Qu’il s’agisse de l’arnaque la plus basique du type « vous avez gagné un prix » ou des campagnes d’espionnage les plus sophistiquées, les attaques visant nos boîtes de réception de mail sont encore et toujours couronnées de succès.
Ce n’est pas pour rien que les cybercriminels et les pirates informatiques continuent d’envoyer des millions d’e-mails de phishing.
En effet, que vous soyez en télétravail ou au bureau, l’e-mail joue toujours un rôle essentiel dans notre journée de travail. Bien sûr, il y a maintenant une place pour Slack, ou Zoom, ou Microsoft Teams, ou toute autre logiciels de productivité que vous êtes censé utiliser.
Les points forts et les points faibles de l’email sont les mêmes
Mais pour la plupart des gens, le travail se résume toujours à l’e-mail.
-
Les points forts de l’e-mail : n’importe qui peut vous envoyer un e-mail et ajouter toutes sortes de pièces jointes. - Les faiblesses de l’e-mail : n’importe qui peut vous envoyer un e-mail et ajouter toutes sortes de pièces jointes.
Cela en fait l’un des outils de productivité les plus puissants qui soient – et une grande source de risques.
Combien de temps passez-vous à lire vos courriels ?
La plupart d’entre nous sont encore confrontés à une surcharge de courrier électronique (à laquelle s’ajoutent désormais tous les autres outils de communication). Cela signifie que vous êtes encore potentiellement en train de regarder – et d’essayer de répondre à – des centaines de messages de collègues, de clients ou de toute autre personne avec laquelle vous faites des affaires, chaque jour.
Mais combien de temps passez-vous à lire ces messages ? Sont-ils vraiment ceux qu’ils prétendent provenir ?
Les cybercriminels savent que notre temps est compté et que nous n’aurons pas l’occasion d’analyser soigneusement chaque message qui arrive dans notre boîte de réception – c’est l’une des raisons pour lesquelles le phishing a toujours autant de succès.
Accuser la victime est une erreur
Et ils l’utilisent pour toutes sortes de campagnes malveillantes ; qu’il s’agisse de nous inciter à cliquer sur des liens factices – mais convaincants – nous demandant de saisir notre nom d’utilisateur et notre mot de passe, de nous convaincre d’effectuer des virements financiers urgents ou de nous inciter à télécharger des logiciels malveillants ou des rançongiciels à partir de pièces jointes malveillantes, le phishing reste une arme efficace dans le cyber arsenal des pirates.
Certains s’étonnent que les courriels de hameçonnage soient toujours un outil d’attaque aussi efficace ; parfois, ils accusent carrément la victime d’avoir ouvert le courriel de spam et suivi les instructions – mais accuser la victime est une erreur.
Pour commencer, si les logiciels antivirus et les filtres anti-spam étaient utilisés et mis en œuvre correctement, dans la plupart des cas, il y aurait beaucoup moins de chances que des courriels malveillants atterrissent dans les boîtes de réception des entreprises – c’est un problème technologique, pas un problème humain.
Il est devenu incroyablement difficile pour nous de traiter et de séparer les courriers indésirables
Mais en outre, il est devenu incroyablement difficile pour nous de traiter et de séparer les courriers indésirables de tout le reste qui atterrit dans notre boîte de réception, en particulier lorsque, pour beaucoup d’entre nous, un grand nombre de ces courriers sont liés à l’administration du bureau – et les cyber-escrocs le savent.
Selon le fournisseur de formation à la sécurité et au hameçonnage KnowBe4, les lignes d’objet les plus courantes utilisées dans les courriels de hameçonnage au cours de l’année écoulée concernent des mises à jour de logiciels informatiques, des messages des RH sur les performances et des messages prétendant que votre patron vous a envoyé un lien pour participer à une réunion.
Beaucoup d’entre nous ont l’habitude de voir et de cliquer sur des e-mails de ce type tous les jours, car ils font partie de notre travail. Si vous recevez un e-mail indiquant qu’il provient de votre patron et qu’il s’agit d’une réunion inattendue, vous risquez de paniquer et de cliquer dessus.
Formation : un questionnaire à choix multiples par an ne suffit pas
Dans le cas des messages qui prétendent concerner des mises à jour de logiciels et des correctifs de sécurité, l’utilisateur essaie simplement de faire ce qu’il faut. Ironiquement, dans ce cas, en faisant ce qui est demandé et en pensant aider à protéger son ordinateur contre les cyber-attaques, il en encourage accidentellement une.
S’il est tout à fait possible de former le personnel à l’hameçonnage, il faut que cette formation soit efficace – un questionnaire à choix multiples par an ne suffit pas. Pas plus que les tests de phishing de type « gotcha », dans lesquels de faux e-mails de phishing sont conçus pour ne pas être distingués des e-mails réels que la victime reçoit tous les jours.
Il est peu probable que les attaques de phishing soient un jour totalement éliminées – du moins dans un avenir proche – mais il existe des mesures que les organisations et les particuliers peuvent prendre pour s’assurer qu’ils sont aussi protégés que possible contre ces attaques.
Les attaques de phishing s’appuient sur la nature humaine
Pour commencer, si vous n’êtes pas sûr, ne cliquez pas immédiatement. Si l’e-mail prétend provenir d’un collègue, utilisez un canal autre que l’e-mail pour lui demander s’il l’a envoyé. S’il s’agit d’un courriel exigeant une action urgente en raison d’un problème avec votre compte, ne cliquez pas sur le lien dans le courriel, mais connectez-vous plutôt au compte via l’URL officielle – si quelque chose ne va pas, vous en serez informé.
En outre, l’utilisation de l’authentification multifactorielle (AMF) peut contribuer à empêcher le vol des noms d’utilisateur et des mots de passe des comptes personnels et d’entreprise, même si elle n’est pas totalement infaillible contre les attaquants déterminés.
Les attaques de phishing s’appuient sur la nature humaine, sur nos espoirs et nos craintes, et c’est pourquoi elles fonctionnent. Et tant que nous n’aurons pas trouvé un moyen de remplacer le courrier électronique lui-même, il est peu probable qu’elles disparaissent.
Source : « ZDNet.com »