour en reconnaître l’utilisation dans un courriel en apparence inoffensif.

Le plus important reste de savoir reconnaître les courriels douteux. Voici quelques signes indicateurs :

• Un courriel inattendu, comme la confirmation d’un formulaire que vous n’avez pas soumis ou d’une commande que vous n’avez pas passée.
• Une nouvelle adresse de courriel d’un expéditeur que vous connaissez.
• Des salutations inhabituelles ou un titre bizarre dans la zone d’objet du courriel.
• Un ton ou un vocabulaire étranges.
• Une demande anormalement urgente d’une personne connue.
• Une pièce jointe inhabituelle ou une demande d’activation de macros.
• La redirection vers un site Web qui ressemble à un site Web que vous visitez fréquemment, mais dont il diffère subtilement.
• Tout courriel ou lien qui vous demande d’entrer un mot de passe.