Les conseils clés pour ne pas tomber dans le piège du « Corona Phishing »

Les cybercriminels aiment les crises. Ils savent exploiter à merveille la situation exceptionnelle déclenchée par coronavirus : l'omniprésence de ce sujet, l’anxiété engendrée et le télétravail auquel de nombreux employés ne sont pas habitués.

Sécurité des e-mails

Toutes les conditions se trouvent réunies pour leur permettre de diffuser des programmes malveillants souvent contenus dans des pièces jointes, des liens ou des fichiers à télécharger. Ceux-ci peuvent paralyser l’ordinateur de l’utilisateur voire l’infrastructure informatique complète d’une structure.
Souvent cibles privilégiées des cybercriminels, les entreprises bénéficient d’un rempart pour se prémunir des tentatives de fraudes en ligne : la vigilance de leurs salariés comme l’explique Benoît Tremolet, Directeur Général Général Retarus France : « « Au cours de la première semaine d'avril, nos services ont filtré 53% de mails frauduleux de plus par rapport à la dernière semaine de mars. Les hackers n'ont pas forcément perfectionné leurs attaques, ils les ont simplement remodelés pour s'adapter à une situation anxiogène et où circulent quotidiennement de nombreuses informations plus ou moins vraies. Celles-ci peuvent semer le doute dans l'esprit de salariés souvent isolés et dont la vigilance n'est pas maximale. » Dont acte. D’où la nécessité de redoubler de vigilance et de sensibiliser les personnes aux mécanismes de fraude par e-mail qui pourraient franchir la barrière des systèmes de filtrage et de leur expliquer les meilleurs moyens de s'en protéger.
Avec son guide anti-phishing accessible à tous, il nous livre ses conseils avec ses 3 étapes seulement, pour réduire drastiquement les risques de tomber dans les pièges de la fraude en ligne :

Être vigilant

Les cybercriminels se font passer pour des proches ou des collègues, des supérieurs hiérarchiques ou des partenaires commerciaux. Ils s'adressent également aux salariés comme s’ils agissaient pour le compte d'établissements officiels, de services financiers connus (banque ou PayPal, par exemple) ou encore de portails en ligne (tels qu'Amazon).
Attention, les e-mails de phishing comportant des liens obscurs et interminables, écrits dans un français approximatif et présentant un design médiocre se font de plus en plus rares. Techniquement très élaborés, ces emails de phishing sont à l’image d’un mail classique et semblent authentiques. Même en y regardant à deux fois, il n’est pas toujours évident de se rendre compte qu'ils sont faux !

Agir avec circonspection

Si un e-mail ou un site Web semble frauduleux, il faut savoir faire preuve de retenue. Face à une attaque de type phishing, la meilleure chose à faire est de ne rien faire ou en parler d’abord au service IT !

Quelques astuces :

Ne pas cliquer sur les liens contenus dans des e-mails suspects (même les liens de désabonnement), cela ne ferait que confirmer l’adresse e-mail
Ne pas ouvrir et ne pas télécharger les pièces jointes d'e-mails suspects
Ne pas répondre pas à un e-mail douteux et ne pas le transférer s’il s’agit d’une tentative de phishing
Ne jamais divulguer des noms d'utilisateur, des mots de passe ou d'autres informations personnelles sur les sites Web suspects
Si l’expéditeur d’un mail au contenu douteux est connu, il veut mieux vérifier l’authenticité de l’e-mail en contactant personnellement l’expéditeur.

Attention à la « fraude au président » (CxO Fraud) !

Il s’agit d’une méthode d'hameçonnage particulièrement audacieuse : des cybercriminels se font passer pour des dirigeants de l'entreprise et usent de faux prétextes (par exemple, une situation d'urgence) pour pousser des employés à commettre certains actes (par exemple, une transaction financière ou la divulgation d'informations confidentielles).
L'extrême urgence et la demande de traitement confidentiel sont typiques des e-mails d'hameçonnage de ce genre.

Être méfiant

De manière générale il faut se montrer méfiant envers tout ce qui est proposé sur Internet à propos du coronavirus car les cybercriminels ont plusieurs méthodes pour tenter de propager des programmes malveillants, de s’approprier des données et de gagner de l’argent :

Diffuser des informations soi-disant « officielles » sur le coronavirus disponibles via un lien d’abonnement à une newsletter, en pièce jointe d’un e-mail ou en fichier à télécharger
Offres sur des produits à forte demande : masques respiratoires, auto-tests de dépistage, applications de suivi
Informations liées à une nouvelle réglementation de la part de services clients/Prestataires de services en raison de succursales ou de bureaux fermés
Appel aux dons pour le développement d’un vaccin par exemple
Conseils d’investissement astucieux avec « fort rendement en période de crise »

La seule véritable solution contre le phishing reste une bonne sécurité́ de la messagerie alliée au bon sens !
A propos de Retarus
Depuis 1992, Retarus soutient les entreprises dans la mise en place d’une communication efficace, optimisée et sécurisée. Fournisseur mondial de la logistique de l’information, Retarus gère la sécurité et la fluidité des échanges d’informations de ses clients à travers le monde, quels que soient le volume de données, les canaux de communication, les interfaces, les applications et les dispositifs nécessaires.

Auteur

Rémi Bain-Thouverez