Sélection de la langue

Leçons à tirer sur la lutte contre l’hameçonnage

Par John Hewie, responsable de la sécurité nationale, Microsoft Canada

Pour cet article de blogue, Pensez cybersécurité s’est associé à Microsoft (en anglais seulement), qui, comme nous, comprend l’importance de la cybersécurité pour les entreprises et les individus. Ce blogue présente leur point de vue et nous les remercions pour leur partenariat dévoué envers la cybersécurité des Canadiens et Canadiennes.

Le Mois de la sensibilisation à la cybersécurité est l’occasion de faire le point sur nos habitudes en ligne pour assurer la sécurité de nos données personnelles et de nos familles. Cette année, nous mettons l’accent sur l’un des types de cyberattaques les plus courants : l’hameçonnage. Plus nous en savons sur l’hameçonnage et son fonctionnement, mieux nous sommes capables de repérer les leurres et de nous en protéger.

Notre utilisation en accéléré de tout ce qui est numérique depuis 2020 crée des conditions attrayantes pour les cybercriminels qui souhaitent accéder à nos données. Ils utilisent des méthodes créatives pour nous convaincre de transmettre nos données personnelles, ce que l’on appelle le piratage psychologique.

Le piratage psychologique cible la personne qui utilise l’appareil plutôt que l’appareil lui-même. Les cybercriminels tentent d’accéder aux données personnelles telles que des comptes et des mots de passe, des informations bancaires et la localisation d’un utilisateur pour commettre des fraudes ou d’autres activités illégales en ligne. Une grande majorité des cyberattaques fait appel au piratage psychologique, puisqu’il cible notre tendance naturelle à faire confiance à une source apparemment fiable.

Les cybercriminels cherchent à maximiser leurs profits. Il est plus facile et moins coûteux pour eux de créer un courriel convaincant qui semble provenir d’une source légitime, telle que votre banque, afin d’essayer d’accéder à votre compte. On appelle hameçonnage ce type de piratage psychologique. Entre 2020 et 2022, le Canada a connu une augmentation significative des cyberattaques par hameçonnage.

L’hameçonnage est une technique de cyberattaque centrée sur l’utilisateur qui combine des manœuvres techniques et sociopsychologiques pour encourager l’utilisateur à effectuer une action spécifique. Il s’agit de la technique la plus couramment utilisée par les criminels pour s’infiltrer dans les réseaux afin d’installer des logiciels malveillants ou des rançongiciels, ou pour voler des données personnelles à des fins de fraude. Les cybercriminels utilisent avec succès les courriels, les SMS et les messages directs sur les médias sociaux ou dans les jeux vidéo pour inciter les gens à fournir des données personnelles. N’oubliez pas que les cybercriminels n’ont pas besoin d’accéder à vos comptes par effraction s’ils peuvent simplement se connecter avec vos données d’identification usurpées.

Alors, comment se protéger contre l’hameçonnage? Vos meilleures alliées sont la sensibilisation et l’éducation.

Voici les signaux d’alarme courants de l’hameçonnage :

  • Appels à l’action urgents ou menaces : Méfiez-vous des courriels qui vous demandent de cliquer, d’appeler ou d’ouvrir une pièce jointe sur le champ. Souvent, les expéditeurs prétendent que vous devez agir maintenant pour obtenir une récompense ou éviter une pénalité. Créer un faux sentiment d’urgence est une stratégie courante des attaques d’hameçonnage. Ne paniquez pas et prenez un moment pour analyser soigneusement le courriel et faire appel à une personne de confiance au besoin.
  • Expéditeurs nouveaux ou inhabituels : Il n’est pas rare de recevoir un courriel d’une personne pour la première fois, surtout si celle-ci ne fait pas partie de votre réseau, mais cela peut être un signe d’hameçonnage.
  • Orthographe et grammaire : Si un courriel comporte des erreurs évidentes d’orthographe ou de grammaire, il peut s’agir d’une fraude. Sachez que les cybercriminels se professionnalisent et que ce type de fautes est de moins en moins fréquent.
  • Salutations génériques : Une entreprise qui échange avec vous devrait connaître votre nom et, de nos jours, il est facile de personnaliser un courriel. Si le courriel débute par une salutation générique telle que « Cher monsieur » ou « Chère madame », c’est un signe d’alarme qui indique qu’il ne s’agit peut-être pas vraiment de votre banque ou du site sur lequel vous avez effectué un achat.
  • Domaines de messagerie incompatibles : Si le courriel prétend provenir d’une entreprise réputée, comme Microsoft ou votre banque, mais qu’il est envoyé à partir d’un autre domaine de messagerie comme gmail.com ou microsoftsupport.ru, il s’agit probablement d’une fraude. Soyez également attentif aux modifications très subtiles du nom de domaine légitime. Par exemple, micros0ft.com, où le deuxième « o » a été remplacé par un zéro. Ce sont là des tactiques courantes des cybercriminels, qu’on appelle typosquattage (lien en anglais seulement).
  • Liens suspects ou pièces jointes inattendues : Si vous croyez que le courriel est frauduleux, n’ouvrez pas les liens ou les pièces jointes qu’il comporte. Essayez de passer votre souris sur le lien pour voir s’il semble légitime.

Envisagez de signaler les courriels d’hameçonnage à Microsoft directement dans Outlook.com ou dans l’application Outlook (en anglais seulement) afin de contribuer à réduire les pourriels et l’hameçonnage pour vous et les autres. Les autres fournisseurs de messagerie devraient disposer d’options similaires.

Un autre niveau de protection que tous les utilisateurs à domicile devraient envisager est l’utilisation d’un service de nom de domaine (DNS) qui bloque les domaines malveillants connus, comme le Bouclier canadien gratuit de CIRA. Ainsi, si vous cliquez accidentellement sur un lien d’hameçonnage dans un courriel, vous disposez d’une couche de sécurité supplémentaire qui peut vous aider à vous protéger lorsque vous utilisez une application.

Si vous pensez avoir été victime d’hameçonnage :

  • Signalez immédiatement l’incident à votre entreprise si vous utilisez un ordinateur de bureau.
  • Changez immédiatement les mots de passe associés aux comptes que vous soupçonnez d’être compromis.
  • Signalez l’escroquerie ou les activités frauduleuses aux autorités compétentes et au Centre antifraude du Canada.

Microsoft s’engage à assurer la sécurité de tous en ligne. Les meilleures pratiques en matière de sécurité, telles que la mise à jour des appareils, l’activation de l’authentification multifactorielle (MFA) sur vos comptes et la sensibilisation à l’hameçonnage et à d’autres escroqueries frauduleuses, sont les principales recommandations à suivre. Visitez la page Sécurité 101 de Microsoft pour en savoir plus sur la cybersécurité.


Sources

Date de modification :