La plupart du temps, le but du phishing est de récolter de l’argent. Les phishers peuvent également récupérer des données confidentielles pour provoquer par la suite d’éventuelles cyberattaques.
Certaines sociétés frauduleuses se sont même spécialisées dans la vente du phishing. En d’autres termes, les clients les payent pour envoyer des faux messages. Si les informations récoltées sont fructueuses, elles peuvent être revendues au prix fort !
« Quelqu’un s’est connecté sur votre compte en utilisant votre mot de passe. Nous avons bloqué la connexion mais nous souhaitons vérifier s’il s’agissait bien de vous ! Urgent cliquez ici ! »
Les phishers peuvent se faire passer pour des institutions du quotidien telles que la Sécurité Sociale, une banque, Hadopi ou encore un conseiller CPF et faire une requête directement par mail ou sms. Cela demande un travail analytique auprès des victimes qui doivent détecter le vrai du faux pour chaque demande reçue.
Certains phishers peuvent même connaître en amont les goûts de la victime pour l’inciter davantage. Pour exemple, si cette dernière aime le golf, l’agresseur peut lui envoyer une promotion exclusive sur cette activité. Ainsi, la personne cède et clique.
Si les attaques par phishing sont aussi répandues, c’est avant tout parce qu’elles ne sont pas évidentes à identifier. Les usurpations sont de plus en plus crédibles, car elles sont plus réalistes et plus sophistiqués. Pourtant, avec des simulateurs de phishing et de l’entraînement, il est possible de démasquer les hackeurs.
Vérifier l’orthographe et porter attention au logo
Analyser l’adresse email de l’expéditeur
Évaluer la cohérence de la demande
Se renseigner et survoler les liens avant de cliquer
Pour sensibiliser les employés, certaines entreprises imposent des cours de cybersécurité dès leur arrivée. Ces formations sont obligatoires avec des courtes questions sur le sujet. Des simulations d’attaques par phishing sont effectuées pour analyser le comportement de l’employé face à celles-ci.
Grâce à ces formations, les internautes sont armés beaucoup plus rapidement contre les attaques par phishing. Pour s’assurer que les équipes puissent les identifier sans en subir les conséquences, la mise en place d’outils de simulation de phishing est donc essentielle.
« Il faut essayer d’être le ou la plus logique possible. Si le nom d’une société figure dans le mail ou le sms, je conseille à toute personne ayant le moindre doute de toujours la contacter directement. S’il s’agit d’un particulier, le contact direct est préférable également. La dernière option est certainement la meilleure : l’ignorance (si vous ne connaissez pas la personne). J’encourage aussi les internautes à vérifier les intitulés des adresses mails car ils révèlent régulièrement les véritables provenances de ceux-ci. »
Joao Aviz
Consultant en cybersécurité chez Capgemini
Prenez contact tout au long de l’année pour échanger avec l’un de nos conseillers et parler de votre avenir ! 🤝
Je prends contact