Aujourd'hui, avec le développement rapide et la distribution des vaccins contre la COVID, de nombreux Américains vont en ligne et partagent des informations personnelles pour s’inscrire sur les listes d'attente et prendre des rendez-vous avant que les créneaux ne soient remplis. Les escrocs modifient leurs tactiques pour tirer parti de cet enthousiasme. Alors que nous vérifions avec impatience nos emails pour les mises à jour et les confirmations des vaccins, il peut être difficile de distinguer un email légitime d'une tentative de phishing.

La meilleure façon de vous protéger contre les acteurs malveillants est d'apprendre à reconnaître les signes d'alerte. Connaître les signes d'alerte à l'avance vous rendra moins susceptible de cliquer sur cet email convaincant. Les membres du conseil d'administration de la National Cybersecurity Alliance, Cofense et Mimecast, ont capturé de vrais exemples de tentatives de phishing, visibles ci-dessous. Testez vos connaissances et voyez si vous pouvez détecter les signes d'une arnaque dans ces images.

Cette capture d'écran, réalisée par Mimecast, montre une tentative de phishing typique. Combien de signes d'alerte pouvez-vous trouver ? Continuez à faire défiler pour voir si vous les avez tous trouvés.

Plusieurs signes d'alerte d'une tentative de phishing peuvent être trouvés dans cet email :

1. Ligne d'objet – Notez l'utilisation de toutes les lettres majuscules et des points d'exclamation. Le texte et le format sont utilisés pour créer un sentiment d'urgence, essayant de vous faire cliquer sur l'email en panique, rapidement et sans réfléchir.

2. Imitation d'une source de confiance – Ce phishing, probablement envoyé aux employés d'une entreprise, prétend provenir d'un département des ressources humaines. Les acteurs malveillants prétendront être des personnes ou des groupes que vous connaissez déjà pour gagner votre confiance. Si vous n'êtes pas sûr qu'un email provienne vraiment de quelqu'un, contactez ou appelez cette personne directement pour vérifier.

3. Fautes et erreurs d'orthographe – Une mauvaise grammaire peut être observée dans tout le corps de l'email, ainsi que des majuscules aléatoires de certains mots comme “Vaccinated”. On s’attendrait à ce qu'un email venant du département RH d'une organisation utilise une formulation et une grammaire correctes. La combinaison d'un formatage étrange, de lettres capitalisées et d'une grammaire étrange rend cet email suspect.

4. Hyperliens – Le contenu de l'email essaie de pousser le destinataire à cliquer sur l'hyperlien en bas de l'email. Soyez toujours méfiant avant de cliquer sur des liens (et des pièces jointes) dans les emails, car ils peuvent vous mener à un site frauduleux.

Mimecast suggère les conseils suivants pour éviter les arnaques:

1. Être proactif. Allez directement sur le site web de votre administration locale/hôpital pour vérifier les faits et obtenir les bonnes informations.

2. Méfiez-vous des emails, appels téléphoniques ou messages provenant de personnes que vous ne connaissez pas, essayant d'attirer votre attention avec des mises à jour sur les vaccins.

3. Vérifiez toujours les URLs. Les pirates créent des sites qui ressemblent à des institutions de santé officielles et à des fournisseurs de vaccins. Accédez directement aux sites officiels tels que CDC.gov et le site officiel de votre État/ville.

4. Utilisez des mots de passe forts et uniques pour tous vos comptes lorsque vous créez un compte et utilisez MFA/2FA chaque fois que possible.

5. Ne vous connectez pas à des réseaux que vous ne reconnaissez pas. Recherchez des informations sur les vaccins sur votre réseau WiFi domestique sécurisé, qui devrait être protégé par un mot de passe fort.

6. Soyez très prudent si vous utilisez un appareil appartenant à l'entreprise. Les acteurs malveillants cherchent à accéder à l'organisation pour laquelle vous travaillez, dans le but de voler des données.

