Phishing… les signes pour détecter le piratage dans mon SI

De plus en plus sophistiqué et « invisible », le piratage se fait de plus en plus discret et donc dangereux. La cybercriminalité profite des erreurs et de la faiblesse humaine pour s’immiscer dans les systèmes d’information. Pour cela, les pirates ont recours aux techniques les plus imprévisibles pour s’accaparer un maximum d’informations présentes dans votre SI. Il n’y a pas une semaine sans qu’un fait de problème de sécurité soit médiatisé. Chacun doit adopter un comportement irréprochable dans l’usage des outils du numérique pour contrer les failles de sécurité et minimiser les attaques pirates ! Adoptez donc les bons gestes pour lutter contre les attaques d’ingénierie sociale, les clés USB piégés, le piratage des réseaux sociaux ou le phishing. Voici les problèmes de sécurité auxquels vous pouvez faire face dans la vie courante, et les gestes que vous devez accomplir pour ne pas vous faire piéger.

Piratage 1 : attaque d’ingénierie social type

* Arnaque aux faux fournisseurs

Si vous recevez un email d’une société avec laquelle vous travaillez, ATTENTION ! ne baissez pas votre garde sous prétexte que vous connaissez bien cette société. En effet, il se pourrait bien que derrière cet email se cache en vérité un cybercriminel.

Par exemple, si vous recevez un email dans lequel ma société vous demande de changer de RIB pour les règlements de leurs factures, restez prudent et ne répondez pas immédiatement.

« Bonjour, ici Monsieur Dupont de la comptabilité. Est-ce possible que vous changiez de RIB pour les règlements de nos factures ? Je vous envoie un email afin de m’assurer que vous le prenez bien en compte. Nous attendons plusieurs règlements et je souhaite m’assurer qu’ils nous arriveront bien. »

Vous auriez le réflexe de répondre tout de suite et de changer instantanément de RIB ? C’est normal, car vous auriez confiance en votre destinataire. Mais lorsqu’il s’agit d’argent, mieux vaut être prudent que confiant. Surtout si ladite société avec laquelle vous travaillez ne vous contacte pas par téléphone mais seulement par email, ce qui peut vous paraître surprenant pour une demande si importante.

Assurez-vous donc que l’auteur du mail que vous avez reçu est bien Monsieur Dupont et non un pirate informatique qui procède à une attaque d’ingénierie sociale type. Dans ce cas typique, ça signifie que le pirate vous dupe, en se faisant passer pour le comptable de votre fournisseur, pour obtenir de vous une information que vous ne donneriez pas ou un comportement que vous n’auriez pas normalement.

En cas de doute, ne répondez pas tout de suite au mail :

– N’hésitez pas à essayer de joindre l’auteur du mail par téléphone

– Si vous ne pouvez pas joindre le comptable Monsieur Dupont, prolongez l’échange pour chercher des probables incohérences que donneraient le présumé cybercriminel,

– Si votre destinataire paraît impatient ou s’il s’adresse à vous d’une manière surprenante, ne faites plus rien, et signalez le mail à votre hiérarchie !

– S’il s’agit d’un pirate, qui semble connaître et votre adresse et la société avec laquelle vous travaillez, alors ça signifie qu’il a récolté toutes ces informations quelque part sur Internet. Soyez donc prudent dans les informations que vous laissez sur les réseaux sociaux ou sur les forums par exemple.

* Piratage des réseaux sociaux

Si vous recevez de plus en plus de demandes de connexions sur votre réseau social, Facebook par exemple, de la part de personnes que vous ne connaissez pas, ATTENTION ! il est possible que derrière ces demandes d’« amis » se cachent des tentatives d’attaque d’ingénierie sociale type.

Par exemple, si des inconnus, ou même des connaissances – dont le compte paraît louche (attaque au faux ami) –, cherchent à entrer en contact avec vous via Facebook en vous demandant en « ami », soyez prudent et n’acceptez pas instantanément.

Comme concernant l’arnaque au faux fournisseur, votre réflexe serait d’accepter un nouvel « ami » Facebook, car vous seriez curieux ou auriez confiance s’il s’agissait d’une connaissance. Mais une demande de contact n’est jamais innocente : soit elle est amicale (si connaissance), soit elle est intéressée (si inconnu), donc soyez vigilant avant de répondre, peut-être est-ce une information que vous avez postée sur votre compte qui a attiré ledit suspect.

Comme nous l’avons écrit dans le point précédent, faites très attention aux informations que vous ajoutez sur votre profil, Facebook ou autres. En effet, ces informations peuvent servir dans le cadre d’une attaque d’ingénierie sociale.

En effet, ces dernières années, les cyberattaques les plus dévastatrices ont toutes commencé par une veille informationnelle sur l’organisation ciblée par les cybercriminels. Caché dans un « cheval de Troie » (demande d’« ami »), l’attaque est ainsi plus crédible et plus efficace.

Assurez-vous donc que la personne qui cherche à entrer en contact avec vous est bien réelle, ou que c’est bien une connaissance, et non un imposteur qui essaie de commettre une attaque d’ingénierie sociale type. Dans ce cas type, ça explique que le hackeur vous dupe, en se faisant passer pour un contact ou un ami, pour récolter des informations liées à votre compte et à votre travail, que vous auriez par exemple publiées sur votre mur.

