En 2021, 12,5 % des entreprises flamandes ; dont pas moins de 40 % des petites PME, ont été victimes d’une cyberattaque. Ces pourcentages issus d'une enquête du gouvernement flamand montrent que les plus petites entreprises sont des cibles intéressantes pour les cybercriminels, qui parviennent à leur extorquer beaucoup d’informations principalement grâce au phishing. Mais de quoi s’agit-il précisément ? Et comment le reconnaître avant qu’il ne soit trop tard ?
Depuis plusieurs années, les cyberattaques visant des entreprises sont monnaie courante et la crise sanitaire a démultiplié les opportunités des cybercriminels. Si de nombreuses entreprises ont depuis investi dans la cybersécurité, elles oublient souvent que les cyberattaques réussies sont généralement la conséquence d'une erreur humaine. Il suffit qu’un seul collaborateur clique sur un lien malveillant pour réduire à néant toute la sécurité de l’organisation. Et les escrocs en sont évidemment conscients. Ils tentent de contourner les mesures de sécurité des entreprises et de soutirer des informations directement aux travailleurs, par exemple par e-mail. Ce type d’attaque s’appelle le phishing.
En quoi consiste le phishing ?
Des cybercriminels envoient à leurs victimes des e-mails, des SMS ou des messages sur les réseaux sociaux, dans l’objectif de leur dérober des données sensibles. Ils cherchent principalement à vous soutirer vos données à caractère personnel, vos données bancaires et vos mots de passe. Certains hackers tentent aussi d'installer des logiciels malveillants sur les appareils de leurs victimes.
Ils n’hésitent pas à se faire passer pour quelqu’un d’autre : une célébrité ou une personne digne de confiance, comme un employé de banque ou une institution gouvernementale, mais aussi une connaissance ou un membre de la famille.
Et pour convaincre leurs victimes de communiquer leurs données, les criminels jouent souvent sur les émotions. Une tactique courante consiste à feindre une urgence pour faire paniquer la victime. Les auteurs envoient par exemple un e-mail au nom d'une banque et invoquent le non-paiement d'une facture. Ils cherchent aussi à piquer la curiosité et l’enthousiasme de la victime, en lui faisant miroiter de fausses promotions. Dans les deux cas, les victimes sont incitées à cliquer sur un lien. Leur appareil est alors infecté par un virus et elles sont dirigées vers un faux site, qui leur demandent d’introduire leurs données.
Comment reconnaître le phishing ?
Plusieurs éléments peuvent vous aider à identifier un mail de phishing. Une adresse e-mail inhabituelle de l’expéditeur doit vous mettre la puce à l'oreille. Par exemple, l’adresse problemesdelivraison@schoen.com ne ressemble absolument pas à une adresse e-mail officielle de bpost. Une salutation ou une formule de clôture inhabituelle doit aussi vous alerter. Dans cet exemple, l’expéditeur clôture son e-mail par une formule inhabituelle : « les services postaux ».
Les messages frauduleux adoptent souvent un ton d'urgence et peuvent par exemple concerner un problème impérieux. Le destinataire est invité à « payer immédiatement les frais d’envoi ». L’auteur peut aussi menacer le destinataire de coûts supplémentaires s'il ne réagit pas.
Examinez toujours le lien qui figure dans le message. Il suffit de le survoler avec votre souris. Un lien étrange apparaît ? Ne cliquez surtout pas dessus ! Observez toujours ces quelques règles générales :
- Une offre vous semble trop belle pour être vraie ? C’est généralement parce que c’est le cas.
- Vous ne connaissez pas l’expéditeur ? Redoublez de vigilance.
- Vous connaissez l’expéditeur, mais pas son adresse e-mail ? Restez vigilant.
- Le style ne correspond pas non plus à l’expéditeur ? Là aussi, cela doit vous faire penser à une tentative de phishing.
Dans toutes les situations ci-dessus, l’important est de ne pas cliquer sur les liens suspects.
Si vous doutez de l’authenticité d'un e-mail, contactez l’expéditeur supposé par un autre moyen. Il est par exemple souvent possible de contacter un service clientèle par téléphone.
Le spear phishing : l’attaque personnalisée
Le spear phishing est une variante du phishing classique. Ici aussi, le but est de dérober des informations sensibles ou d’installer un logiciel malveillant, mais la tentative d’escroquerie prend la forme d'une stratégie plus personnalisée. Les messages sont adressés à un individu ou une organisation en particulier, alors que les e-mails de phishing classique impliquent une distribution massive à de grands groupes de victimes et ne visent donc pas une personne spécifique. L’approche personnelle du spear phishing augmente évidemment le risque que le destinataire se fasse piéger.
Vous souhaitez en savoir plus sur la cybersécurité pour votre PME ? Téléchargez notre e-book sur la sécurité. Nous vous garantissons que ce lien est sûr !