7. Assurez-vous que votre appareil dispose des mises à jour et correctifs les plus récents.

8. Soyez à l'affût des tentatives de Vishing – Soyez très suspicieux envers tout appelant qui vous demande de partager des informations de connexion par téléphone. Une bonne règle pour détecter les tentatives de vishing et de phishing est de vous demander si vous attendiez l'appel ou le message. Si ce n'est pas le cas, contactez directement l'entreprise pour vérifier si le message ou l'appel est bien réel.

La tentative de phishing ci-dessous, capturée par Cofense, est un peu plus détaillée, mais contient toujours de nombreux signes d'alerte :

Signes d'alerte dans cette tentative de phishing :

1. Ligne d'objet – Encore une fois, notez l'utilisation de toutes les lettres majuscules et de la phrase “très important” essayant de faire cliquer le destinataire sur l'email sans réfléchir.

2. Lien de sondage – L'URL imite la célèbre plateforme de sondage SurveyMonkey, mais notez l'orthographe incorrecte et l'absence de domaine de premier niveau (le segment qui suit généralement le nom de domaine, comme .com ou .org)

3. Hyperlien de sondage – La boîte adjacente au lien apparaît lorsque vous survolez une URL. Survoler une URL vous montrera la véritable destination de l'hyperlien. La destination peut ne pas correspondre au texte dans l'email, comme dans cet exemple. C'est un signe d'alerte majeur indiquant que quelqu'un essaie de vous rediriger vers un site non sécurisé.

4. Fautes et erreurs d'orthographe – Ce phishing a une meilleure grammaire que le précédent, mais des erreurs telles que “Survey’s” et la capitalisation de “Today” montrent que quelque chose dans l'email est suspect.

5. Imitation d'une source de confiance – Encore une fois, cet escroc prétend être un membre du département des ressources humaines d'une organisation. Cependant, ce expéditeur est un peu plus détaillé que le précédent. Il a inclus un nom et un titre précis: “Dawn, Directrice des Ressources Humaines”, ce qui fait qu’il est plus probable que cet email provienne d'un expéditeur légitime.

De nombreux emails, messages texte et appels téléphoniques utilisent des messages plus sophistiqués, avec de moins en moins de signes d'alerte évidents. Souvenez-vous de lire les messages attentivement. Il est toujours important de ralentir, de doubler vérifier l'expéditeur et de vous demander si vous attendiez le message ou l'appel téléphonique en question.

Confense propose les conseils suivants pour vous protéger contre le phishing :

• Validez la source de l'email par rapport aux sites web officiels du gouvernement (par exemple CDC, OMS, ou les sites des départements de santé des villes et États locaux).

• Si l'expéditeur est quelqu’un avec qui vous interagissez généralement mais que le message semble 'bizarre', vérifiez avec lui par un autre canal (téléphone, texto ou nouveau message email). Il est possible que son compte ait été compromis.

• Ne donnez jamais vos informations personnelles à des sources non fiables, incluant votre nom d'utilisateur et mot de passe.

• Créez des noms d’utilisateur et mots de passe uniques par site web et / ou applications. De nombreux sites web et applications vous permettent maintenant de créer un nom d'utilisateur qui n'est pas votre adresse email.

• Mettez en place un coffre de mots de passe pour stocker tous ces identifiants uniques. Prenez l'habitude d'ouvrir le coffre chaque fois que vous créez un nouvel identifiant pour un site web ou une application.

• Activez l'authentification multifactorielle (MFA ou 2FA) pour tout site web ou application offrant cette possibilité. Si vos informations de connexion sont obtenues lors d'une violation de données, c'est une couche supplémentaire de protection.

• Si vous êtes averti d'une violation de données affectant vos informations de connexion, changez-les immédiatement et mettez à jour votre coffre.

Ressources supplémentaires :

1. Épisode 4 de Sensibilisation à la Sécurité : Phishing et Rançongiciel, du NCSA, Adobe et Speechless Inc

2. Testez vos connaissances en matière de phishing, essayez le Quiz Phishing de Google

3. Blog et centre de ressources gratuites de Cofense

4. Blog et centre de ressources de Mimecast

   • Rapport de Mimecast, “L’année de la Distanciation Sociale”, sur les défis en matière de sécurité du nouvel espace de travail numérique.