En cas de doute, n’acceptez pas tout de suite la demande d’« ami » :

– Envoyez un message pour connaître les motivations de la personne à vouloir entrer en contact avec vous, ou vérifiez que la personne est bien une connaissance,

– S’il s’agit d’une connaissance, mais que vous avez un doute concernant « son » compte, n’hésitez pas à essayer de la joindre par téléphone pour vérifier qu’il s’agit bien d’elle, et qu’un doublon n’a pas été créé ou qu’elle ne s’est pas fait pirater,

– Si vous vous apercevez que des incohérences apparaissent dans la discussion, ou si la personne ne répond pas, refusez, voire bloquez, la personne qui veut entrer en contact avec vous.

forme 2 : attaque à la clé USB

Si vous trouvez une clé USB à côté de votre lieu de travail, visiblement perdu par un collaborateur, Attention au piratage : il peut s’agir d’une fausse clé porteuse d’un code malveillant destiné à infecter l’ordinateur sur lequel vous allez vous connectez.

Par exemple, si vous sortez de votre bureau et trouvez une clé USB ornée d’un logo de la société pour laquelle vous travaillez, faites attention et ne l’insérez pas dans votre ordinateur, professionnel ou personnel, aussitôt revenu chez vous ou au travail.

Vous-même ne vous rappelez pas avoir reçu une clé USB de ce type, mais son contenu son propriétaire vous intriguent ? C’est normal, car la clé est aux couleurs de votre entreprise. Mais la curiosité est un vilain défaut ! Si elle n’est pas donnée en main propre, une clé USB n’est pas sans danger.

Forme 3 : le phishing

* Ce mail est-il un phishing ?

Si vous recevez une message « trop beau pour être vrai » et donc douteux (remboursement d’argent par les impôts), ATTENTION ! il s’agit probablement d’un phishing.

Il s’agit d’une tentative d’arnaque par mail, couramment utilisée à cause du nombre quotidien très élevé d’échanges d’emails : 200 milliards d’emails.

2 types de phishing peuvent vous piéger :

– Le phishing de masse :

Le cybercriminel ne vous cible pas particulièrement mais se fait passer pour un organisme / une entreprise en lesquels vous avez confiance (vous les connaissez… vous êtes l’un des leurs clients…) ; le message est envoyé à de multiples victimes : si vous ne l’ouvrez pas, d’autres pourraient le faire…

– Le phishing ciblé :

Le hacker – qui se fait passer pour une connaissance, personnelle ou professionnelle (collègue, supérieur hiérarchique, client ou fournisseur) – souhaite vous atteindre ou votre entreprise, en particulier ; toutes ses informations sont crédibles, car elles sont issues d’un long travail d’espionnage : avez-vous laissé des informations concernant votre société sur un réseau social par exemple ?

S’il vous est demandé de fournir une information, d’ouvrir une pièce jointe, de cliquer sur un lien, ou de procéder à une action permettant le détournement de fonds, par virement ou par changement de coordonnées bancaires d’un fournisseur par exemple, il s’agit de piratage : c’est du phishing !

* Comment détecter un phishing ?

Pour éviter d’être victime d’un phishing, soyez vigilant ! Vérifiez plusieurs éléments cruciaux :

– Vérifiez l’adresse de l’émetteur ; méfiez-vous d’un email dont vous ne connaissez pas l’émetteur,

– Soyez attentif au niveau de langage et à l’orthographe, et méfiez-vous des syntaxes approximatives,

– Si le nom du site vers lequel l’email veut vous diriger vous paraît fiable, n’hésitez pas à vérifier malgré tout : pour cela, passez la souris sur le lien ou le bouton inclus dans l’email ; vous pourrez voir vers quel site le lien vous connectera si vous cliquez > si l’url qui s’affiche ne correspond pas au site du prétendu émetteur, alors le mail est un phishing ! En cas de besoin de vous rendre sur le lien, copiez-collez le texte du lien dans votre navigateur ce qui vous mènera vers le vrai site,

– N’ouvrez que les pièces jointes que vous attendez ou vérifiez auprès du correspondant que vous connaissez qu’il s’agit bien d’un envoi de sa part,

– Enfin si vous avez l’impression que l’email vous demande de commettre une action en urgence, méfiez-vous car c’est une technique pour vous pousser à l’erreur.

* Se protéger contre le phishing

Maintenant que vous savez détecter les phishings, et vérifier si vous en recevez, protégez-vous :

– Ne cliquez sur aucun lien contenu dans l’email, mais en cas de besoin, copiez-collez le texte du lien dans votre navigateur ce qui vous mènera vers le vrai site,

– N’ouvrez pas non plus les pièces jointes éventuelles, mais en cas de doute, n’hésitez pas à essayer de joindre l’auteur du mail par téléphone pour vérifier s’il s’agit de pièces jointes sûrs,

– Si un email vous fait peur, faites-le suivre au service sécurité qui pourra l’examiner,

– Vérifiez le contenu de votre email : une demande de code de carte bancaire ? une demande de codes d’accès ? une demande de mots de passe ? c’est du phishing !

– Enfin, il ne faut utiliser l’adresse mail professionnelle que pour des usages professionnels.