Les messages de phishing sont en fait un produit d'ingénierie sociale, souvent mené par le biais de canaux numériques (comme les messages électroniques), mais aussi par des messages texte, des conversations privées par chat, etc. Selon le rapport de Phishlab, en 2019, par rapport à 2018, l'augmentation des messages de phishing a atteint 40%, et une autre de 21% juste pour le second semestre 2019.
Outre la fréquence croissante de ces attaques, nous devons être conscients de leur sophistication et de la précision de leur ciblage. Ces dernières années, un nombre croissant de petites et moyennes entreprises sont devenues la cible de ce type de cyber-attaques. Cette tendance devrait se poursuivre dans un avenir prévisible, mais que peuvent faire les utilisateurs finaux pour se protéger en temps utile ? Voici quelques mesures rapides que vous pouvez prendre pour commencer le processus de préparation à la médiation, sans pratiquement aucun investissement financier.
1. Suivez la règle : si cela semble trop beau pour être vrai, il s'agit probablement d'une escroquerie.
Les offres alléchantes d'un billet d'avion intercontinental à seulement 1 euro, ou de versements exclusifs à taux zéro pour votre voiture préférée, semblent trop belles pour être vraies. Ce qui est généralement le cas. Bien sûr, les grandes entreprises organisent souvent des concours et des cadeaux. Toutefois, assurez-vous que c'est bien l'organisateur qui vous a envoyé le message et qu'il ne s'agit pas d'une tentative pour vous soutirer des informations. Comment le faire - très facilement : tout d'abord, demandez-vous si vous avez participé en connaissance de cause à un concours organisé par cette entreprise. Ensuite, visitez le site Web de l'organisateur présumé qui souhaite vous remettre un prix et lisez attentivement le règlement du concours - très souvent, il décrit en détail les moyens par lesquels les organisateurs communiquent avec les gagnants. Enfin, si vous en avez la possibilité, essayez d'entrer en contact direct avec l'organisateur. Même si vous n'avez pas gagné le prix, il vous sera reconnaissant de lui avoir signalé cet incident et pourra prendre les mesures appropriées.
2. Réfléchissez avant d'agir.
Très souvent, les attaques de phishing reposent sur le facteur temps, c'est-à-dire sur l'urgence de recevoir une réponse de la victime potentielle. Il arrive souvent que les messages (e-mail, SMS, etc.) contiennent un élément de réponse rapide - "Cliquez maintenant !" ou - "Vous avez 1 heure pour répondre à ce message", ou "sinon votre compte sera fermé !" etc. Pour cette raison, de nombreuses personnes réagissent très rapidement à ces messages de phishing, et l'objectif de l'attaquant est atteint. Si vous remarquez qu'un e-mail ou un SMS vous demande d'agir de manière étonnamment urgente, et surtout s'il contient une sorte de conséquence ou de menace si vous ne réagissez pas rapidement, arrêtez-vous et réfléchissez. Ce type de communication est-il régulièrement envoyé par votre banque, votre école, votre lieu de travail ? Vérifiez le numéro de téléphone, ou l'adresse, d'où le message est censé provenir - connaissez-vous cette personne, et pouvez-vous la contacter d'une autre manière ? Si vous pouvez les contacter par téléphone ou par l'intermédiaire d'amis communs, faites-le avant de répondre à la demande.
