L'automne est une période de l'année idéale pour s'évader et passer du temps au grand air. Les criminels, quant à eux, semblent intensifier leurs campagnes de hameçonnage, car la routine quotidienne consistant à supprimer les e-mails et les SMS indésirables ou malveillants prend chaque jour plus de temps. Octobre est le mois de la sensibilisation à la cybersécurité et cette deuxième est dédiée spécifiquement à la lutte contre le hameçonnage.

Des vérités qui dérangent

Seriez-vous surpris d'apprendre qu'un peu plus de 60 % des participants à un récent concours sur les tentatives de hameçonnage, organisé par ESET, à qui on a présenté quatre images de messages de hameçonnage ou de messages réels, n'ont pas réussi à les identifier correctement?

Appelé ESET Phishing Derby et organisé par l'équipe nord-américaine d'ESET, ce concours gratuit est conçu pour montrer à quel point nous sommes compétents (ou pas) pour différencier les vrais messages des tentatives malveillantes. Le système de notation est basé sur la vitesse et la capacité à distinguer correctement les messages, et les presque 40 % de participants qui ont identifié correctement les échantillons peuvent inclure certains participants qui en ont identifié trois correctement en un temps super rapide. Ainsi, en réalité, le nombre de personnes ayant identifié correctement les quatre messages est probablement inférieur. Notons cependant que ce quiz n'a pas été conçu pour générer des statistiques, mais plutôt pour sensibiliser et éduquer les participants sur la façon d'identifier les courriels malveillants.

Il est intéressant de noter que les résultats montrent une différence marquée dans la façon dont les jeunes participants âgés de 18 à 24 ans ont identifié correctement les échantillons - 47 %, contre seulement 28 % pour les plus de 65 ans. Les personnes âgées de 25 à 44 ans ont atteint 45 % et celles de 45 à 64 ans 36 %. Au cas où vous vous poseriez des questions sur la validité de ces données, sachez que le nombre de participants était de 4 292 et que les données recueillies sont un sous-produit et non une étude universitaire. Un résultat similaire a été présenté lorsque le même quiz a été réalisé par ESET Canada fin 2020, 68 % des participants n'ayant pas identifié correctement les quatre échantillons. Si vous désirez faire le test, cliquez ici.

Quelles mesures devons-nous prendre en réaction à ces résultats? Si vous lisez ce blog, alors vous êtes probablement engagé dans le besoin d'en savoir plus sur la cybersécurité et de rester en sécurité en ligne. Permettez-moi donc de vous lancer un défi en cette 2021e édition du mois de la sensibilisation à la cybersécurité : faites passer le message sur la prudence à l'égard des courriels et des messages, ainsi que d'autres bonnes pratiques que vous pouvez adopter pour rester en sécurité en ligne, et enseignez-les à vos amis et à votre famille, en veillant tout particulièrement à aider les personnes âgées, car les données montrent qu'elles peuvent bénéficier d'un peu plus d'aide.

Vous pourriez penser qu'avec les campagnes de sensibilisation continues des organisations financières, des entreprises de cybersécurité, des gouvernements et autres, qui font passer le message de la cybersécurité, ce chiffre devrait être plus bas, beaucoup plus bas, et je pourrais être d'accord. Cependant, certains courriels de hameçonnage sont si bien conçus qu’ils ressemblent à s'y méprendre aux vrais, qu'il est beaucoup plus difficile de les identifier comme des faux. Ce défi ne fera que se compliquer à mesure que les cybercriminels perfectionnent leur art.

Des hameçons nouveau genre

La semaine dernière, j'ai reçu un e-mail provenant supposément d'American Express, indiquant qu'une tentative de transaction suspecte avait été bloquée et me demandant de revoir les transactions récentes. À première vue, l'e-mail semble légitime, bien écrit et doté de bons graphiques, mais certains signes évidents indiquent qu'il s'agit d'un faux.

Tout d'abord, je ne possède pas de carte Business Platinum d'American Express. Si vous avez un compte, il est compréhensible que cet e-mail vous incite à passer à l'étape suivante, à l'ouvrir et éventuellement à cliquer sur le lien qu'il contient. Le message est conçu pour susciter une réaction émotionnelle : « Oh non, il y a une fraude sur mon compte, je dois la réparer, cliquez ».

De plus, l'un des faux identificateurs dans cet e-mail spécifique est l'adresse « Cher utilisateur de la carte » avant de poursuivre avec « Le compte commençant par 37***** ». Or, American Express connait ses clients et ne les désigne pas de manière générique dans ses communications. En outre, les sociétés de cartes de crédit utilisent normalement les derniers chiffres les plus uniques d'un numéro de compte, et non les chiffres moins uniques du début du numéro de compte. En tant qu'ancien employé d'American Express, je sais que toutes les cartes émises par cette société commencent par 3 et que le deuxième chiffre peut être soit un 4, soit un 7. Le numéro utilisé dans l'e-mail que j'ai reçu est donc générique et s’applique à de nombreux détenteurs de cartes.

Les ressources informatiques accrues auxquelles les cybercriminels ont facilement accès vont rendre la tâche plus difficile; par exemple, la location de puissance informatique dans le nuage, les quantités massives d'informations personnelles disponibles à partir des violations de données et, dans une certaine mesure, le financement des récentes cyberattaques réussies qui est réinvesti pour développer le secteur de la cybercriminalité. Imaginez maintenant que l'e-mail de phishing usurpant l'identité d'American Express contienne le nom du titulaire de la carte et les quatre derniers chiffres du numéro de la carte, glanés à partir de données piratées, la probabilité que le destinataire clique sur le lien augmentera sans aucun doute de manière significative.

Autres signes annonciateur d’attaques de phishing

Voici quelques autres conseils pour identifier un courriel de hameçonnage :

  • Le courriel ne s'adresse pas à vous personnellement, alors que l'entreprise qui est censée être l'expéditeur saurait qui vous êtes et envoie généralement des e-mails adressés personnellement et non de manière générique.
  • Fautes de grammaire et d'orthographe : Comme les e-mails d’hameçonnage s'améliorent, veillez à les lire deux fois car les erreurs peuvent être plus difficiles à repérer.
  • L'e-mail est non sollicité et provient d'une entreprise avec laquelle vous n'avez jamais communiqué.
  • Un appel à effectuer une action urgente, à cliquer sur un lien et à se connecter pour vérifier des transactions ou autre chose de ce genre.
  • L'adresse électronique : Passez la souris sur l'adresse électronique et vérifiez l'adresse réelle de l'expéditeur et le domaine d'où il a été envoyé.
  • Les e-mails avec pièces jointes, par exemple, prétendant être une facture ou une notification d'un type quelconque.

Si vous hésitez à déterminer si un courriel est légitime ou pas, je vous recommande de visiter directement le site Web de l'expéditeur supposé à l'aide d'un navigateur, de vous connecter à votre compte et de rechercher tous les messages. Tout ce qui est important se trouvera dans les messages du compte ou dans la boîte de réception et, si nécessaire, contactez l'entreprise et validez la demande.