Skip to content

Voici comment reconnaître le Phishing

Reconnaître le Phishing par les émotions

Dans cet article, vous serez en mesure de reconnaître le Phishing avec beaucoup plus de facilité. Le phishing est une technique de fraude de plus en plus présente en ligne. Elle vise à tromper les utilisateurs en leur faisant croire toute sorte de choses en utilisant très souvent des émotions fortes pour y parvenir. Une fois les liens cliqués, les pirates nous amènent à naviguer sur des pages apparemment légitimes, alors qu’en réalité ils attendent que nous leur offrions nos précieuses informations sensibles incluant souvent nos identifiants et nos authentifications. Remarquez aussi comment les émotions sont mises à profit pour vous faire passer à l’action.

Les attaques de phishing peuvent prendre différentes formes d’émotions. Aussi, ils ciblent plusieurs canaux de communication pour mieux nous atteindre. Voici quelques exemples d’émotions les plus courantes qui sont mis en oeuvre par les pirates. En second lieu, les divers canaux de communications que les pirates utilisent la plus souvent pour lancer leurs attaques de phishing seront abordés.

Finalement, ces deux thèmes vous permettront de mieux comprendre leurs dynamiques et repérer les messages dévastateurs.

Les émotions et les sentiments

Reconnaître le Phishing par les émotions

Pour pouvoir reconnaître le Phishing, il est aussi important de savoir que les pirates jouent avec vos émotions. Les pirates essaient souvent de susciter des émotions fortes chez leurs cibles ou victimes, telles que la peur, l’urgence, la curiosité, la confusion ou la sympathie, afin de les persuader de cliquer sur un lien ou de fournir des informations sensibles. Plus on prend le temps de reconnaître nos émotions face à ceux-ci plus nous serons en contrôle et éviterons de tomber dans leurs pièges.

Urgence

Le plus souvent, on invoque le sentiment d’urgence de faire vite pour ne pas manquer une opportunité.
Ex.: Cette super offre se termine cet après-midi à 15h00.

Peur

La peur ou la crainte sont très souvent aussi utilisées avec l’urgence d’agir. Ils veulent nous faire agir rapidement. Souvent en invoquant un événement non souhaité qui arrivera.

Ex.: “Vous avez 24 heures pour corriger cette situation, sinon votre courriel sera désactivé.”

Curiosité

Celui-ci est un classique. Ce type d’attaque offre souvent un courriel contenant un titre intrigant ou une offre très alléchante. Le courriel peut inclure un lien qui semble mené à une page de participation ou à une page de paiement, mais qui en réalité redirige la victime vers un site malveillant ou qui demande de fournir des informations sensibles. Voici quelques exemples.

  • Voici un truc à ne pas manquer une qui ne reviendra pas.
  • Gagnez un voyage gratuit !
  • Obtenez un accès exclusif à notre nouveau service

Culpabilité

La culpabilité pour mener une attaque de phishing serait le pirate qui envoie un courriel prétendant être d’une organisation de bienfaisance ou d’une association de soutien et qui demande de l’aide financière urgente pour une cause importante. Le courriel peut inclure des informations émouvantes ou touchantes sur la cause en question et insister sur l’urgence de la situation.

Attentons à cette attaque qui suscite de la culpabilité chez la victime et la persuade de cliquer sur un lien ou de fournir des informations sensibles avant de s’être rendu compte que le courriel était frauduleux.

Confusion

Moins souvent utilisé, mais assez présente. Le pirate peu utilisé peut inclure des informations erronées ou des demandes inhabituelles, comme une demande de mise à jour de vos informations de compte ou de changement de mot de passe.

L’objectif de cette attaque est de créer de la confusion chez la victime et de la persuader de cliquer sur un lien ou de fournir des informations sensibles avant de s’être rendu compte que le courriel était frauduleux.

Appât du gain

Pour beaucoup de gens, Internet peut sembler une source d’idée pour faire de l’argent ou des économies monétaires. Alors rien de tel qu’un SME ou courriel pour vous inciter à donner des informations qui seront utilisées contre vous après. Parfois on vous demande un petit dépôt pour vous prévaloir du prix que vous avez gagné. Une fois qu’ils ont vos informations, parfois même bancaires, ils vident vos comptes.

Ex. : Vous êtes gagnante d’un prix que vous devez maintenant réclamer.

Reconnaître le Phishing sur les différents médias

Reconnaître le Phishing avec simpicité sur tous les types de cannaux

Les types de médias évoluent au rythme d’Internet et de ses innovateurs. En les regroupant, il devient plus simple de généraliser les types de messages. Voici donc les canaux les plus courants.

