Phishing: Comment nous protéger de la fraude sur internet ?

Il y a une multitude d’escroqueries sur Internet. C’est une évidence.

Comme dans le monde réel. Là où il y a des affaires et de l’argent, il y a des intérêts secrets et des gens sans scrupules qui font passer leurs intérêts avant ceux des autres, n’ayant aucun problème à tricher pour atteindre le but souhaité, qui en règle générale est d’obtenir de plus grands avantages.

Il en est ainsi, et penser que nous allons le changer avec de la politique ou avec de bons sentiments, c’est être naïf. Et comme nous allons le voir ci-dessous, dans le monde numérique, quelle que soit la sécurité de nos systèmes informatiques, elle ne  sera que de peu d’utilité, car une bonne partie des campagnes de fraude et de phishing les plus actives ne sont pas responsables de compromettre la sécurité de nos ordinateurs mais s’attaquent plutôt au maillon le plus faible de la chaîne, qui n’est autre que l’être humain.

Ainsi, année après année, nous voyons qu’en réalité les principales menaces pour les entreprises et les particuliers ne sont pas les soi-disant virus, mais, comme nous l’avons dit, les campagnes de phishing.

Campagnes qui visent soit à voler les données privées de la victime, soit à l’inciter à installer ou à ouvrir un fichier qui exécute le malware, puis avec l’appareil déjà infecté (non pas parce que l’appareil était en fait vulnérable, mais parce que c’est l’utilisateur lui-même) qui a décidé de l’installer), voler des données, extorquer de l’argent, etc. etc.

Ainsi, la première des choses à faire est de comprendre ce qu’est une campagne de phishing, et surtout comment nous pouvons les identifier. Et pour cela je vais me baser sur notre théorie des 3 éléments qui constituent des campagnes de phishing.

Une méthodologie qui s’applique en quelques secondes seulement une fois que vous l’avez internalisée, et qui, comme nous vous l’indiquions, vous évitera de tomber dans la fraude 95% du temps.

Qu’est ce qu’une campagne de phishing?

Fondamentalement, une campagne de phishing est presque toujours le nom technique de la grande majorité des fraudes sur Internet.

Par le biais d’une campagne de phishing, on cherche à inciter la victime à faire quelque chose qui sera négatif pour elle (télécharger et ouvrir un document, mettre ses données sur une fausse page, payer un produit dans un magasin frauduleux, vous faire envoyer de l’argent via extorsion…).

À une certaine époque, j’ai expliqué comment certaines de ces escroqueries fonctionnent sur Internet … en parlant directement avec les cybercriminels et en suivant leur jeu.

Aujourd’hui, cependant, nous allons nous concentrer sur types de campagnes de phishing. Ceux qui se présentent comme un service ou une personne connue pour nous tromper, généralement par e-mail, bien que la même chose puisse s’appliquer aux réseaux sociaux ou aux services de messagerie instantanée.

Cet exercice est, en fait, celui que nous donnons à nos étudiants dans les ateliers de cybersécurité.

Nous leur montrons trois e-mails différents, sur lesquels ils peuvent jouer avec tout ce qu’ils veulent, et ils n’ont plus qu’à nous dire s’ils ont affaire à un e-mail légitime ou à une fraude.

Je peux déjà vous dire que la plupart d’entre eux ne peuvent pas tous les identifier.

Et c’est tout simplement  parce que la majeure partie de la société ne sait pas quels éléments font un e-mail légitime ou une simple fraude.

Voyons donc quels sont les trois éléments qui trahissent une campagne de phishing depuis un email (ou un message privé sur les réseaux sociaux, ou une fausse publicité …) vers un autre contenu sûr et légitime.

Les méthodes  d’accroche des campagnes de phishing

Comme vous pouvez le voir dans l’image ci-dessus, j’ai reçu un email avec comme objet:

La boîte aux lettres [mon e-mail] est presque pleine !!

Ils m’ont montré le logo du webmail, que pratiquement tous ceux d’entre nous qui avons un domaine d’entreprise connaissent. Ajoutons à ça  une image qui faisait que sur les 20 Go d’espace dont je dispose, j’en avais déjà un peu plus de 18 occupés, ce qui me donnait la possibilité d’ augmenter encore librement le contenu avec 5 Go d’espace libre.

