Le phishing est lorsque les cybercriminels utilisent des emails, des publications sur les réseaux sociaux ou des messages directs pour vous tromper afin que vous cliquiez sur des liens nuisibles ou téléchargiez des fichiers malveillants. Le phishing est une attaque courante de « social engineering » dans laquelle un hacker tente de vous tromper au lieu d'attaquer directement votre système. Tomber dans un piège de phishing peut exposer vos informations personnelles, comme des mots de passe ou des numéros de carte de crédit, et peut même conduire les cybercriminels à installer des logiciels malveillants sur votre appareil. 

Mais avec un peu de connaissances, vous pouvez devenir un expert en détection des tentatives de phishing et ne pas mordre à l'hameçon. De plus, vous pouvez bloquer et signaler les emails de phishing pour retirer les filets de phishing.

À quoi ressemble un email de phishing ? 

Les escrocs déguisent souvent les emails de phishing en messages provenant d'organisations ou de personnes de confiance, mais il y a des signes révélateurs qui les trahissent. Voici ce qu'il faut rechercher :  

• Offres qui semblent trop belles pour être vraies. Le message promet-il de l'argent gratuit, des articles de luxe ou des offres exclusives trop belles pour être vraies ? Drapeau rouge ! Idem, si vous avez gagné un concours auquel vous ne vous souvenez pas avoir participé !

• Langage urgent ou menaçant. Attention aux phrases comme "Votre compte sera supprimé !" ou "Agissez maintenant !" qui sont conçues pour vous paniquer. Ils pourraient même dire que votre ordinateur a été piraté ou que vous êtes en état d'arrestation.

• Demandes d'informations personnelles. Les entreprises légitimes ne vous demanderont jamais de détails sensibles comme des mots de passe par email.

• Demandes professionnelles étranges. Une demande soudaine de paiement ou de données privées ? Une facture que vous ne reconnaissez pas ? Faites une pause et interrogez la légitimité.

• Adresses d'expéditeur dépareillées. Avant d'ouvrir un email contenant des données sensibles ou de l'argent, vérifiez toujours l'adresse email de l'expéditeur pour détecter des domaines étranges ou des fautes de frappe légères.

• Liens ou pièces jointes inconnus. Survolez les liens pour vérifier où ils mènent. S'ils semblent suspects (par exemple, pavpal.com au lieu de paypal.com), ne cliquez pas. Ne téléchargez jamais une pièce jointe d'un expéditeur que vous ne reconnaissez pas, et même si vous reconnaissez l'expéditeur, utilisez votre antivirus de messagerie pour l'analyser.

• Contenu mal rédigé. Recherchez les mauvaises grammaires, les formulations maladroites ou les fautes d'orthographe—les entreprises professionnelles ne font rarement ces erreurs. Cependant, la grammaire de nombreux emails de phishing s'améliore avec la propagation rapide des systèmes d'intelligence artificielle. 

• Formules de salutation génériques. Méfiez-vous des ouvertures vagues comme "Cher client" au lieu de votre nom. 

Qu'est-ce qu'un sentiment d'urgence dans le phishing ? 

Les cybercriminels se concentrent sur la manipulation de vos émotions avec leurs emails de phishing. Le drapeau le plus rouge pour les emails de phishing est un « sentiment d'urgence », où vous vous sentez obligé d'agir rapidement. Les escrocs veulent que vous agissiez vite pour cliquer avant de réfléchir ! 

Dans les messages de phishing, un sentiment d'urgence peut être négatif ou positif. 

• Exemples de sentiment d'urgence positif : vous avez gagné un prix, on vous doit de l'argent, vous pouvez bénéficier d'une offre exclusive.  

• Exemples de sentiment d'urgence négatif : Vous avez été piraté, l'IRS vous enquête, des criminels vous enregistrent via votre webcam, un mandat d'arrêt a été lancé contre vous.  

Même si les messages sont dérangeants et inquiétants, il est important de se rappeler que presque tous les messages envoyés à votre boîte de réception email ou DM de réseau social concernant des questions graves, comme des audits de l'IRS, sont des escroqueries. Les escrocs diront qu'ils ont des images embarrassantes de vous pour attirer votre attention et votre argent – ne leur donnez pas.  

Prenez 5 secondes avec chaque email 

Vous pouvez généralement repérer les signaux d'un email de phishing en prenant cinq secondes par email. Avant de cliquer sur un lien, d'envoyer des informations ou de télécharger une pièce jointe, respirez et réfléchissez si l'email est un phishing. Demandez à un collègue, un ami ou un membre de la famille si le message semble étrange. Aucun email n'a besoin d'une réponse en moins d'une minute.  

Quand les escrocs connaissent votre nom : le spearphishing 

Parfois, les cybercriminels passent du temps à personnaliser un email de phishing juste pour vous. Ils peuvent connaître votre nom, votre travail, votre adresse ou les noms des personnes que vous connaissez. Ils peuvent obtenir ces données à partir des réseaux sociaux ou d'autres sources publiques. Cela s'appelle le « spearphishing », car l'escroc doit vous cibler spécifiquement avec son message.  

Pour cette raison, méfiez-vous de tout message inattendu avec un sentiment d'urgence, même si l'expéditeur semble savoir qui vous êtes.

Que faire si vous repérez un message de phishing

Attrapé une tentative de phishing ? Voici comment la gérer : 

1. Restez calme et ne cliquez pas. Ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe. Même le lien de désinscription peut être un piège. Ne répondez pas à l'email.

2. Signalez l'email : 

   1. Au travail : Informez immédiatement votre département IT ou responsable de sécurité. 

   2. À la maison : De nombreuses plateformes email ont une fonction “Signaler Phishing”. Utilisez-la pour les alerter :

      1. Signalez un phishing sur Outlook.

      2. Signalez un phishing sur Gmail.  

      3. Signalez un phishing sur Mac Mail. 

3. Bloquez l'expéditeur. Faites un pas de plus en bloquant l'expéditeur dans votre programme de messagerie.

4. Supprimez l'email. Supprimez le message. Ne répondez pas et ne vous engagez pas avec l'expéditeur.

Protégez votre lac avant que le phishing ne frappe 

Les emails de phishing peuvent passer à travers votre filtre anti-spam, il est donc crucial de rester proactif. Adopter quelques comportements clés en cybersécurité peut vous aider à vous protéger lorsque le phishing se produit. 

• Activez l'authentification multifactorielle (MFA) chaque fois que possible pour ajouter une couche de sécurité supplémentaire. 

• Utilisez des mots de passe forts et uniques et stockez-les en toute sécurité dans un gestionnaire de mots de passe. Chaque mot de passe doit comporter au moins 16 caractères et être unique au compte.  

• Gardez tous les logiciels et appareils à jour pour corriger les vulnérabilités exploitées par les cybercriminels.

Signalement du phishing fait une différence 

En signalant les tentatives de phishing, vous vous protégez et aidez à empêcher les autres de devenir victimes. Les fournisseurs de messagerie et les équipes IT utilisent vos signalements pour bloquer ces escrocs et améliorer les mesures de sécurité. Veuillez signaler et bloquer !

Pensez avant de cliquer 

Vous pouvez rester un pas en avant des escrocs de phishing. Rappelez-vous : si quelque chose vous semble étrange, faites confiance à vos instincts. Vous pouvez même demander à un ami d'y jeter un œil. Réfléchissez quelques secondes avant de cliquer, et vous serez bien en voie de rester en sécurité en ligne.