Comment identifier et éviter le phishing ?

Identifier le phishing

Pour reconnaître un mail de phishing, vérifiez les éléments suivants :

1. L’e-mail est-il truffé de fautes d’orthographe et de tournures de phrases alambiquées ? Même si les fraudeurs s’améliorent au fil du temps, ces éléments doivent vous mettre la puce à l’oreille.
2. Le nom de domaine de l’adresse e-mail diffère-t-il du nom de domaine réel de l’entreprise dont l’e-mail est censé provenir ? Vous pouvez le vérifier dans le code source de l’e-mail. Et lorsque vous survolez un lien, vous pouvez vérifier si l’URL du lien utilisé dans l’e-mail diffère des véritables noms de domaine des entreprises. Attention : les noms de domaine utilisés par les escrocs semblent très plausibles, cela se joue parfois à une seule lettre près.
3. Un sentiment d’urgence est souvent créé. Restez vigilant si on vous demande de faire quelque chose en urgence ou rapidement (souvent à la veille d’un week-end ou d’un jour férié).
4. L’e-mail vous est-il adressé personnellement ? Généralement, il ne l’est pas, car les escrocs ne connaissent pas votre nom.

La méfiance s’impose

Le corps du message mérite lui aussi une bonne dose de vigilance. Le message cadre-t-il bien avec l’entreprise qui l’envoie ? Est-il normal que l’entreprise vous demande cela ? On sait généralement à quel type de messages s’attendre de la part de ses clients et fournisseurs habituels.

Koen Bossaert, Solution Lead Vulnerability Management et cofondateur de Davinsi Labs, nous donne encore quelques pistes : “Ça paraît trop beau pour être vrai ? Fiez-vous à votre instinct. Votre interlocuteur vous demande d’agir ou de payer immédiatement au risque qu’un compte ou autre chose soit bloqué ? Là aussi, il s’agit d’un indice révélateur. ”

Ça paraît trop beau pour être vrai ? Fiez-vous à votre instinct. Votre interlocuteur vous demande d’agir immédiatement ? Là aussi, il s’agit d’un indice révélateur.

Koen Bossaert, Solution Lead Vulnerability Management et co-sounder chez Davinsi Labs

Procédez à un double contrôle par un autre canal

“Il faut toujours réfléchir à deux fois, particulièrement lorsqu’il est question d’argent”, renchérit Wouter Vandenbussche, Solution Lead Cybersecurity chez Proximus. “Personne ne vous demandera jamais votre code secret ou les données de votre compte par e-mail ou par téléphone. Soyez méfiant aussi lorsqu’on vous invite à installer un logiciel. Dans tous les cas, nous recommandons toujours, si vous en avez la possibilité, de vérifier les informations contenues dans l’e-mail par un autre canal.”

Ces contrôles de la composition et du contenu des e-mails permettent aux collaborateurs de mieux identifier le phishing. Et même si c’est nettement moins facile, il vaut toujours mieux procéder aussi à ces vérifications sur les appareils mobiles et les messages provenant d’autres canaux de communication (SMS, services de messagerie). Chaque message identifié par les collaborateurs rend ces derniers et l’entreprise plus malins que les escrocs.

Il est essentiel de mener activement des campagnes de sensibilisation dans votre entreprise.

Wouter Vandenbussche, Solution Lead Cybersecurity chez Proximus

Éviter le phishing

Voici trois pistes pour éviter le phishing :

1. La sensibilisation est une première ligne de défense importante en matière de phishing. Des campagnes régulières consistant à envoyer des simulations d’e-mails de phishing vous permettront de renforcer significativement la sensibilisation à la cybersécurité au sein de votre entreprise.
2. Sécurisez le trafic entrant grâce à des filtres traditionnels comme un antispam et un filtrage des outils de communication sur les messages entrants.
3. Sécurisez le trafic sortant en scannant par exemple les URL ou le contenu des messages sortants.

Sensibilisation en interne

La prévention par la sensibilisation est une part sous-estimée, mais essentielle, d’une bonne stratégie de sécurité. Grâce à cette sensibilisation, les collaborateurs qui reçoivent malgré tout des e-mails de phishing ne se laissent plus piéger. La meilleure méthode pour mener une campagne de sensibilisation consiste à expliquer clairement ce qu’est le phishing, comment l’identifier et quel est son impact. Pensez aussi à multiplier les canaux d’information pour ‘enfoncer le clou’ : affiches, vidéos, newsletter…

Simulez une attaque par phishing pour aider vos collaborateurs à visualiser le danger. Surtout si vous comptez utiliser les résultats dans le cadre d’une campagne pour renforcer la vigilance. Plus le message sera personnel et plus les collaborateurs se sentiront concernés, plus ils seront attentifs à votre campagne et plus vous obtiendrez des résultats.

Simulation d’attaque par phishing

Koen Bossaert : “Une simulation d’attaque révèle qu’un nombre hallucinant de gens se laissent berner. Lors d’un test mené pendant la période des fêtes de noël, nous avons envoyé un e-mail de phishing provenant prétendument de l’entreprise pour reporter une fête de Noël. Plus de 80 % des collaborateurs ont communiqué leurs données. Y compris des gens du management et du service IT.”

Vous avez cliqué et envoyé vos données. Que faire maintenant ?

Une fois que vous avez cliqué sur un lien dans un e-mail de phishing, il convient de limiter les dégâts le plus rapidement possible :

1. Dans un premier temps, bloquez ou réinitialisez les comptes attaqués et modifiez les mots de passe.
2. Dans un second temps, contrôlez les logfiles pour vérifier s’il y a eu une utilisation abusive ou si d’autres messages de phishing sont entrés. Ces informations sont utiles pour surveiller les données de nouvelles attaques. Une campagne de phishing de plus grande ampleur est peut-être en cours à l’encontre de votre entreprise. Dans certains cas, par exemple, des membres du service RH ont reçu un message provenant prétendument de collaborateurs qui voulaient modifier le compte sur lequel leur salaire était versé.
3. Affinez les mesures préventives grâce aux résultats d’une enquête, par exemple en bloquant les noms de domaine de l’attaque.

Quelle communication à l’égard des clients ?

Informer vos clients sur le type de communications qu’ils peuvent attendre de votre part est toujours une bonne idée. Par exemple, si vous ne demandez jamais de données personnelles ou liées à un compte par e-mail ou si vous envoyez toujours vos e-mails au départ de la même adresse, vous pouvez le signaler à vos nouveaux clients ou le préciser sur votre site Internet. De cette manière, même les nouveaux clients en seront directement informés.

Et pour limiter l’impact du phishing, prévoyez un point de contact auquel vos clients peuvent vous avertir s’ils reçoivent un e-mail de phishing au nom de votre entreprise, surveillez les notifications entrantes et organisez une communication adéquate.