Si vous utilisez Internet depuis longtemps, vous savez sans doute repérer les e-mails douteux. Si vous êtes probablement capable de ne pas vous faire avoir par la fameuse escroquerie du prince nigérian, vous aurez parfois plus de mal à déceler les attaques d’hameçonnage plus sophistiquées qui vous sont adressées.
Les attaques par hameçonnage ou phishing, par smishing (SMS) et par vishing (appel vocal) augmentent et ne montrent aucun signe de ralentissement. Le basculement l’année dernière de millions de personnes en télétravail a été une véritable aubaine pour les cybercriminels. Pourquoi ? Parce que ces acteurs malveillants espèrent que la sécurité à domicile n’est pas à la hauteur des contrôles mis en place par votre employeur, et qu’une sécurité plus faible se traduit par accès plus facile à vos données les plus sensibles.
Ne vous laissez pas faire. En cette semaine du Mois de sensibilisation à la cybersécurité, abordons des conseils sur le phishing qui vous aideront à vous protéger, chez vous comme au bureau.
Examinez attentivement les messages provenant de tous les canaux
Bien que l’e-mail soit le principal vecteur des escroqueries, les acteurs malveillants sont de plus en plus friands d’autres méthodes. Les liens d’hameçonnage, les sites de récolte d’identifiants et d’autres formes d’ingénierie sociale peuvent vous cibler sous la forme d’un SMS suspect, d’un message bizarre sur les réseaux sociaux, ou d’un appel incongru sur votre ligne professionnelle ou privée. Pour garder une longueur d’avance, il est impératif de faire preuve du même degré de prudence et de scepticisme, quel que soit le vecteur du message.Prenez l’habitude de vérifier l’adresse électronique de l’expéditeur
Les acteurs malveillants utilisent souvent une adresse e-mail qui ressemble à s’y méprendre à celle de l’expéditeur usurpé. Vérifiez que le nom de domaine (la partie qui suit le symbole « @ » dans l’adresse e-mail) est bien celui qu’utilise habituellement l’expéditeur. Derrière l’adresse <janemartin@votrebanque.com> se cache peut-être l’adresse <louche@societesuspecte.com>. Conseil de pro : si vous recevez un SMS suspect d’un numéro ne comportant que quelques chiffres, c’est potentiellement le signe que le message a été envoyé par un système automatisé et qu’il pourrait s’agir d’une escroquerie. Méfiez-vous également des liens dans les SMS suspects, car ils pourraient infecter votre appareil mobile.Fiez-vous à votre intuition
Les cybercriminels essaient d’exploiter la confiance que vous accordez à des entreprises réputées, à vos proches et même à vos collègues. Si vous recevez un message d’un proche de confiance, mais qu’il semble hors sujet ou qu’il contient une ‘demande urgente’, il n’est pas impossible que son compte ait été piraté, et qu’un tiers utilise ses identifiants pour envoyer des messages. Contactez la personne directement par un autre canal de communication de confiance pour confirmer la validité du message avant d’agir. Si la sécurité du compte d’un collègue vous turlupine, demandez de l’aide de votre équipe de sécurité ou votre SI.Votre gestionnaire de mots de passe peut vous aider à identifier des sites d’hameçonnage
Nous savons qu’utiliser un gestionnaire de mots de passe pour créer et stocker des mots de passe longs et uniques est essentiel pour renforcer notre posture de sécurité. Mais saviez-vous que votre gestionnaire de mots de passe peut également vous signaler les sites de phishing ? Imaginons que vous recevez un e-mail de phishing bien ficelé qui semble provenir de votre banque. Il a l’air parfaitement authentique, et vous cliquez donc sur le lien dans l’e-mail, vous êtes redirigé vers ce qui semble être le site de votre banque, et vous êtes invité à vous connecter avec vos identifiants. Si contrairement à son habitude, votre gestionnaire de mots de passe ne préremplit pas vos identifiants, c’est le signe qu’il n’a pas reconnu l’URL et que vous êtes peut-être sur un site de phishing. L’attention portée à ce détail peut vous empêcher d’offrir sur un plateau les identifiants de votre compte à un pirate.N’acceptez pas aveuglément les demandes d’authentification multifacteur (MFA)
La MFA est une deuxième couche de sécurité qui exploite un facteur supplémentaire pour valider votre identité. Prenons l’exemple de la connexion à un compte bancaire en ligne. Pour vérifier que vous êtes bien à l’origine de la tentative de connexion et qu’elle ne provient pas d’un pirate, vous êtes invité à saisir votre nom d’utilisateur et mot de passe, suivi d’une autre forme de vérification, comme un code envoyé par SMS au téléphone associé à votre compte, ou un code d’une application d’authentification. Si vous recevez une demande de MFA alors que vous ne vous êtes pas connecté au site web concerné, ignorez ou refusez la demande, et modifiez immédiatement votre mot de passe pour bloquer les tentatives de piratage de votre compte. En plus de ces conseils concernant le phishing, découvrez la manière dont LastPass protège votre vie numérique.Share this post via:
Abonnez-vous pour recevoir les derniers billets du blog LastPass
En vous abonnant, vous acceptez de recevoir des conseils sur la cybersécurité, des astuces LastPass, des nouvelles sur les mises à jour des produits, des ressources pour les administrateurs et des actualités sectorielles. Vous acceptez par ailleurs la Politique de confidentialité de LastPass.
