Le phishing est lorsque des cybercriminels utilisent des e-mails, des publications sur les réseaux sociaux ou des messages directs pour vous piéger en cliquant sur des liens nuisibles ou en téléchargeant des fichiers malveillants. Le phishing est une attaque courante d'« ingénierie sociale » dans laquelle un pirate tente de vous tromper au lieu d'attaquer directement votre système. Tomber dans une arnaque de phishing peut exposer vos informations personnelles, telles que vos mots de passe ou numéros de carte de crédit, et peut même entraîner l'installation de logiciels malveillants sur votre appareil. 

Mais avec un peu de connaissances, vous pouvez devenir un expert en repérant les tentatives de phishing et ne pas mordre à l'hameçon. De plus, vous pouvez bloquer et signaler les e-mails de phishing pour retirer les filets de phishing.

À quoi ressemble un e-mail de phishing ? 

Les escrocs déguisent souvent les e-mails de phishing en messages d'organisations ou de personnes de confiance, mais il y a des signes révélateurs qui les trahissent. Voici ce qu'il faut rechercher :  

• Offres qui semblent trop belles pour être vraies. Le message promet-il de l'argent gratuit, des articles de luxe ou des offres exclusives trop belles pour être vraies ? Drapeau rouge ! Idem, si vous avez gagné un concours dont vous ne vous souvenez pas avoir participé !

• Langage urgent ou menaçant. Faites attention aux phrases comme "Votre compte sera supprimé !" ou "Agissez maintenant !" qui sont conçues pour vous faire paniquer. Elles peuvent même dire que votre ordinateur a été piraté ou que vous êtes en état d'arrestation.

• Demandes d'informations personnelles. Les entreprises légitimes ne vous demanderont jamais de détails sensibles comme des mots de passe par e-mail.

• Demandes d'affaires étranges. Une demande soudaine de paiement ou de données privées ? Une facture que vous ne reconnaissez pas ? Faites une pause et interrogez sa légitimité.

• Adresses de l'expéditeur non correspondantes. Avant d'ouvrir tout e-mail contenant des données sensibles ou de l'argent, vérifiez toujours l'adresse e-mail de l'expéditeur pour déceler des domaines étranges ou des fautes d'orthographe mineures.

• Hyperliens ou pièces jointes inconnus. Survolez les liens pour vérifier où ils mènent. S'ils semblent suspects (par exemple, pavpal.com au lieu de paypal.com), ne cliquez pas. Ne téléchargez jamais une pièce jointe d'un expéditeur que vous ne reconnaissez pas, et même si vous reconnaissez l'expéditeur, utilisez l'analyse antivirus de votre e-mail.

• Contenu mal rédigé. Recherchez les mauvaises grammaires, les phrases maladroites ou les fautes d'orthographe—les entreprises professionnelles commettent rarement ces erreurs. Cependant, la grammaire de nombreux e-mails de phishing s'améliore avec la diffusion rapide des systèmes d'intelligence artificielle. 

• Salutations génériques. Méfiez-vous des ouvertures vagues comme "Cher Client" au lieu de votre nom. 

Qu'est-ce qu'un sentiment d'urgence dans le phishing ? 

Les cybercriminels se concentrent sur le fait de jouer sur vos émotions avec leurs e-mails de phishing. Le signal le plus révélateur pour les e-mails de phishing est un "sentiment d'urgence", où vous vous sentez obligé d'agir rapidement. Les escrocs veulent que vous agissiez rapidement pour que vous cliquiez avant de réfléchir ! 

Dans les messages de phishing, un sentiment d'urgence peut être négatif ou positif. 

• Exemples de sentiment d'urgence positif : vous avez gagné un prix, on vous doit de l'argent, vous pouvez bénéficier d'une offre exclusive.  

• Exemples de sentiment d'urgence négatif : Vous avez été piraté, l'IRS vous enquête, des criminels vous enregistrent via votre webcam, il y a un mandat d'arrêt contre vous.  

Même si les messages sont troublants et inquiétants, il est important de se rappeler que presque tous les messages envoyés dans votre boîte de réception ou sur vos DM de réseaux sociaux concernant des affaires sérieuses, comme des audits de l'IRS, sont des escroqueries. Les escrocs diront qu'ils ont des images embarrassantes de vous pour attirer votre attention et votre argent – ne leur donnez pas.  

