Aujourd’hui, avec le développement rapide et la distribution des vaccins contre la COVID, de nombreux Américains se rendent en ligne et partagent des informations personnelles pour rejoindre des listes d’attente et réserver des rendez-vous avant que les créneaux ne soient remplis. Les escrocs adaptent leurs tactiques pour profiter de cet engouement. Alors que nous consultons avec impatience nos e-mails pour obtenir des mises à jour et des confirmations sur les vaccins, il peut être difficile de faire la différence entre un e-mail légitime et une tentative d’hameçonnage.

La meilleure façon de vous protéger contre les acteurs malveillants est d’apprendre à reconnaître les signaux d’alerte. Connaître ces signaux d’alerte à l’avance vous rendra moins susceptible de cliquer sur cet e-mail convaincant. Les membres du conseil de National Cyber Security Alliance, Cofense et Mimecast, ont capturé de véritables exemples de tentatives d’hameçonnage, présentés ci-dessous. Testez vos connaissances et voyez si vous pouvez repérer les indices d’une arnaque dans ces images.

Cette capture d’écran, réalisée par Mimecast, montre une tentative d’hameçonnage typique. Combien de signaux d’alerte pouvez-vous repérer ? Continuez à faire défiler pour voir si vous les avez tous trouvés.

Plusieurs signaux d’alerte d’une tentative d’hameçonnage peuvent être repérés dans cet e-mail :

1. Objet – Notez l’utilisation de majuscules et de points d’exclamation. La formulation et la mise en forme servent à créer un sentiment d’urgence, en essayant de vous pousser à cliquer sur l’e-mail dans la panique, rapidement et sans réfléchir.

2. Imitation d’une source de confiance – Cet hameçonnage, probablement envoyé aux employés d’une entreprise, prétend provenir d’un service des ressources humaines. Les acteurs malveillants se feront passer pour des personnes ou des groupes que vous connaissez peut-être déjà afin de gagner votre confiance. Si vous n’êtes pas sûr qu’un e-mail provienne réellement de quelqu’un, contactez cette personne directement ou appelez-la pour vérifier.

3. Erreurs et fautes d’orthographe – Une mauvaise grammaire se voit dans tout le corps de l’e-mail, ainsi que des majuscules aléatoires sur certains mots comme « Vaccinated ». On s’attendrait à ce qu’un e-mail provenant du service RH d’une organisation utilise une formulation et une grammaire correctes. La combinaison d’une mise en forme étrange, de lettres en majuscules et d’une grammaire inhabituelle donne à cet e-mail un air très douteux.

4. Hyperliens – Le contenu de l’e-mail tente d’amener le destinataire à cliquer sur l’hyperlien situé en bas du message. Méfiez-vous toujours du clic sur les liens (et les pièces jointes) dans les e-mails, car ils peuvent vous conduire vers un site frauduleux.

Mimecast suggère les conseils suivants pour éviter les arnaques :

1. Soyez proactif. Allez directement sur le site web de votre gouvernement local/hôpital afin de vérifier les faits et d’obtenir les bonnes informations.

2. Méfiez-vous des e-mails, appels téléphoniques ou messages provenant de personnes que vous ne connaissez pas et qui essaient d’attirer votre attention avec des mises à jour sur les vaccins.

3. Vérifiez toujours les URL. Les pirates créent des sites qui ressemblent à des institutions de santé officielles et à des fournisseurs de vaccins. Accédez directement aux sites officiels tels que CDC.gov et le site officiel de votre État/ville.

4. Utilisez des mots de passe forts et uniques pour tous vos comptes lors de la création d’un compte et utilisez MFA/2FA chaque fois que possible.

5. Ne vous connectez pas à des réseaux que vous ne reconnaissez pas. Recherchez des informations sur les vaccins sur votre réseau Wi‑Fi domestique sécurisé, qui doit être protégé par un mot de passe fort.

6. Faites preuve d’une prudence accrue si vous utilisez un appareil appartenant à l’entreprise. Les acteurs malveillants cherchent à accéder à l’organisation pour laquelle vous travaillez, dans l’intention de voler des données.