Phishing par Courriel

Ce type d’attaques de phishing par courriel est parmi les plus courants. Les pirates envoient des courriels qui semblent provenir de sources légitimes, comme une entreprise ou un service de banque en ligne, et qui demandent aux utilisateurs de fournir des informations personnelles ou de cliquer sur un lien menant à un site frauduleux.

Pour repérer ce type d’attaque, vérifiez si l’expéditeur du courriel est bien la source prétendue et si le lien vers lequel vous êtes invité à cliquer est sécurisé (https avec un certificat légitime au lieu de http).

D’ailleurs, je vous recommande de consulter mon TOP 10 indicateur pour reconnaître le Phishing qui offre toute une liste d’éléments à considérer.

Phishing par SMS

Les pirates peuvent également utiliser le phishing par SMS pour tenter de soutirer des informations sensibles aux utilisateurs. Ils envoient des messages textes avec des liens qui semblent provenir de sources légitimes et qui incitent les utilisateurs à cliquer sur un lien ou de fournir des informations personnelles. Pour repérer ce type d’attaque, vérifiez si l’expéditeur du SMS est bien la source prétendue et si le lien vers lequel vous êtes invité à cliquer est sécurisé. De plus, posez-vous la question, ce message est habituel, ou est-ce sensé de recevoir ce type de SMS de cet expéditeur?

Par exemple, le gouvernement n’enverra jamais de SMS avec un le lien pour vous donner un remboursement monétaire.

En passant, sachez aussi que les SMS ne sont vraiment pas très sécuritaires comme moyen de communication pour l’authentification. J’explique pourquoi vous devriez cesser l’utilisation des SMS pour l’authentification.

Phishing par Médias sociaux

Les pirates peuvent également utiliser les médias sociaux pour diffuser des liens frauduleux ou demander des informations personnelles aux utilisateurs. Pratiquement tous les types de médias sociaux peuvent être utilisés par les pirates.

Pour repérer ce type d’attaque, vérifiez si le compte qui vous envoie le message ou le lien est bien celui de la source prétendue.

  • Quelles informations sont présentes sous le profil?
  • Est-ce qu’il apparaît réaliste ou il n’y a que 5 relations plutôt que 150-200 relations?
  • Existe-t-il que depuis peu?

Phishing par site Web

Les pirates peuvent créer des sites web qui ressemblent à des sites légitimes. Ils le font avec des sites de banques en ligne ou de commerce électronique, et qui demandent aux utilisateurs de fournir des informations personnelles ou de saisir leur nom d’utilisateur et leur mot de passe.

Pour repérer ce type d’attaque, vérifiez si le site web est sécurisé (https au lieu de http) et si l’adresse URL est bien celle de la source prétendue. Un caractère de plus ou changé dans l’URL fait toute une différence.

Ex.: JoeWeb.com ou Joe-Web.com ou encore JoeWed.com

Conseils pour reconnaître le Phishing

Il est important de se méfier de tout courriel, message ou informations qui essaient de susciter des émotions fortes et de ne pas cliquer sur des liens ou de donner des informations sensibles avant d’avoir vérifié l’authenticité de la source. Maîtrisez vos émotions, prenez du recul face aux messages et osez demander l’opinion d’un copain vigilant.

Voici quelques conseils pour vous aider à repérer les attaques de phishing.

  • Prenez vraiment quelques secondes pour analyser le message et réfléchir sur l’émetteur possible
  • Ne cliquez pas sur des liens provenant de message non attendus ou sollicités
  • Ne cliquez pas sur les liens dans les courriels ou les SMS qui vous semblent suspects, mais plutôt saisissez l’adresse URL du site web dans votre navigateur web.
  • Soyez très méfiant envers les courriels ou les SMS qui vous demandent de fournir des informations sensibles, telles que votre nom d’utilisateur, votre mot de passe ou votre numéro de carte de crédit.
  • Soyez vigilant envers les liens dans les courriels ou les SMS qui vous dirigent vers des sites web qui ne sont pas sécurisés ou qui ont une adresse URL suspecte.
  • Soyez attentif aux erreurs de grammaire et d’orthographe dans les courriels ou les SMS, qui peuvent être un signe.
  • Soyez très vigilant avec les liens Internet raccourcis
  • Consultez aussi mon TOP 10 des indicateurs de phishing.

Devenez vous aussi rapidement avisés, proactifs et Cybersécuritaire !
« Les bénéfices d’une prévention minimale en sécurité dépassent largement son investissement »
– Joel Dubois

Facebook
LinkedIn
YouTube