Prenez 5 secondes avec chaque e-mail 

Vous pouvez généralement repérer les signaux d'alerte d'un e-mail de phishing en prenant cinq secondes par e-mail. Avant de cliquer sur un lien, d'envoyer des informations ou de télécharger une pièce jointe, respirez et réfléchissez si l'e-mail est un hameçon. Demandez à un collègue, un ami ou un membre de la famille si le message semble étrange. Aucun e-mail n'a besoin d'une réponse en moins d'une minute.  

Quand les escrocs connaissent votre nom : le spearphishing 

Parfois, les cybercriminels prennent le temps de personnaliser un e-mail de phishing rien que pour vous. Ils peuvent connaître votre nom, votre travail, votre adresse ou les noms des personnes que vous connaissez. Ils peuvent obtenir ces données à partir des réseaux sociaux ou d'autres sources publiquement disponibles. Cela s'appelle le «spearphishing», comme dans, l'escroc doit vous cibler spécifiquement avec son message.  

Pour cette raison, méfiez-vous de tout message inattendu avec un sentiment d'urgence, même si l'expéditeur semble savoir qui vous êtes.

Que faire si vous repérez un message de phishing

Vous avez détecté une tentative de phishing ? Voici comment gérer cela : 

1. Restez calme et ne cliquez pas. Ne cliquez sur aucun lien ni ne téléchargez de pièces jointes. Même le lien de désabonnement pourrait être un piège. Ne répondez pas à l'e-mail.

2. Signalez l'e-mail : 

   1. Au travail : Informez immédiatement votre service informatique ou votre responsable de la sécurité. 

   2. À la maison : De nombreuses plateformes de messagerie ont une fonctionnalité « Signaler le phishing ». Utilisez-la pour les alerter :

      1. Signaler un hameçonnage sur Outlook.

      2. Signaler un hameçonnage sur Gmail.  

      3. Signaler un hameçonnage sur Mac Mail. 

3. Bloquez l'expéditeur. Prenez une mesure supplémentaire en bloquant l'expéditeur dans votre programme de messagerie.

4. Supprimez l'e-mail. Supprimez le message. Ne répondez pas et n'interagissez pas avec l'expéditeur.

Protégez votre lac avant que le phishing ne frappe 

Les e-mails de phishing peuvent échapper à votre filtre anti-spam, il est donc essentiel de rester proactif. Adopter quelques comportements clés en matière de cybersécurité peut vous aider à vous protéger lorsque le phishing se produit. 

• Activez l'authentification multifactorielle (MFA) partout où c'est possible pour ajouter une couche de sécurité supplémentaire. 

• Utilisez des mots de passe forts et uniques et stockez-les en toute sécurité dans un gestionnaire de mots de passe. Chaque mot de passe doit comporter au moins 16 caractères et être unique au compte.  

• Mettez à jour tous les logiciels et appareils pour corriger les vulnérabilités exploitées par les cybercriminels.

Signaler le phishing fait la différence 

En signalant les tentatives de phishing, vous vous protégez et aidez à empêcher d'autres personnes d'en devenir victimes. Les fournisseurs de messagerie et les équipes informatiques utilisent vos signalements pour bloquer ces escrocs et améliorer les mesures de sécurité. Veuillez signaler et bloquer !

Réfléchissez avant de cliquer 

Vous pouvez rester un pas en avant des escrocs de phishing. Rappelez-vous : si quelque chose semble étrange, faites confiance à vos instincts. Vous pouvez même demander à un ami d'obtenir un deuxième avis. Réfléchissez quelques secondes avant de cliquer, et vous êtes sur la bonne voie pour rester en sécurité en ligne.  

Ressources supplémentaires

• Regardez notre webinaire à la demande "Repérer le phishing avant qu'il ne vous accroche"

• Comment signaler le phishing dans Gmail

• Apprenez à déjouer les escroqueries de phishing avec des conseils de cybersécurité d'Accenture

• Rebondir après une arnaque

• Recevez des alertes d'arnaque du Better Business Bureau