Ici, nous avons un système d’accroche typique: ils nous offrent quelque chose de vraiment avantageux pour nous, et à priori à un coût marginal (dans ce cas gratuitement). Exactement comme cette autre campagne dans laquelle j’avais gagné un smartphone et où je n’avais à payer que pour qu’il me soit envoyé, et cela pour seulement 1 euro.

Et comme pour tous les types de fraudes, certains des points mentionnés pourraient être vrais:

• Cela ressemble en général à un email automatique envoyé par le webmail de notre hébergeur. Ce qui, comme je l’ai dit, pourrait être réel, car la plupart des hébergeurs vous avertiront par l’intermédiaire d’un e-mail similaire lorsque votre boîte de réception est sur le point d’être pleine à craquer.
• Il fixe la limite à 20 Go: ce qui est, en règle générale, un quota de stockage assez courant et donc crédible dans ce type de service de messagerie.
• Il vous alerte sur les conséquences d’une possible inaction: si notre boîte aux lettres atteint la limite, nous ne recevrons plus de nouveaux e-mails. Et dans ce cas, pour faire en sorte que ça arrive vraiment, ils vous préviennent déjà qu’ils réduiront automatiquement et immédiatement la possibilité de recevoir certains e-mails (les plus lourds). Ce qui vous oblige à nouveau à prendre les mesures appropriées (une autre des stratégies typiques de toutes les campagnes de fraude: simuler l’urgence).

Vérifier toujours l’expéditeur

La première chose à faire si nous avons le moindre doute qu’il s’agit bien d’un e-mail légitime ou non, est de vérifier qui nous l’a envoyé.

Et par cela, je veux dire voir les informations d’expédition, pas simplement m’en tenir au nom qui apparaît en tant qu’expéditeur, qui dans ce cas était «Fournisseur de services de messagerie». Je dis cela parce que c’est un champ que tout le monde peut modifier, et au lieu d’avoir mis estro, ils auraient pu y mettre une adresse e-mail « support@google.com » pour faire semblant que l’e-mail provient de Google.

La réalité, dans ce cas, est que le courrier est envoyé depuis radmadengines.com. Un site Web qui n’existe pas, et qui bien sûr n’a rien à voir avec mon hébergement actuel.

De plus, une recherche rapide sur Google du nom de domaine m’amène à une page d’analyse des logiciels malveillants qui le marque comme potentiellement dangereux.

À ce stade, nous devrions donc déjà savoir qu’il s’agit d’une campagne de phishing. Mais il est vrai que si les cyberattaques avaient bien fait leurs devoirs, ces données auraient peut-être même été modifiées pour qu’il semble que l’e-mail provient bien de mon véritable hébergeur.

Ces types d’attaques sont connus sous le nom de spoofing d’e-mails, et bien qu’elles ne soient plus si courantes (elles peuvent difficilement être automatisés, et donc elles sont davantage utilisés pour des campagnes d’ingénierie sociale destinées aux entreprises en particulier), on nous oblige à continuer à regarder la totalité des éléments informatifs provenant des campagnes de phishing.

Comment savoir si un lien ou un document est légitime?

Si nous ne savons toujours pas si nous sommes confrontés à l’une de ces campagnes de phishing, en raison du sujet présenté, ainsi que des données de l’expéditeur, la prochaine chose que nous devons faire est de vérifier ce qu’ils nous demandent.

Et la grande majorité des campagnes de fraude nous demanderont:

• Ou entrez sur une page: comme dans ce cas, pour pouvoir activer ces supposés 5 Go supplémentaires de cadeau pour notre boîte de réception.
• Ou ouvrir un document: où se trouve soit disant la facture ou le bon de livraison qu’ils ont eu à nous envoyer.
• Nous verrons chaque cas séparément.

Comment identifier un lien malveillant

Le moyen le plus rapide dont nous disposons pour identifier un lien malveillant si nous sommes sur un appareil de bureau est de déplacer la flèche de la souris sur l’URL, de sorte qu’en dessous elle nous montre où va ce lien… sans cliquer (très important)!

Inutile de dire que je ne recommande pas de cliquer sur ces liens, car en plus d’essayer de nous voler, ils peuvent télécharger des codes malveillants qui infectent nos appareils.

