9 rue de l'Etoile, 75017 Paris
01 88 33 58 46
contact@ics-informatique.com

Attention au Phishing !

Phishing - les astuces pour s'en prémunir

Suivez ces 6 astuces pour vous prémunir du phishing

 

Le phishing (ou hameçonnage en Français) est une technique destinée à obtenir frauduleusement des informations personnelles.

Dans la grande majorité des cas, le phishing se caractérise par l’envoi d’un mail. Celui-ci semble parvenir d’une entreprise que vous connaissez et qui vous paraît sérieux. Ou alors, il provient de l’adresse de l’un de vos contacts qui aurait été usurpée.

Il est primordial de ne jamais répondre à ces messages, de ne jamais cliquez sur les liens et de ne jamais ouvrir les pièces jointes !

Pour se prémunir de ce genre de tentative, il faut être en permanence sur ses gardes. En effet, les tentatives de phishing sont de plus en plus « professionnelles ».

Vous n’êtes pas à l’abri, quelque soit la taille de votre entreprise ou quelque soit vos systèmes de protection informatique.

Exemple de tentative de phishing

Tentative de phishing utilisant la marque “La Banque N26”

 

Il existe deux types principaux de phishing

Le Spear phishing et le In-session phishing

 

Spear Phishing

Le spear phishing vise une personne en particulier. Vous pouvez subir une tentative sur vos réseaux sociaux ou bien sur votre boîte mail.

A la différence du phishing le plus courant par mail, le spear phishing se caractérise par le faible nombre de personnes visées. Souvent, le message est ultra personnalisé avec des informations récupérées sur vos réseaux sociaux pour vous inciter à répondre à la tentative de phishing.

Ces messages peuvent vous être envoyés depuis l’adresse mail de l’un de vos contacts qui auraient été compromise. Le côté urgent doit vous inciter à la prudence. Essayez de contacter votre relation via un autre moyen que son adresse mail pour certifier qu’il est bien l’expéditeur.

 

In-session Phishing

Ici, le hacker va tenter de récupérer vos informations durant votre navigation sur internet.

Le mail que vous recevrez vous fera croire qu’une entreprise de confiance a besoin de certaines de vos données confidentielles.

Le principe de ces attaques est de vous demander de vous connecter à vos comptes via une fenêtre pop-up entre le mail et le site internet définitif.

C’est dans cette fenêtre que vos informations vont être piratées.

 

Comment se prémunir ?

Vérifier l’orthographe

En cas de doute, vous pouvez saisir le nom de la société émettrice du mail et comparez l’URL de son site internet avec celui de redirection et d’envoi.

Parfois, une seule lettre sera différente entre l’adresse d’envoi et l’URL réel de la société.

 

Vérifier l’arobase

Un lien pointant vers un site internet n’est pas supposé comprendre un arobase. Dans le cas où vous en trouvez un, vous trouverez derrière celui-ci une adresse IP. Votre navigateur internet devrait vous préciser que le site est malveillant. Cependant, il est quand même intéressant de vérifier ce point avant de cliquer sur le lien.

 

Vérifier l’absence de caractères Unicode

Unicode est un standard informatique qui donne à chaque caractère alphabétique un nom et un identifiant numérique.

Il devient ainsi possible de faire apparaître l’URL d’un site internet réel en pointant vers une toute autre adresse.

Pour contrer cette technique, vous pouvez décider d’empêcher l’affichage des caractères Unicode. Cependant, cette méthode de blocage devient petit à petit obsolète. En effet, les caractères unicode sont utilisés pour les noms de domaines à l’international.

 

Ecrire manuellement l’URL

Si l’un de vos fournisseurs ou prestataires vous demande de régulariser une situation, ou de « vérifier » l’un de vos comptes il est préférable que vous vous connectiez directement à son site internet, sans passer par le lien qui s’affiche dans son mail. Ainsi, vous n’aurez aucun risque de phishing.

 

Vérifier les certificats électroniques

Le certificat électronique, ce petit cadenas que vous voyez sur votre navigateur internet à côté de l’URL du site visité, existe depuis les années 1990.

Ce certificat signifie que la communication avec le site visité est chiffré. Cependant, cela ne protégeait en rien du phishing.

Depuis, des certificats étendus ont été créés. Ceux-ci permettent de vérifier plus efficacement l’identité d’un site internet.

 

Filtres anti-spam

Pour vous prémunir, vous pouvez également utiliser des outils de blocage de mail, des filtres anti-spam. Votre messagerie est nativement équipée de ce genre d’outil, certains plus efficaces que d’autres. Mais il peut être intéressant de se tourner vers des solutions dédiées.

 

Différents exemples de phishing

Banques et livraisons

Les tentatives les plus fréquente de phishing se font avec l’apparence d’une banque, qui vous demanderait de mettre à jour vos données de sécurité. Ou bien d’une société de livraison vous indiquant qu’un colis est disponible. Dans les deux cas, connectez vous directement au site de votre banque ou de votre service de livraison pour être certain que la demande vient bien d’eux.

 

Particulier

Le pirate informatique va récupérer les informations personnelles d’une personne via les réseaux sociaux de façon à tenter de piéger vos contacts ou d’usurper votre identité.

Ici, le meilleur moyen de se prémunir est évidement de limiter les informations personnelles que vous diffusez sur les différents sites sociaux.

 

Entreprise – l’arnaque au président

L’arnaque au président, désigne une fraude qui vise essentiellement les entreprises, sans distinction de taille.

Après des recherches sur votre entreprise, le pirate va tenter de se faire passer pour un dirigeant de la société. Il va ainsi solliciter un virement bancaire dans le cadre d’une opération urgente et confidentielle.

Le cas le plus célèbre est celui qui a touché un fournisseur d’Airbus et Boeing, dont la société a perdu 42 millions d’euros.

Ainsi, vérifier toujours avec la personne qui vous a sollicité si la demande est réelle ou non. Notamment par téléphone, car il est possible que l’adresse mail de votre contact ait été usurpé.

 

Dénoncer les tentatives de phishing

En France, un site internet a été mis en place par l’état pour signaler et dénoncer ces tentatives d’escroquerie.

Rendez vous sur le site internet dédié.

Vous trouverez également une association, créée en 2010, qui vous permet de signaler les sites frauduleux afin de les faire bloquer : Phishing Initiative

 

Consultez nos partenaires pour trouver la solution de sécurité la plus adaptée à vos besoins

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Vérification antispam * Time limit is exhausted. Please reload CAPTCHA.