Phishing : Ne mordez pas à l'hameçon !

Les cybercriminels envoient de faux mails ou passent de faux appels téléphoniques pour collecter des informations sur une entreprise, des données personnelles ou des identifiants de connexion à utiliser pour accéder sans autorisation à des ordinateurs ou à des applications. Une fois à l’intérieur de l’organisation, ils essaient d'obtenir des informations confidentielles, de vendre les identifiants de connexion et/ou des informations sensibles, ou de réaliser des profits - en utilisant un ransomware, par exemple.

Pour soutirer des informations ou convaincre la victime de faire ce qu'ils demandent, les cybercriminels joueront sur un élément auquel la victime croit ou se feront passer pour une personne de confiance en jouant sur l'autorité, le sentiment d'urgence ou en s'appuyant sur l'instinct humain de solidarité.

Phishing par e-mail

Le phishing classique à lieu par mail. Les cybercriminels envoient un mail qui semble véridique et demandent à la victime d'ouvrir une pièce jointe ou de cliquer sur un lien. Ouvrir la pièce jointe entraine généralement le téléchargement d’un logiciel malveillant, qui s'installe alors sur l'ordinateur ou le téléphone portable de la victime. Le lien redirige vers un site Internet à première vue inoffensif mais qui, en réalité, a pour objectif de voler des informations sensibles, comme des identifiants et des mots de passe, afin d'accéder aux comptes d'une organisation ou de ses collaborateurs, à des comptes des médias sociaux, personnels et/ou bancaires. Cliquer sur un lien peut également déclencher le téléchargement automatique d'un logiciel malveillant (ou malware).

Phishing par téléphone (et smishing)

Aujourd'hui, un autre type de phishing se répand également : le phishing par téléphone. Que ce soit par un SMS (on parle alors de smishing) ou par un appel téléphonique, l'objectif final reste le même : les cybercriminels tentent d'accéder aux informations d'une organisation et/ou aux comptes personnels de ses collaborateurs afin de pouvoir les utiliser à mauvais escient. Par SMS, les cybercriminels peuvent envoyer un lien et inciter la victime à cliquer dessus et à saisir ses coordonnées de connexion. Au téléphone, ils peuvent essayer de manipuler la victime afin d'obtenir des informations personnelles et de les utiliser ensuite pour accéder à ses comptes professionnels, à ses médias sociaux et à ses comptes bancaires ou à d'autres informations personnelles.

Les cybercriminels utilisent plusieurs techniques pour s'assurer que leur victime ouvre leur pièce jointe ou clique sur leur lien. Cet article rassemble quelques conseils à suivre pour éviter de tomber dans le piège du phishing. Les principales questions que les collaborateurs doivent se poser sont les suivantes :

