Voici une infographie sur les mails d’hameçonnage proposée par Ivanti, une SSII qui propose des solutions de sécurité IT en autre.
Exemple d’un mail d’hameçonnage.
Vous trouverez ci-dessous un mail, inoffensif au premier abord, demandant au destinataire de cliquer sur un lien. Les choses ne sont parfois pas ce qu’elles semblent être et ce mail, aux allures de simple rappel, est en réalité un mail d’hameçonnage. Si le destinataire clique, il exposera son entreprise à une cyberattaque ; 91 % de ces cyberattaques étant causées par un mail similaire. Il est intéressant de noter que 50 % des utilisateurs cliquent sur des liens par simple curiosité.
Objet : ACTION IMMÉDIATE REQUISE !
« Votre mot de passe va bientôt expirer. Pour changer de Mot de passe et continuer à utiliser ce compte, cliquez ici
Merci
Centre de support »
Un minimum d’attention est demandé lorsque vous avez un doute sur un mail. Il faut tout regarder avec attention, logo, écriture, adresse mail, …
- 1 : Un mail censé venir de votre hébergeur OVH hors le logo est inversé dans le mail OHV.
- 2: L’adresse de l’expéditeur est plus que bizarre et ne vient absolument pas de OVH.
- 3: L’adresse de réponse a été grossièrement truquée email@ov-h.net.
- 4: Un texte qui a été mal traduit, des fautes d’orthographes. La syntaxe des phrases est très maladroite.
- 5: Si vous passez votre souris sur le lien, sans cliquer, vous verrez que l’adresse de destination n’appartient pas à OVH et elle est plutôt compliquée.
Anatomie d’un mail d’hameçonnage.
Créés de toutes pièces par des cybercriminels dans le but de tromper leurs destinataires (voir capture ci-dessus), les mails d’hameçonnage imitent les mails reçus quotidiennement de vos fournisseurs d’accès Internet, électricité, eaux, gouvernement, … .
Le plus souvent, l’aspect inhabituel du message insistant vous demande une intervention immédiate (changement de mot de passe, envoi du numéro carte de votre carte de crédit pour l’annulation de transactions, …). Leur imagination est sans limite pour vous faire passer à l’action sans réfléchir se basant sur votre peur.
Deux raisons principales expliquent le fait que certains utilisateurs tombent dans le panneau. Tout d’abord, la grande majorité des salariés d’une entreprise traite un mail urgent rapidement, sinon il sera perdu dans la masse. Ensuite, ces types de mails ont pour effet de bloquer certains des mécanismes de « défenses « naturels, de filtrage de notre cerveau. Nous avons tendance à adopter une approche « orientée tâche » pour traiter un message urgent… L’analyse et la pensée critique sont occultées.
Stratégie de contenu des mails d’hameçonnage.
Concernant les attaques par « piratage psychologique », les mails d’hameçonnage doivent avoir un message qui doit intéresser, voire fasciner, le destinataire. Le célèbre mail du « prince nigérian », dans les années 90 en est la preuve. Ce mail, envoyé à des milliers de « victimes », promettait une fabuleuse récompense au destinataire s’il transférait une certaine somme d’argent, supposée lui apporter en retour des millions de dollars.
Cette escroquerie, ainsi que toutes les autres qui ont suivi, faisait appel à l’émotivité et l’appât du gain de la part de la personne qui recevait le message.
Dans un premier temps, elle joue sur le désir le plus profond de la victime, dans ce cas, le souhait de s’enrichir. Dans un second temps, elle exploite l’instinct naturel qui est celui d’aider son prochain. Cette combinaison a suffi pour convaincre de nombreuses personnes à tomber dans le piège.
Pour d’autres, même si le mail reçu provient d’une source inconnue, le message va avoir un impact sur leur sens émotionnel. Les destinataires risquent donc de cliquer et compromettre l’activité de leur entreprise, même si ces escroqueries semblent peu dangereuses au premier coup d’œil. Ainsi, une réelle stratégie de contenu est conçue pour jouer sur le mécanisme cognitif des destinataires.
Des « déclencheurs de motivation » sont toujours mis en œuvre dans les mails d’hameçonnage. L’être humain reste vulnérable aux attaques lorsque son désir ou son instinct le pousse à croire une histoire, au point de déjouer sa prudence.
Comment éviter d’en être victime.
Pour lutter contre les cyberattaques l’information et l’implication des utilisateurs est primordiale.
Si le destinataire est capable de reconnaître un e-mail frauduleux, ses informations personnelles ou professionnelles seront protégées. Plus facile à dire qu’à faire, surtout que les pirates envoient ces messages depuis des adresses « copycat » qui ressemblent à celles d’expéditeurs connus comme Google Docs, l’administrateur système, la DRH, le PDG, un ami…
Compte tenu de cela, il est essentiel de s’informer et de prendre du recul, d’évaluer le message et de repérer les indices qui montrent que ce mail est trompeur. En cas de doute, il est préférable de contacter l’expéditeur et vérifier la validité du mail avant de l’ouvrir ou de cliquer sur un lien. Si le destinataire ne peut pas garantir son authenticité, il est préférable de suivre la règle d’or : « si je ne suis pas sûr, ça va aux ordures ».
Quelques astuces :
- Il faut être réaliste, les mails du type : « comment gagner de l’argent en restant assis dans son canapé » sont des arnaques !
- Les documents officiels et authentiques ne sont jamais envoyés par mail mais par courrier postal.
- Les sources légitimes n’exhortent pas leurs destinataires à modifier leurs mots de passe ou à envoyer leurs informations personnelles par mail. De même, pour les messages demandant un numéro de sécurité sociale, des informations bancaires, ou des détails fiscaux etc. Alors avant de fournir tous ces détails, il est souhaitable de contacter l’institution officielle pour confirmer l’authenticité du message.
- Il faut repérer les signes « louches » comme une police de caractères inhabituelle, des fautes d’orthographe, des images pixélisées…
- Il faut impérativement examiner l’adresse de l’expéditeur et les liens URL… souvent révélateurs d’une arnaque.
Tous ces indices ne sont parfois pas évidents à identifier, mais ils font toute la différence car les dommages causés par ces mails d’hameçonnage s’évaluent à près d’un milliard de dollars. Donc prudence avant de cliquer sur un lien dans un mail.
Voici une petite infographie qui résume le texte ci-dessus :
Source: Ivanti.fr
Si vous souhaitez en apprendre plus sur le sujet, vous pouvez consulter cet article qui vous indique comment repérer les tentative d’arnaques par mail.