Comment protéger l'argent et les données personnelles sur Internet

2024 Auteur: Malcolm Clapton | [email protected]. Dernière modifié: 2023-12-17 03:55

Plus vous êtes informé, plus il est difficile de vous tromper. Voici tout ce que vous devez savoir sur le phishing avec Microsoft.

Découvrez encore plus de conseils sur la façon de vous protéger contre les menaces numériques.

Qu'est-ce que le phishing et à quel point il est dangereux

Le phishing est un type courant de cyberfraude, dont le but est de compromettre et de détourner des comptes, de voler des informations de carte de crédit ou toute autre information confidentielle.

Le plus souvent, les cybercriminels utilisent le courrier électronique: par exemple, ils envoient des lettres au nom d'une entreprise bien connue, attirant les utilisateurs vers son faux site Web sous prétexte d'une promotion rentable. La victime ne reconnaît pas le faux, entre le login et le mot de passe de son compte, et ainsi l'utilisateur lui-même transfère les données aux escrocs.

N'importe qui peut souffrir. Les e-mails de phishing automatisés ciblent le plus souvent un large public (des centaines de milliers voire des millions d'adresses), mais il existe également des attaques visant une cible précise. Le plus souvent, ces objectifs sont des cadres supérieurs ou d'autres employés qui ont un accès privilégié aux données de l'entreprise. Cette stratégie de phishing personnalisée est appelée chasse à la baleine, qui se traduit par « attraper des baleines ».

Les conséquences des attaques de phishing peuvent être dévastatrices. Les fraudeurs peuvent lire votre correspondance personnelle, envoyer des messages de phishing à votre cercle de contacts, retirer de l'argent de comptes bancaires et généralement agir en votre nom au sens large. Si vous dirigez une entreprise, le risque est encore plus grand. Les hameçonneurs sont capables de voler des secrets d'entreprise, de détruire des fichiers sensibles ou de divulguer les données de vos clients, ce qui nuit à la réputation de l'entreprise.

Selon le rapport sur les tendances de l'activité de phishing du groupe de travail anti-hameçonnage, au cours du seul dernier trimestre de 2019, les experts en cybersécurité ont découvert plus de 162 000 sites Web frauduleux et 132 000 campagnes par e-mail. Pendant ce temps, environ un millier d'entreprises du monde entier ont été victimes de phishing. Reste à savoir combien d'attaques n'ont pas été détectées.

Évolution et types de phishing

Le terme "phishing" vient du mot anglais "fishing". Ce type d'arnaque ressemble vraiment à de la pêche: l'attaquant lance l'appât sous la forme d'un faux message ou d'un faux lien et attend que les utilisateurs mordent.

Mais en anglais, le phishing s'écrit un peu différemment: le phishing. Le digraphe ph est utilisé à la place de la lettre f. Selon une version, il s'agit d'une référence au mot bidon (« trompeur », « escroc »). De l'autre - à la sous-culture des premiers hackers, appelés phreakers ("phreakers").

On pense que le terme phishing a été utilisé pour la première fois publiquement au milieu des années 90 dans les groupes de discussion Usenet. A cette époque, des escrocs lancent les premières attaques de phishing ciblant les clients du fournisseur d'accès Internet américain AOL. Les attaquants ont envoyé des messages demandant de confirmer leurs informations d'identification, se faisant passer pour des employés de l'entreprise.

Avec le développement d'Internet, de nouveaux types d'attaques de phishing sont apparus. Les fraudeurs ont commencé à falsifier des sites Web entiers et à maîtriser différents canaux et services de communication. Aujourd'hui, de tels types de phishing peuvent être distingués.

