Comment reconnaître un e-mail d'hameçonnage ?

Le par  |  10 commentaire(s)
Google-compte-controle-securite

Ne vous laissez plus avoir par une tentative de phishing.

Tribune Libre par Ivanti

Objet : ACTION IMMÉDIATE REQUISE !

« votre mot de passe va bientôt expirer. Pour changer de Mot de passe et continuer à utiliser ce compte, cliquez ici

Merci

centre de support »

Ci-dessus un e-mail, inoffensif au premier abord, exhortant le destinataire à cliquer sur un lien. En effet, les choses ne sont parfois pas ce qu'elles semblent être et cet e-mail, aux allures de simple rappel, est en réalité un e-mail d'hameçonnage. Si le destinataire clique, il exposera son entreprise à une cyberattaque ; 91 % de ces cyberattaques étant causées par un mail similaire. Par ailleurs, une étude récente expose que 50 % des utilisateurs cliquent sur des liens par simple curiosité.

Infographie_Phishing


Anatomie d'un e-mail d'hameçonnage
Les tentatives d'hameçonnage sont un peu comme l'histoire du « loup déguisé en mouton ». Créés de toutes pièces par des cybercriminels dans le but de tromper leurs destinataires, les e-mails d'hameçonnage imitent les e-mails reçus quotidiennement. Le plus souvent, l'aspect inhabituel est le message insistant qu'ils divulguent, exigeant une intervention immédiate.

Deux raisons expliquent le fait que certains tombent dans le panneau. Tout d'abord, la grande majorité des salariés d'une entreprise traite un mail urgent rapidement, sinon il sera perdu dans la masse et oublié. Ensuite, ces types d'e-mails ont pour effet de bloquer certains des mécanismes naturels de filtrage de notre cerveau. Nous avons tendance à adopter une approche « orientée tâche » pour traiter un message urgent... la pensée critique et la phase d'analyse sont occultées.


Stratégie de contenu
Par nature, pour qu'une attaque par « piratage psychologique » réussisse, dans le cas des e-mails d'hameçonnage, le message doit intéresser, voire fasciner, le destinataire. Le célèbre e-mail du « prince nigérian », dans les années 90 en est la preuve. Cet e-mail, envoyé à des milliers de « victimes », promettait une fabuleuse récompense au destinataire s'il transférait une certaine somme d'argent, supposée lui apporter en retour des millions de dollars. Cette escroquerie, ainsi que toutes les autres qui ont suivi, faisait appel aux émotions de la personne qui recevait le message.

Dans un premier temps, elle joue sur le désir le plus profond de la victime, dans ce cas, le souhait de s'enrichir. Dans un second temps, elle exploite l'instinct naturel qui est celui d'aider son prochain. Cette combinaison de faits a suffi pour convaincre de nombreuses personnes à tomber dans le piège.

Pour certains, même si l'e-mail reçu provient d'une source inconnue, le message va avoir un impact sur leur stade émotionnel. Les destinataires risquent donc de cliquer et compromettre l'activité de leur entreprise, même si ces escroqueries semblent peu dangereuses au premier coup d'œil. Ainsi, une réelle stratégie de contenu est conçue pour jouer sur le mécanisme cognitif des destinataires. Des « déclencheurs de motivation » sont toujours mis en œuvre dans les e-mails d'hameçonnage et, souvent, ils fonctionnent. L'être humain reste vulnérable aux attaques lorsque son désir ou son instinct le pousse à croire une histoire, au point de museler sa prudence.

C'est pour cette raison que particuliers ou employeurs doivent rester vigilants. En étant conscients de nos faiblesses et notre vulnérabilité, nous pouvons reconnaître que ces attaques sont en réalité de vraies escroqueries.


Comment éviter d'en être victime
Pour lutter contre les cyberattaques la formation continue et l'implication des utilisateurs est primordiale.

En bref, si le destinataire est capable de reconnaître un e-mail frauduleux, ses informations personnelles ou professionnelles seront protégées. Alors oui, plus facile à dire qu'à faire, surtout que les pirates envoient ces messages depuis des adresses « copycat » qui ressemblent à celles d'expéditeurs connus comme Google Docs, l'administrateur système, la DRH, le PDG, un ami... Compte tenu de cela, il est essentiel de s'informer et de prendre du recul, d'évaluer le message et de repérer les indices qui montrent que cet e-mail est trompeur. En cas de doute, il est préférable de contacter l'expéditeur et vérifier la validité de l'e-mail avant de l'ouvrir. Si le destinataire ne peut pas garantir son authenticité, il est préférable de suivre la règle : « si je ne suis pas sûr, ça va aux ordures ».

Quelques astuces :

- Il faut être réaliste, les e-mails du type : « comment gagner de l'argent en restant assis dans son canapé » sont des pièges !

- Les documents légaux et authentiques ne sont jamais envoyés par e-mail mais par courrier postal.

- Les sources légitimes n'exhortent pas leurs destinataires à modifier leurs mots de passe ou à envoyer leurs informations personnelles sensibles par e-mail. De même, pour les messages demandant un numéro de sécurité sociale, des informations bancaires, détails fiscaux etc. Alors avant de fournir tous ces détails, il est souhaitable de contacter l'institution officielle pour confirmer l'authenticité du message.