Et, en passant, dans ce cas, nous pouvons voir comment cette campagne de phishing est bloquée avec le symbole d’un cadenas signifiant « page sécurisée ». Comme je l’ai expliqué il y a quelque temps, SSL, qui est le nom de ce petit verrou, nous informe seulement que les informations seront traitées sous une forme cryptée, mais il ne nous garantit pas que nous les envoyons à un service sûr et légitime.

Je l’ai fait pour préparer ce tutoriel mais à partir d’un navigateur avec tout de désactivé.

Dans ce cas, comme nous pouvons le voir sur l’image ci-dessus, cela nous amène à un site Web créé dans le service de stockage de Google, et qui n’a donc rien à voir avec mon fournisseur de messagerie.

Bien sûr, ils ont bel et bien copié l’interface du service (qui est générique et est donc utilisée par de nombreux hébergeurs différents) afin qu’il semble que nous ayons à faire au bon site web.

Cependant, si j’écris mon e-mail dans cette section de mot de passe, vous pouvez être sûr que ces données seront entre les mains de cybercriminels, qui les utiliseront ensuite pour essayer d’entrer dans mes comptes.

En fait, certaines de ces campagnes sont conçues de manière à ce que, dès que vous entrez les données, elles vous redirigent vers le bon site Web, de sorte qu’il arrive parfois que même l’utilisateur ne sait même pas qu’il a été victime de fraude.

Il s’agit de l’’une des 7 méthodes les plus courantes pour masquer les URL de campagnes de phishing. Dans tous les autres cas, le site Web vous montrera simplement une erreur ou vous indiquera, comme ce fut le cas avec cette campagne, que les 5 Go supplémentaires avaient déjà été activés.

Comment identifier un fichier malveillant?

A d’autres occasions, au lieu de nous demander de saisir une URL, ils attachent un document que nous devons ouvrir avec n’importe quelle excuse: «voici la facture ou le bon de livraison que vous avez demandé», «voici la liste des gagnants. .. »

Le mieux que nous puissions faire dans ce cas, car bien sûr, si nous l’ouvrons, il est fort probable qu’il soit livré avec une sorte de virus, c’est de le télécharger, mais chose très importante, de le télécharger (SANS L’OUVRIR!) vers le site VirusTotal, qui est un service Web gratuit qui analyse le contenu des fichiers en les comparant à la base de données de divers fournisseurs d’antivirus, pour nous dire s’il y voit ou non un danger potentiel.

De plus, la plupart de ces documents malveillants sont au format Word (.doc, .docx…) ou PDF, et l’avantage est que les nouvelles versions de Microsoft Word ouvrent par défaut tous les documents téléchargés depuis Internet sans charger leurs composants Web.

Cela empêche les macros de fonctionner par exemple, ce qui est généralement le principal vecteur d’attaque des campagnes de phishing.

Comment éviter la plupart des campagnes de phishing de manière simple

Il existe un moyen supplémentaire d’éviter d’avoir à faire tous ces contrôles avec la grande majorité des services.

 Cette méthode, vous permet d’utiliser GSuite ou GMail en tant que fournisseur de messagerie.

Aucune inquiétude à avoir, je ne prends pas de commission pour les recommander ni quoi que ce soit de ce genre. C’est simplement qu’au cours de toutes ces années, j’ai vu comment, dans les entreprises dans lesquelles j’ai implémenté GSuite, jusqu’à 99,9% des campagnes de phishing ont été évitées grâce à ça.

De plus, cet e-mail que j’ai utilisé comme exemple a effectivement atteint ma boîte de spam dans GMail. J’ai dû dire de manière rapide et réactive à Google qu’il était sûr  (alors qu’il l’a marqué avec précision comme dangereux) et le supprimer du dossier spam afin de voir le lien (dans ce dossier, je ne pouvais même pas voir l’image, encore moins l’ouvrir).

Google, ou si vous préférez Outlook / Microsoft en plus d’offrir une autre option que la concurrence,propose sans aucun doute possible les meilleurs services en termes de rapport qualité-prix pour protéger nos ordinateurs et nos données personnelles.