• Hameçonnage par e-mail. Les fraudeurs enregistrent une adresse postale similaire à l'adresse d'une entreprise bien connue ou d'une connaissance de la victime sélectionnée, et envoient des lettres de celle-ci. Dans le même temps, par le nom de l'expéditeur, la conception et le contenu, une fausse lettre peut être presque identique à l'original. Ce n'est qu'à l'intérieur qu'il y a un lien vers un faux site, des pièces jointes infectées ou une demande directe d'envoi de données confidentielles.
• hameçonnage par SMS (smishing). Ce schéma est similaire au précédent, mais le SMS est utilisé à la place du courrier électronique. L'abonné reçoit un message d'un numéro inconnu (généralement court) avec une demande de données confidentielles ou avec un lien vers un faux site. Par exemple, un attaquant peut se présenter comme une banque et demander le code de vérification que vous avez reçu précédemment. En fait, les escrocs ont besoin du code pour pirater votre compte bancaire.
• Hameçonnage des réseaux sociaux. Avec la prolifération des messageries instantanées et des médias sociaux, les attaques de phishing ont également inondé ces canaux. Les attaquants peuvent vous contacter via des comptes faux ou compromis d'organisations bien connues ou de vos amis. Sinon, le principe de l'attaque ne diffère pas des précédents.
• Phishing téléphonique (vishing). Les escrocs ne se limitent pas aux SMS et peuvent vous appeler. Le plus souvent, la téléphonie Internet (VoIP) est utilisée à cette fin. L'appelant peut par exemple se faire passer pour un employé du service d'assistance de votre système de paiement et demander des données pour accéder au portefeuille - soi-disant à des fins de vérification.
• Recherche d'hameçonnage. Vous pouvez rencontrer du phishing directement dans les résultats de recherche. Il suffit de cliquer sur le lien qui mène au faux site et d'y laisser des données personnelles.
• Hameçonnage contextuel. Les attaquants utilisent souvent des pop-ups. En visitant une ressource douteuse, vous pouvez voir une bannière qui promet des avantages - par exemple, des remises ou des produits gratuits - au nom d'une entreprise bien connue. En cliquant sur ce lien, vous serez redirigé vers un site contrôlé par des cybercriminels.
• Agriculture. Pas directement lié au phishing, mais le farming est également une attaque très courante. Dans ce cas, l'attaquant usurpe les données DNS en redirigeant automatiquement l'utilisateur au lieu des sites d'origine vers les faux. La victime ne voit pas de messages et de bannières suspects, ce qui augmente l'efficacité de l'attaque.

L'hameçonnage continue d'évoluer. Microsoft a parlé des nouvelles techniques découvertes en 2019 par son service anti-hameçonnage Microsoft 365 Advanced Threat Protection. Par exemple, les escrocs ont appris à mieux dissimuler les contenus malveillants dans les résultats de recherche: des liens légitimes sont affichés en haut, ce qui conduit l'utilisateur vers des sites de phishing via plusieurs redirections.

En outre, les cybercriminels ont commencé à générer automatiquement des liens de phishing et des copies exactes des e-mails à un niveau qualitativement nouveau, ce qui leur permet de tromper plus efficacement les utilisateurs et de contourner les mesures de sécurité.

À son tour, Microsoft a appris à identifier et à bloquer les nouvelles menaces. L'entreprise a utilisé toutes ses connaissances en matière de cybersécurité pour créer le package Microsoft 365. Il fournit les solutions dont vous avez besoin pour votre entreprise, tout en veillant à ce que vos informations soient efficacement protégées, y compris contre le phishing. Microsoft 365 Advanced Threat Protection bloque les pièces jointes malveillantes et les liens potentiellement dangereux dans les e-mails, détecte les ransomwares et autres menaces.

Comment se protéger du phishing

Améliorez vos connaissances techniques. Comme dit le proverbe, celui qui est prévenu est armé. Étudiez vous-même la sécurité de l'information ou consultez des experts pour obtenir des conseils. Le simple fait d'avoir une solide connaissance des bases de l'hygiène numérique peut vous éviter bien des ennuis.

Fais attention. Ne suivez pas les liens ou ouvrez les pièces jointes dans les lettres d'interlocuteurs inconnus. Veuillez vérifier attentivement les coordonnées des expéditeurs et les adresses des sites que vous visitez. Ne répondez pas aux demandes d'informations personnelles, même lorsque le message semble crédible. Si un représentant de l'entreprise vous demande des informations, il est préférable d'appeler son centre d'appels et de signaler la situation. Ne cliquez pas sur les pop-ups.