3. Vérifiez chaque fois que vous le pouvez.
Pour les pirates, la tactique la plus simple consiste toujours à essayer de vous extorquer des informations en se faisant passer pour l'une des grandes entreprises bien connues - Facebook, Google, Microsoft, etc. Très souvent, la victime tombe dans l'illusion qu'une fois contactée par les représentants d'une si grande société, l'appel ou le message est sûrement légitime. Comment vérifier ces affirmations, même lorsqu'elles semblent provenir d'institutions ou d'entreprises renommées ? Heureusement, les entreprises elles-mêmes, telles que les banques, comprennent la nécessité d'assurer la sécurité des informations de leurs clients - elles proposent souvent elles-mêmes diverses solutions pour vérifier la fiabilité des demandes des clients. Même les employés de la banque, dans la plupart des cas, vous aideront à vous assurer facilement et en toute sécurité que vous parlez bien à un employé de cette institution. Cependant, il existe des situations où les entreprises n'ont pas de telles politiques, ou bien où il est actuellement très difficile d'effectuer la vérification en raison d'un certain nombre d'autres facteurs. Dans ce cas, il est toujours plus prudent de demander un délai supplémentaire - si vous ne pouvez même pas vérifier la demande par téléphone, il est parfois bon de contacter physiquement l'entreprise ou l'organisation d'où provient la demande. Quoi qu'il en soit, la vérification d'identité est l'un des outils les plus puissants à votre disposition, et vous ne devriez pas l'écarter si facilement.
4. Disposer de politiques claires pour reconnaître les incidents, y répondre et les signaler.
Les escrocs qui utilisent des messages de phishing travaillent constamment, afin de perfectionner leurs attaques. Il est parfois très difficile de se tenir au courant des derniers et des meilleurs outils qu'ils utilisent et, bien entendu, nous ne pouvons jamais supposer que nous sommes à 100 % à l'abri des cyberattaques, ainsi que de ce type d'ingénierie sociale. Cependant, le fait de disposer de politiques claires au sein de notre organisation, de notre entreprise, et même de notre foyer et de notre famille, contribuera à réduire les dommages potentiels en cas d'incident de ce type. Chaque plan de sécurité contient plusieurs points, et il existe différents plans de sécurité adaptés à diverses institutions commerciales, ou à un usage privé. Trouvez celui qui répond le mieux à vos besoins, et commencez par des conversations honnêtes - dans quelle mesure êtes-vous prêt à investir dans les compétences de vos employés, avez-vous suffisamment de ressources financières pour protéger physiquement tous les points d'accès de votre réseau, et enfin avez-vous l'expertise nécessaire pour suivre les mesures de performance de votre plan de sécurité. Il est toujours préférable de demander l'aide d'experts lors de l'introduction de nouvelles politiques de sécurité dans votre institution ou votre entreprise, ce qui permettra également d'identifier les faiblesses qui pourraient conduire à une cyber-attaque. C'est à vous de choisir comment les "corriger".
5. Tenez-vous au courant de l'évolution du monde de la cybersécurité.
Cela peut sembler un cliché, mais on n'est jamais assez préparé, surtout lorsqu'il s'agit du monde de la cybersécurité. Cependant, suivre les dernières tendances en matière de signalement des incidents et des violations par les grandes entreprises et organisations vous aidera à vous préparer à la prochaine étape et au prochain type d'attaque. Bien qu'il soit prévu que les attaques par phishing, en particulier le phishing ciblé, restent l'une des principales causes de cybercriminalité, le fait de s'informer régulièrement et de rechercher des solutions de protection appropriées auprès de la communauté des experts en sécurité pourrait s'avérer inestimable pour votre organisation ou votre entreprise. En outre, l'éducation plus large de tous nos amis, parents, employés, collègues, mais aussi des plus jeunes, des étudiants, sur les moyens de base par lesquels ces attaques se produisent, les signes les plus courants par lesquels nous pouvons les reconnaître, mais aussi comment réagir de manière appropriée, contribuera à encourager une culture de la culture numérique en chacun de nous, et la résilience à ces types d'attaques s'améliorera considérablement. En règle générale, les experts en cybersécurité et en sécurité sont prêts à vous aider en vous donnant des conseils utiles, en vous recommandant des logiciels et en vous indiquant les zones problématiques potentielles qui pourraient facilement être la cible d'attaques de pirates informatiques. Ce n'est que par une évaluation réaliste de nos faiblesses que nous serons en mesure d'appliquer des mesures de protection et des protocoles appropriés pour nous aider à rester en sécurité.
Illustration de fond: Photo by Thaut Images from Adobe Stock / Adobe Stock license