Les courriels: porte d'entrée des fraudeurs
L'hygiène des échanges
Ne faites jamais confiance à l'expéditeur
Votre boîte de réception de courriel est une source importante d'attaques par hameçonnage et d'attaques de logiciels malveillants. L'attaque par hameçonnage est lorsqu'une personne envoie un courriel prétendant être une entité qu'elle n'est pas, dans l'espoir que vous lui fournirez vos données personnelles. Les tentatives peuvent porter sur des mots de passe, des numéros de cartes de crédit, des informations bancaires, des comptes d'utilisateurs ou d'autres informations sensibles.
Un 'phishing' se présente généralement sous la forme d'un message destiné à vous convaincre de:
- Cliquez sur un lien
- Ouvrir un document
- Installer un logiciel sur votre appareil
- Entrez votre nom d’utilisateur et votre mot de passe sur un site Web qui a l’air légitime.
Les attaques de 'phishing' peuvent vous amener à donner vos mots de passe et compromettre vos comptes ou à vous amener à installer des logiciels malveillants sur votre appareil à votre insu. Les pirates informatiques peuvent utiliser des logiciels malveillants pour contrôler à distance votre appareil, voler des informations ou vous espionner.
"Se défendre contre ces stratégies de piratage sournois consiste moins à télécharger de nouveaux outils ou logiciels de type antivirus et plus à développer sa sensibilité et sa compréhension des stratégies utilisées par les fraudeurs."
Alors comment éviter les attaques d'hameçonnage?
Hameçonnage
La plupart des attaques de 'phishing' lancent un filet à la mer dans l'espoir d'attraper quelques petits poissons au passage, elles sont destinées à la grande échelle. Un attaquant pourrait envoyer des courriers électroniques à des milliers de personnes chaque jour prétendant avoir une vidéo passionnante, un document important ou un litige de facturation, dans l'espoir de tromper la vigilance de quelques personnes. Ce type d'attaque est souvent assez facile à identifier et n'est pas très sophistiqué en général. Il se base sur la loi du nombre et de la statistic pour porter ses résultats mais il n'en n'est pas moins efficace pour autant.
Parfois, les attaques sont ciblées en fonction de ce que l’attaquant connaît déjà à propos d’un individu. Cela s'appelle «spearphishing» ou harponnage. Plus globalement, on parle alors d'Ingéniérie Sociale ou de 'Social Engeneering' en anglais.
Imaginez que vous receviez un courriel de votre meilleur ami vous disant qu'il contient des photos de ses vacances dans le sud. Étant donné que vous savez que votre ami revient effectivement de voyage et qu'il semble que ce soit son adresse, vous l'ouvrez. Lorsque vous ouvrez le courrier électronique, des fichiers .JPEG ou autre sont joints à celui-ci. Lorsque vous les ouvrez, ils peuvent même afficher les images de votre ami, mais ils installeront également discrètement à votre insu, des logiciels malveillants sur votre appareil, qui seront ensuite utilisés pour vous espionner, collecter vos données personnelles et voler vos informations importantes.
Votre amis n'a évidemment jamais envoyés ce courriel mais quelqu'un qui sait, pour avoir déjà 'travaillé' sur votre cas, comme par exemple, avoir rechercher des informations partagées publiquement par vous ou vos amis sur les réseaux sociaux, que vous avez des amis qui reviennent de voyage. Les photos ou des documents sur lequel vous avez cliqué ont démarré votre lecteur PDF ou visionneur d'image mais ont possiblement profité d'une faille dans ce logiciel pour exécuter son propre code. En plus de vous montrer un PDF ou des photos, les logiciels malveillants s'installent sur votre ordinateur, tablette ou portable et peuvent rester là de manière permanente ou avec une durée de vie déterminée à l'avance par le programmeur.
Ce logiciel malveillant pourra maintenant récupérer tout ce que vous tapez sur votre clavier, les sites que vous visitez, vos contacts et enregistrer ce que votre appareil photo et votre microphone voit et entend et ces données seront envoyées et stockées directement sur un serveur distant appartenant aux malfaiteurs. Ils pourront même dans le pire des cas, prendre le contrôle total de votre appareil... de votre vie!
La meilleure façon de vous protéger des attaques de 'phishing' est de ne jamais cliquer sur aucun lien ni ouvrir les pièces jointes... Mais ce conseil est irréaliste pour la plupart des gens
'Phishing' pour les mots de passe (aka Credential Harvesting)
Les phishers peuvent vous amener à leur donner vos mots de passe en vous envoyant un lien trompeur. Les adresses web dans un message peuvent sembler avoir une destination, mais conduire à une autre. Sur votre ordinateur, vous pouvez généralement voir l'URL de destination en survolant le lien. Mais les liens peuvent être déguisés en lettres similaires ou en utilisant des noms de domaine ressemblant de très près aux noms de domaine légitimes et vous diriger vers une page Web qui semble accéder à un service que vous utilisez, comme Facebook, Gmail ou Dropbox. Ces fausses pages de connexion sont souvent identiques aux vraies et il est tentant de saisir votre nom d’utilisateur et votre mot de passe. Si vous le faites, vous enverrez vos identifiants de connexion aux attaquants.
Donc, avant de taper des mots de passe, regardez la barre d'adresse de votre navigateur web. Il affichera le vrai nom de domaine de la page. Si cela ne correspond pas au site auquel vous pensez vous connecter, ne continuez pas! N'oubliez pas que voir un logo d'entreprise sur la page ne confirme pas que c'est réel. N'importe qui peut copier un logo ou un dessin sur sa propre page pour essayer de vous tromper.
Certains 'phishing' utilisent des sites qui ressemblent à des adresses web populaires pour vous tromper, comme par exemple: https://wwwpaypal.com/ est différent de https://www.paypal.com/. De même, https://www.paypaI.com/ (avec une lettre majuscule «i» au lieu d’une minuscule «L»).