Utilisez les mots de passe à bon escient. Utilisez un mot de passe unique et fort pour chaque compte. Abonnez-vous à des services qui avertissent les utilisateurs si les mots de passe de leurs comptes apparaissent sur le Web et modifient immédiatement le code d'accès s'il s'avère compromis.

Configurez l'authentification multifacteur. Cette fonction protège en outre le compte, par exemple à l'aide de mots de passe à usage unique. Dans ce cas, à chaque fois que vous vous connecterez à votre compte depuis un nouvel appareil, en plus du mot de passe, vous devrez saisir un code à quatre ou six caractères qui vous sera envoyé par SMS ou généré dans une application spéciale. Cela peut ne pas sembler très pratique, mais cette approche vous protégera de 99% des attaques courantes. Après tout, si les fraudeurs volent le mot de passe, ils ne pourront toujours pas entrer sans code de vérification.

Utilisez des fonctions de connexion sans mot de passe. Dans ces services, vous devez, dans la mesure du possible, abandonner complètement l'utilisation de mots de passe, en les remplaçant par des clés de sécurité matérielles ou une authentification via une application sur un smartphone.

Utilisez un logiciel antivirus. Un antivirus à jour aidera en partie à protéger votre ordinateur contre les logiciels malveillants qui redirigent vers des sites de phishing ou volent les identifiants et les mots de passe. Mais n'oubliez pas que votre principale protection reste le respect des règles d'hygiène numérique et le respect des recommandations de cybersécurité.

Si vous dirigez une entreprise

Les conseils suivants seront également utiles pour les propriétaires d'entreprise et les dirigeants d'entreprise.

Former les employés. Expliquez aux subordonnés quels messages éviter et quelles informations ne doivent pas être envoyées par e-mail et autres canaux de communication. Interdire aux employés d'utiliser le courrier de l'entreprise à des fins personnelles. Expliquez-leur comment utiliser les mots de passe. Il vaut également la peine d'envisager une politique de conservation des messages: par exemple, pour des raisons de sécurité, vous pouvez supprimer les messages antérieurs à une certaine période.

Mener des attaques de phishing de formation. Si vous voulez tester la réaction de vos employés face au phishing, essayez de simuler une attaque. Par exemple, enregistrez une adresse postale similaire à la vôtre et envoyez des lettres de celle-ci à vos subordonnés leur demandant de vous fournir des données confidentielles.

Choisissez un service postal fiable. Les fournisseurs de messagerie gratuits sont trop vulnérables aux communications commerciales. Les entreprises doivent choisir uniquement des services d'entreprise sécurisés. Par exemple, les utilisateurs du service de messagerie Microsoft Exchange, qui fait partie de la suite Microsoft 365, bénéficient d'une protection complète contre le phishing et autres menaces. Pour contrer les fraudeurs, Microsoft analyse chaque mois des centaines de milliards d'e-mails.

Embauchez un expert en cybersécurité. Si votre budget le permet, trouvez un professionnel qualifié qui vous fournira une protection continue contre le phishing et les autres cybermenaces.

Que faire si vous êtes victime d'hameçonnage

S'il y a des raisons de croire que vos données sont tombées entre de mauvaises mains, agissez immédiatement. Recherchez les virus sur vos appareils et modifiez les mots de passe des comptes. Informez le personnel de la banque que vos informations de paiement peuvent avoir été volées. Si nécessaire, informez les clients de la fuite potentielle.

Pour éviter que de telles situations ne se reproduisent, choisissez des services de collaboration fiables et modernes. Les produits avec des mécanismes de protection intégrés sont les mieux adaptés: cela fonctionnera aussi facilement que possible et vous n'aurez pas à risquer la sécurité numérique.

Par exemple, Microsoft 365 inclut une gamme de fonctionnalités de sécurité intelligentes, notamment la protection des comptes et des connexions contre la compromission avec un modèle d'évaluation des risques intégré, une authentification sans mot de passe ou multifacteur qui ne nécessite pas de licences supplémentaires.

De plus, le service fournit un contrôle d'accès dynamique avec évaluation des risques et prise en compte d'un large éventail de conditions. En outre, Microsoft 365 contient une automatisation et une analyse de données intégrées, et vous permet également de contrôler les appareils et de protéger les informations contre les fuites.