7. Assurez-vous que votre appareil dispose des mises à jour et correctifs les plus récents.

8. Restez à l’affût des tentatives de vishing – Méfiez-vous énormément de tout appelant qui vous demande de partager des informations de connexion par téléphone. Une bonne règle générale pour repérer les tentatives de vishing et d’hameçonnage est de marquer une pause et de vous demander si vous attendiez cet appel ou ce message. Si ce n’est pas le cas, contactez directement l’entreprise pour vérifier si le message ou l’appel est bien réel.

La tentative d’hameçonnage ci-dessous, capturée par Cofense, est un peu plus détaillée, mais contient tout de même de nombreux signaux d’alerte :

Signaux d’alerte dans cette tentative d’hameçonnage :

1. Objet – Encore une fois, notez l’utilisation de majuscules et l’expression « very important information » qui tente de pousser le destinataire à cliquer sur l’e-mail sans réfléchir.

2. Lien vers le sondage – L’URL usurpe la célèbre plateforme de sondages SurveyMonkey, mais remarquez l’orthographe incorrecte et l’absence d’un domaine de premier niveau (la partie qui suit généralement le nom de domaine, comme .com ou .org).

3. Hyperlien du sondage – La boîte adjacente au lien apparaît lorsque vous survolez une URL. Le fait de survoler une URL vous montrera la véritable destination de l’hyperlien. La destination peut ne pas correspondre au texte dans l’e-mail, comme dans cet exemple. C’est un signal d’alerte majeur indiquant que quelqu’un tente de vous rediriger vers un site dangereux.

4. Fautes d’orthographe et erreurs – Cet hameçonnage a une meilleure grammaire que le précédent, mais des erreurs comme « Survey’s » et la majuscule à « Today » montrent qu’il y a quelque chose de suspect dans cet e-mail.

5. Imitation d’une source de confiance – Encore une fois, cet escroc prétend être un membre du service des ressources humaines d’une organisation. Cependant, cet expéditeur est un peu plus détaillé que le précédent. Il a inclus un nom et un titre précis : « Dawn, Director of Human Resources », ce qui donne davantage l’impression que cet e-mail provient d’un expéditeur légitime.

De nombreux e-mails, messages texte et appels téléphoniques utilisent des messages plus sophistiqués, avec de moins en moins de signaux d’alerte évidents. N’oubliez pas de lire attentivement les messages. Il est toujours important de ralentir, de vérifier une seconde fois l’expéditeur et de vous demander si vous attendiez le message ou l’appel en question.

Confense suggère les conseils suivants pour vous protéger contre l’hameçonnage :

• Validez la source de l’e-mail en la comparant aux sites web officiels du gouvernement (p. ex. CDC, WHO, ou les sites web du département de la santé de votre ville et de votre État).

• Si l’expéditeur est quelqu’un avec qui vous interagissez habituellement mais que le message semble étrange, vérifiez avec lui par un autre canal (téléphone, SMS ou nouveau message e-mail). Il est possible que son compte ait été compromis.

• Ne donnez jamais vos informations personnelles à des sources non fiables, y compris votre nom d’utilisateur et votre mot de passe.

• Créez des noms d’utilisateur et des mots de passe uniques par site web et/ou application. De nombreux sites web et applications vous permettent désormais de créer un nom d’utilisateur qui n’est pas votre adresse e-mail.

• Configurez un coffre-fort de mots de passe pour stocker toutes ces connexions uniques. Prenez l’habitude d’ouvrir le coffre-fort chaque fois que vous créez une nouvelle connexion pour un site web ou une application.

• Activez l’authentification multifacteur (MFA ou 2FA) pour tout site web ou application qui en a la possibilité. Si vos informations de connexion sont obtenues à la suite d’une fuite de données, cela ajoute un niveau de protection supplémentaire.

• Si vous êtes informé d’une fuite de données affectant vos informations de connexion, modifiez-les immédiatement et mettez à jour votre coffre-fort.

Ressources supplémentaires :

1. Épisode 4 de Security Awareness : Phishing and Ransomware, de NCSA, Adobe et Speechless Inc

2. Testez vos connaissances en matière d’hameçonnage, essayez le Phishing Quiz de Google

3. Le blog de Cofense et son centre de ressources gratuit

4. Le blog et le centre de ressources de Mimecast

   • Le rapport de Mimecast, « The Year Of Social Distancing », sur les défis de sécurité du nouvel espace de travail numérique.