Beaucoup moins cher dans tous les cas, et surtout plus sûr, que de mettre en place soi-même un système de sécurité avec des IDE, des pare-feu et autres outils du même genre au sein de l’infrastructure de notre entreprise. N’en parlons même pas en ce qui concerne un usage personnel.

Donc, pour résumer ce qui a été dit. Voici ma recommandation sur la façon d’identifier ces types de campagnes de phishing et ce que je recommanderais pour les éviter presque à coup sûr.

Comment vous pouvez vous protéger contre les arnaques en ligne

Identifier un courrier électronique de hameçonnage (Phishing) est devenu plus difficile que jamais car les hackers ont perfectionné leurs compétences et sont devenus plus sophistiqués dans leurs méthodes d’attaque. Les emails de hameçonnage que nous recevons sont de mieux en mieux écrits, plus personnalisés, contiennent les logos et le langage des marques que nous connaissons et sont conçus de telle manière qu’il est difficile de distinguer un email officiel d’un email de hameçonnage.

C’est pourquoi nous vous recommandons de toujours prêter attention aux détails suivants :

URL du site

L’une des premières choses à vérifier dans un email suspect est la validité de son URL. Passez votre curseur sur le lien sans cliquer, et la véritable adresse URL devrait apparaître. Même si elle semble parfaitement légitime, si l’URL ne correspond pas à l’adresse affichée, c’est probablement un email de hameçonnage.

Demande d’informations personnelles

Demandez-vous si une entreprise réputée enverrait un email à ses clients pour leur demander des informations personnelles comme un mot de passe, un PIN, un numéro de compte ou des questions de sécurité ? Si vous recevez un tel email, ne répondez pas, supprimez-le et contactez l’institution par vos moyens habituels pour vérifier.

Erreurs grammaticales

Les criminels digitaux ne sont souvent pas natifs du pays ciblé et doivent donc traduire leurs messages, ce qui peut entraîner des erreurs grammaticales et orthographiques. Les entreprises officielles n’envoient pas d’emails avec de telles erreurs.

Ton urgent

Une stratégie de hameçonnage courante est de créer un sentiment d’urgence pour pousser l’utilisateur à cliquer rapidement sur un lien. Il vaut mieux utiliser son bon sens et contacter directement l’entreprise via son site web officiel ou par téléphone.

Email inattendu

Une autre technique courante est de vous dire que vous avez gagné un prix à une loterie à laquelle vous n’avez jamais participé. Encore une fois, si cela semble trop beau pour être vrai, c’est probablement le cas.

Expéditeur non officiel

Vérifiez l’adresse de l’expéditeur. Si elle ne semble pas officielle ou contient des éléments supplémentaires qui la rendent suspecte, il est préférable de vérifier directement auprès de l’entreprise.

Dans le cas des téléphones mobiles, le numéro peut ne pas apparaître dans vos contacts. Néanmoins, si vous recevez un message étrange d’un contact vous encourageant à effectuer une action (comme suivre un lien ou télécharger un fichier), il est préférable de vérifier avec l’expéditeur.

Que faire si vous êtes victime d’une campagne de Phishing

La première chose que vous pouvez faire pour éviter les conséquences négatives d’une attaque de Phishing est de la prévenir. En suivant ces conseils régulièrement, vous augmenterez vos chances d’éviter d’être la cible d’une fraude ou d’une arnaque par Phishing.

• Si l’email contient un lien suspect et que vous ne faites pas non plus confiance à l’expéditeur, ne suivez pas ses instructions.

Il y aura probablement des informations liées à l’urgence de prendre une décision le plus tôt possible, comme si votre compte bancaire avait été piraté ou votre carte de crédit avait enregistré un achat non autorisé par vous.

Mais en cliquant sur le lien dans l’email, vous pourriez infecter votre appareil. N’oubliez pas qu’une entreprise de confiance ne vous demanderait jamais des informations si sensibles d’une manière aussi peu professionnelle.

• Si vous avez une entreprise, offrez une formation adéquate à vos employés sur la manière de détecter les emails de Phishing.

Comme nous l’avons déjà mentionné, les pirates viseront le maillon le plus faible de l’organisation ayant accès aux systèmes informatiques de la société. Si l’un de vos employés tombe dans le piège du Phishing, il pourrait mettre en danger tous les actifs de l’entreprise, voire conduire à sa faillite en fonction de la gestion de la situation.