- Un logo connu par le destinataire présent dans un e-mail, ne signifie pas qu'il ne s'agit pas d'une escroquerie. Il faut repérer les signes « louches » comme une police de caractères inhabituelle, des fautes d'orthographe, des images pixélisées...

- Il faut impérativement examiner l'adresse de l'expéditeur et les liens URL... souvent révélateurs d'une arnaque.

Aujourd'hui, la multiplication des escroqueries par e-mails a rendu les internautes beaucoup plus sceptiques, ce qui peut leur épargner des complications.

Pour confirmer les affirmations ci-dessus, réexaminons le message de départ :

Objet : ACTION IMMÉDIATE REQUISE !

« votre mot de passe va bientôt expirer. Pour changer de Mot de passe et continuer à utiliser ce compte, cliquez ici

Merci

centre de support »

Premièrement, la ligne d'objet est conçue pour donner une fausse impression d'urgence. Ensuite, dans l'ensemble, l'e-mail manque de ponctuation et la règle des majuscules n'est pas respectée. Enfin, n'importe quel centre de support officiel, est doté d'une signature d'e-mail, d'aspect beaucoup plus professionnel.

Tous ces indices ne sont parfois pas évidents à identifier, mais ils font toute la différence car les dommages causés par ces e-mails d'hameçonnage s'évaluent à près d'un milliard de dollars chaque année. À méditer !

Complément d'information
  • De l'importance de nettoyer sa liste d'adresses e-mail
    Assez des messages d'erreurs qui s'affichent lors de l'envoi d'un e-mail à une adresse invalide, du dilemme éternel quant à choisir parmi les deux adresses de votre fils – vous ne savez jamais laquelle est la bonne – ou encore de la ...
  • Ray Tomlinson : le père de l'e-mail est mort
    C'est un ingénieur pionnier d'Internet qui est décédé ce week-end : Ray Tomlinson, le créateur de l'e-mail et de l'arobase tel qu'on le connait aujourd'hui s'est éteint à l'âge de 74 ans.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1975717
Cliquez sur les liens proposés, vous serez vite fixés
Le #1975731
Comment se fait-il que ces mails de phishing soit toujours aussi mal ponctués et orthographiés ? En font-il exprès pour ne choper que des neuneus qui iront jusqu'au bout du processus ? Je m'interroge...
Le #1975732
j'ai déja reçu un mail de ce type, j'ai donné un mot de passe : Vatefairefoutreconnardfuckyou .
Je n'ai jamais eu de réponse ...!
Le #1975741
Marsou a écrit :

j'ai déja reçu un mail de ce type, j'ai donné un mot de passe : Vatefairefoutreconnardfuckyou .
Je n'ai jamais eu de réponse ...!


Sauf que là, ils savent que vous existé et vous serait sur une autre liste pour une éventuelle arnaque. Les prochains "crosseurs" qui vont s'essayer, ils ne savent pas que vous avez écris ce mot de passe.

Moi, je préfère dénoncer en sélectionnant pour une tentative de phishing et bloquer les futures messages. Mais, le courriel est le pire moyen de communication telqu'il est là.
C'est le maillon faible de la sécurité comme la poste rurale.
Le #1975747
"C'est le maillon faible de la sécurité comme la poste rurale"

c'est quoi le rapport entre le deux ?
Le #1975748
Marsou a écrit :

j'ai déja reçu un mail de ce type, j'ai donné un mot de passe : Vatefairefoutreconnardfuckyou .
Je n'ai jamais eu de réponse ...!


Mais en leur répondant, tu leur as confirmé que ton mail était bien valide. Ils vont pouvoir continuer à te pilonner ou revendre ton adresse à d'autres car elle est correcte

L'erreur classique est aussi de cliquer sur "Ne plus recevoir cet email" ou "se désinscrire de cette news"... Une manière bien subtile de confirmer la validité de votre boîte mail.
Le #1975749
Sur Thunderbird, j'ai un petit bouton Ultra-Pratique, que j'utilise quand je reçois un message bizarre d'un expéditeur que je ne connais pas : "SUPPRIMER".

Ça marche bien !
Le #1975783
kerlutinoec a écrit :

Comment se fait-il que ces mails de phishing soit toujours aussi mal ponctués et orthographiés ? En font-il exprès pour ne choper que des neuneus qui iront jusqu'au bout du processus ? Je m'interroge...


De nos jours, trouver quelqu'un de moins de 25 ans qui sait lire et écrire correctement relève de la gageure !!!!

Ils ne vont pas se casser pour la grammaire/orthographe...
Anonyme
Le #1975808
Suffit de pas être trop con

Pour les pro : https://www.mailinblack.com/
Le #1975816
kerlutinoec a écrit :

Comment se fait-il que ces mails de phishing soit toujours aussi mal ponctués et orthographiés ? En font-il exprès pour ne choper que des neuneus qui iront jusqu'au bout du processus ? Je m'interroge...


Oui a priori c'est exactement ça.

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]