Qu’est-ce que le phishing ?
Le phishing est l’une des techniques de cyberattaque relevant de l’ingénierie sociale, que nous avons abordée dans le TIP de la semaine dernière.
Le terme « Phishing » est dérivé du mot anglais « fishing » (pêche) et est toujours lié à la capture de données et d’informations par l’utilisation du courrier électronique pour commettre ce délit informatique.
Ainsi, en utilisant cette technique, le cybercriminel enverra au hasard des communications électroniques fausses ou frauduleuses à différents utilisateurs, professionnels et particuliers.
Dans ces communications, il est courant d’usurper l’identité d’un contact de confiance, qu’il s’agisse d’un proche (patron, parent, ami) ou d’une entité importante (banque, administration publique, compagnie d’assurance).
Il peut également s’agir de fausses vérifications de connexion sur des plateformes (par exemple Amazon, Facebook, Netflix, etc.) ou de demandes de changement de mot de passe.
Cela permet de s’assurer que l’utilisateur qui reçoit l’e-mail ne se doute pas qu’il est faux et commet une erreur telle que télécharger un fichier, cliquer sur un lien, fournir des données ou se connecter via un faux site web (« Pharming », nous en parlerons plus tard dans un TIP spécifique).
Cela peut conduire à l’installation déguisée d’un virus ou d’un logiciel malveillant qui endommage l’ordinateur et les informations, ou à la collecte de contacts, de mots de passe et de toute autre donnée à laquelle le cybercriminel veut accéder.
Comment éviter cela ?
- La règle d’or reste de se méfier de toute communication inhabituelle et de procéder à une« double vérification ». Pour en avoir le cœur net, nous devons contacter l’expéditeur supposé (notre patron, un parent, une banque, etc.) par d’autres moyens officiels, pour lui demander si le courrier reçu est bien réel.
- Ne faites rien d’autre avant d’avoir vérifié ce qui précède. Cela signifie ne pas télécharger de fichiers ou d’images, ne pas cliquer sur des liens et surtout ne pas saisir de données personnelles ou de mots de passe sur des sites web liés.
- Nous pouvons vérifier les liens sans cliquer dessus et éviter ainsi de saisir des données sur un faux site web. Pour ce faire, il suffit de passer la souris sur le lien, sans cliquer directement. En faisant cela, vous verrez qu’un message apparaîtra avec le nom original du site web vers lequel le lien redirige et vous pourrez vérifier s’il s’agit d’un site officiel ou d’un site frauduleux.
- Si vous avez des doutes sur le contenu d’une communication, ne répondez pas à l’e-mail. Cela pourrait mettre le cybercriminel en alerte et il pourrait utiliser d’autres moyens pour nous piéger à nouveau (comme le Vishing ou le Smishing, dont nous parlerons dans les prochains TIPS).
- Ne vous contentez pas de l’omettre ou de la supprimer. Si nous avons vérifié ce qui précède et que nous avons détecté la fausseté de la communication sur l’un des points, nous ne devons pas la supprimer purement et simplement. Nous devons notifier cet incident à l’équipe d’assistance informatique au travail et, au niveau personnel, au fournisseur technologique du service de courrier électronique (Microsoft, Google, etc.), afin qu’ils puissent l’analyser, le résoudre et que nous puissions continuer à utiliser ce service en toute sécurité, à la fois pour nous-mêmes et pour les autres utilisateurs.