Il est donc préférable d’offrir une formation technologique initiale à chaque employé qui travaille régulièrement avec les systèmes technologiques de l’entreprise.

• Faites attention à ce que vous partagez sur les réseaux sociaux.

Actuellement, il est possible que les réseaux sociaux en sachent plus sur vous que votre propre partenaire… Tenez compte de tous les détails que vous partagez quotidiennement sur votre travail, votre famille, vos loisirs, vos événements, vos vacances, etc.

Consciemment ou inconsciemment, nous partageons beaucoup d’informations personnelles qu’un pirate habile n’ignorera pas pour trouver une nouvelle victime.

N’oublions pas qu’Internet est une grande source d’information pour toutes sortes de crimes et que, grâce aux informations partagées sur ce support, des crimes aussi graves que des enlèvements et des homicides ont été planifiés.

• Vérifiez la sécurité du site web

Avant de saisir toute information sur un site web, assurez-vous que le site est sécurisé et protégé. Pour ce faire, vous pouvez vérifier l’URL du site. Si elle commence par «https» au lieu de «http», cela signifie que le site est protégé par un certificat SSL. Ces certificats garantissent que toutes les informations partagées seront protégées lors du transfert du navigateur au serveur du site web. Il devrait également y avoir une petite icône de cadenas à proximité de la barre d’adresse indiquant que le site est sécurisé.

• Installez un programme antivirus

De nombreux programmes antivirus incluent également des applications qui protègent contre les courriers indésirables envoyés pendant les campagnes de Phishing.

Il est très important de s’assurer que le logiciel est fréquemment mis à jour pour être sûr que les pirates n’ont pas accès à l’appareil en raison de vulnérabilités ou de programmes obsolètes.

Il est vrai que la sophistication des cybercriminels est aujourd’hui si élevée que, malgré toute notre préparation et nos précautions, nous finissons par faire une erreur.

Dans le cas où il serait déjà trop tard et que vous auriez partagé des informations personnelles ou téléchargé un logiciel malveillant, vous pouvez faire ce qui suit pour minimiser les conséquences :

• Scannez vos appareils

Pour être sûr que votre appareil a été infecté par un malware qui pourrait espionner votre activité ou collecter vos données et communications, vous devriez scanner votre appareil pour trouver les fichiers malveillants, les éliminer et contrôler l’infection le plus tôt possible.

• Signalez le problème

D’une part, vous devez signaler le problème à toute partie affectée. Par exemple, si les informations de vos contacts ont également été compromises ; ou si l’arnaque provient d’un email qui semblait être de votre banque pour le communiquer à votre établissement bancaire.

Si nécessaire, portez plainte auprès de la Police ou de la Gendarmerie. N’hésitez pas à le faire, chacune de ces forces de sécurité dispose de départements spécifiques chargés des crimes cybernétiques, y compris la fraude par Phishing.

Vous pouvez également utiliser certains forums spécialisés pour avertir les autres internautes de votre expérience et les inciter à prendre les mesures nécessaires pour que le problème n’affecte pas d’autres utilisateurs.

Changez vos mots de passe

Il est essentiel de changer vos mots de passe immédiatement. Le malware installé peut rapidement intercepter ces informations, il vaut donc mieux prévenir tout imprévu. N’oubliez pas d’utiliser des mots de passe uniques et complexes qui utilisent différents symboles, numéros et lettres (majuscules et minuscules).

En conclusion

Les campagnes de phishing représentent une menace réelle et en constante évolution. La clé pour se défendre contre de telles menaces réside dans une approche proactive : faites preuve de vigilance envers les courriels suspects, offrez une formation spécialisée à vos employés, mettez régulièrement à jour votre logiciel antivirus et surveillez ce que vous partagez en ligne.

Même si les cybercriminels deviennent de plus en plus sophistiqués, une approche bien informée et prudente peut réduire de manière significative le risque de tomber victime de la fraude sur Internet.

Vérifiez toujours l’authenticité des demandes d’informations sensibles et signalez toute activité suspecte aux autorités compétentes.

En restant éduqué et vigilant, vous rendez la tâche beaucoup plus difficile pour les fraudeurs.