De nombreuses personnes utilisent des raccourcis d'URL pour rendre les URL longues plus faciles à lire ou à saisir, mais elles peuvent être utilisées pour masquer des destinations malveillantes. Si vous recevez une URL raccourcie comme un lien t.co depuis Twitter, essayez de la placer dans https://www.checkshorturl.com/ pour voir où elle va vraiment.
Rappelez-vous, il est facile de falsifier les adresses de courriels afin qu'ils affichent une fausse adresse de retour. Cela signifie que vérifier l'adresse e-mail apparente de l'expéditeur n'est pas suffisant pour confirmer qu'un mail a bien été envoyé par la personne dont il semble provenir.
Comment aider à se défendre contre un lien d'ancrage d'attaque par hameçonnage
Utiliser un gestionnaire de mots de passe avec remplissage automatique
Les gestionnaires de mots de passe qui remplissent automatiquement les mots de passe gardent une trace des sites auxquels appartiennent ces mots de passe. Même s’il est facile pour un être humain d’être piégé par de fausses pages de connexion, les gestionnaires de mots de passe ne sont pas dupes de la même manière. Si vous utilisez un gestionnaire de mots de passe (y compris le gestionnaire de mots de passe intégré dans votre navigateur) et qu'il refuse de remplir automatiquement un mot de passe, vous devriez hésiter et vérifier le site que vous utilisez. Mieux encore, utilisez des mots de passe générés aléatoirement pour que vous soyez obligé de vous fier au remplissage automatique et ainsi, être moins susceptibles de taper votre mot de passe dans une fausse page de connexion. Plus de détails sur les mots de passe ici.
Vérifier les adresses des expéditeurs
Une façon de déterminer si un courriel est une attaque consiste à vérifier via un canal différent la personne ou l'organisation qui l'a soi-disant envoyée. Si le mail a été envoyé par votre banque, ne cliquez pas sur les liens contenus dans le courriel. Appelez plutôt votre banque ou ouvrez votre navigateur et tapez l'URL du site Web de votre banque. De même, si vos amis vous envoient une pièce jointe, si vous avez des doutes, tentez de les contacter directement via l'adresse courriel enregistrée dans votre liste de contacts ou par téléphone ou SMS avant de l'ouvrir.
Ouvrir des documents suspects dans un service virtuel ou nuagique
Certaines personnes s'attendent à recevoir des pièces jointes de personnes inconnues. Par exemple, les journalistes reçoivent généralement des documents de diverses sources. Mais il peut être difficile de vérifier qu'un document 'Word', une feuille de calcul 'Excel' ou un fichier PDF n'est pas associé à un programme malveillant.
Dans ces cas, ne double-cliquez pas sur le fichier téléchargé. Au lieu de cela, téléchargez-le sur Google Drive ou sur un autre lecteur de document en ligne. Cela transformera le document en image ou en HTML, ce qui l’empêchera presque certainement d’installer des logiciels malveillants sur votre appareil. Si vous êtes à l'aise avec l'apprentissage de nouveaux logiciels et que vous souhaitez consacrer du temps à la mise en place d'un nouvel environnement de lecture de courrier ou de documents étrangers, des systèmes d'exploitation dédiés sont conçus pour limiter les effets des logiciels malveillants.
Pour les utilisateurs avancés, nécessitants un niveau de sécurité élevé, TAILS est un système d'exploitation basé sur Linux qui s'utilise à partir d'une clé USB et supprime tout son contenu après l'utilisation.
QUBES est un autre système basé sur Linux et la virtualisation qui sépare soigneusement les applications afin qu'elles ne puissent pas interférer les unes avec les autres, ce qui limite les effets des logiciels malveillants.
Les deux sont conçus pour fonctionner sur des ordinateurs portables ou de bureau et s'addressent aux utilisateurs avancés.
Apprenez ici comment fonctionne la virtualisation
Vous pouvez également soumettre des liens et des fichiers non approuvés à VirusTotal, un service en ligne qui vérifie les fichiers et les liens sur plusieurs moteurs antivirus différents et en rapporte les résultats. Cela n’est pas infaillible: l’antivirus souvent, ne détectera pas les nouveaux logiciels malveillants ou les attaques ciblées, mais c’est mieux que rien.
Tout fichier ou lien que vous téléchargez sur un site web public, tel que VirusTotal ou Google Drive, peut être consulté par toute personne travaillant pour cette société, ou éventuellement toute personne ayant accès à ce site web. Si les informations contenues dans le fichier sont des communications sensibles ou privilégiées, vous pouvez envisager une alternative plus sécurisée.
Faites attention aux instructions envoyées par courriel
Certains courriels prétendront provenir d'un service de support informatique ou d'une entreprise de technologie et vous demandent de répondre avec vos mots de passe ou d'autoriser l'accès à distance à votre ordinateur par une «personne chargée de la réparation d'ordinateurs» ou de désactiver certaines fonctionnalités de sécurité. Le message peut donner une impression d'urgence et de nécessité en affirmant par exemple, que votre boîte de messagerie est pleine ou que votre ordinateur a été piraté.
Malheureusement, obéir à ces instructions frauduleuses peut nuire à votre sécurité. Soyez particulièrement prudent avant de donner à quiconque des données techniques ou des instructions techniques à moins que vous ne soyez absolument certain que la source de la demande est authentique.
Si vous avez des doutes sur un message ou un lien que quelqu'un vous a envoyé, ne l'ouvrez pas et ne cliquez pas dessus jusqu'à ce que vous ayez atténué la situation avec les astuces ci-dessus et que vous êtes sûr qu'il n'est pas malveillant.