•    Est-ce inattendu ?
Vous recevez sans raison un message de ce correspondant ; vous n’avez rien acheté, vous n’avez plus eu de contacts depuis longtemps, etc. C'est une raison valable pour être vigilant et vérifier l'authenticité du message.
•    Est-ce urgent ?
Gardez votre sang-froid ; avez-vous réellement reçu une première sommation de payer ? Connaissez-vous vraiment ce prétendu « ami en difficulté » ?
•    Connaissez-vous l’expéditeur ?
Contrôlez l’adresse e-mail, vérifiez si elle contient des fautes d’orthographe. Mais attention, une adresse e-mail légitime n’offre toujours pas de garanties quant à la véracité de l’e-mail.
•    La question qui vous est posée vous semble-t-elle étrange ?
Une instance officielle ne vous demandera jamais de transmettre par e-mail, SMS ou téléphone votre mot de passe, vos coordonnées bancaires ou vos données personnelles. 
•    Où mène le lien sur lequel on vous incite à cliquer ?
Placez votre curseur sur le lien sans cliquer. Le nom de domaine, c'est-à-dire le mot qui précède .be, .com, .eu, .org et la première barre oblique « / », correspond-il réellement au nom de l’organisation ?
Exemple :
•    Dans le lien www.safeonweb.be/conseils, le domaine est « safeonweb ».
•    Dans le lien www.safeonweb.conseils.be/safeonweb, le domaine est « conseils »  ; ce lien vous dirige vers un site Internet différent.
•    Le message contient-il un code QR ?
Si un code QR est affiché, vérifiez soigneusement à quel site web il renvoie. Lorsque vous scannez le code, vous verrez l'URL. Vérifiez le domaine comme décrit ci-dessus.
•    Est-ce que l’e-mail s’adresse à vous personnellement ?  
Il vaut mieux se méfier des messages dont le titre général est vague ou dont le titre est votre adresse e-mail.
•    Le message contient-il beaucoup de fautes d'orthographe ou de grammaire ?
Même si les cybercriminels malins s’efforcent d’utiliser un langage correct, des fautes ou l’emploi d’une langue étrangère peuvent être le signe d’un message suspect.
•    Le message se trouve-t-il dans votre dossier Spam/Junk/Indésirables ?
Si oui, soyez particulièrement prudents. Vous pouvez marquer vous-mêmes un message suspect comme « Spam » ou « Junk » ou « Indésirable » et avertir ainsi d’autres utilisateurs.
•    Est-ce que quelqu’un essaie d'éveiller votre curiosité ?
En recevant des messages comprenant un lien dont le titre est « Regardez ce que j’ai lu sur vous… » ou « Est-ce bien vous sur cette photo ? », il est naturel d'être curieux. Mais ne tombez surtout pas dans le panneau.
•    On vous demande d'effectuer un paiement ?
Si l'on vous demande d'effectuer un paiement que vous n'attendez pas, soyez toujours prudent. Le numéro de compte est-il le même que celui que vous utilisez habituellement pour payer cette organisation ou cette personne ? Dans le cas contraire, n'effectuez pas le paiement. Les courriels de phishing utilisent souvent des numéros de compte étrangers ou demandent d'effectuer des paiements par le biais d'un cryptowallet. C'est suspect.
Si vous avez un doute sur un paiement, vérifiez d'abord auprès de votre banque ou de l'organisation qui réclame le paiement en les contactant. N'utilisez pas les coordonnées figurant dans le courrier, mais vérifiez l'info sur le site web de l'organisation.

1.    N'y répondez pas, n'ouvrez pas les pièces jointes et ne cliquez pas sur les liens

La meilleure chose à faire lorsqu'on reçoit un e-mail ou un SMS de phishing est de ne pas y donner suite.

2.    Contactez directement l'expéditeur

Si après tous les conseils ci-dessus, vous ne savez toujours pas s'il s'agit d'un e-mail de phishing ou non, renseignez-vous directement auprès de la personne concernée en la contactant par un autre canal. Si l'expéditeur de l'e-mail est un collègue, un client ou un fournisseur, appelez cette personne pour voir si elle a vraiment besoin de votre aide. S'il s'agit d'une autre organisation, vérifiez son site Internet officiel en écrivant vous-même l'adresse officielle dans la barre de recherche.

3.    Ne communiquez jamais les informations bancaires demandées par SMS ou par mail

Gardez à l'esprit qu'aucune banque n’enverra jamais un lien direct permettant de se connecter à un compte bancaire par SMS ou par e-mail, et qu'elle ne demandera jamais de code PIN ou de code secret, que ce soit par écrit ou par téléphone.

4.    Signalez la tentative de phishing et supprimez l'e-mail ou le SMS.

L'e-mail ou le SMS de phishing doit être signalé au responsable informatique et à l'autorité nationale compétente (suspicious@safeonweb.be (EN); suspect@safeonweb.be (FR); verdacht@safeonweb.be (NL/DE)) et doit être immédiatement supprimé. Si un e-mail arrive dans votre dossier Spam, vous ne devez pas lui faire confiance.

Que faire si l’arnaque a eu lieu ?

1. Signalez immédiatement l'incident à votre responsable IT
2. Prévenez vos collaborateurs, clients et fournisseurs qu'ils pourraient recevoir un message d'une personne se faisant passer pour vous, mais qu'ils ne doivent pas s'y fier.
3. Changez tous les mots de passe qui auraient été enregistrés (le cas échéant) sur tous les comptes utilisés.
4. Si l'escroquerie portait sur des coordonnées bancaires et que vous constatez que de l'argent a été volé sur votre compte, portez plainte auprès de la police.
5. Appelez immédiatement Card Stop au +32 78 170 170 et vérifiez vos relevés de compte. Si vous identifiez une activité suspecte, appelez immédiatement votre banque pour qu'elle puisse vous aider.
6. Scannez votre appareil: Nous vous recommandons d'effectuer une analyse de votre ordinateur pour vous assurer qu'aucun virus n'y est installé.