{"id":964,"date":"2015-10-17T19:34:54","date_gmt":"2015-10-17T18:34:54","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog\/?p=964"},"modified":"2018-10-27T06:26:20","modified_gmt":"2018-10-27T04:26:20","slug":"10-indices-hameconnage","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/10-indices-hameconnage","title":{"rendered":"10 trucs pour reconna\u00eetre un mail d’hame\u00e7onnage"},"content":{"rendered":"

Chaque jour d’innombrables courriels d’hame\u00e7onnage\u00a0sont envoy\u00e9s \u00e0 des victimes sans m\u00e9fiance dans le monde entier. Certains d’entre eux apparaissent\u00a0si bizarres qu’ils sont faciles \u00e0 identifier. A\u00a0l’inverse, \u00a0d’autres peuvent \u00eatre plus convaincants. Alors, comment faire\u00a0la diff\u00e9rence entre un message de phishing et un message l\u00e9gitime?<\/em><\/p>\n

\"10<\/a>
Cr\u00e9dits : \u00a9 Weerapat1003<\/figcaption><\/figure>\n

L’hame\u00e7onnage est aujourd’hui au coeur de l’ing\u00e9nierie sociale<\/a>. Il constitue donc une pr\u00e9occupation majeure pour de nombreuses soci\u00e9t\u00e9s. Dans une r\u00e9cente enqu\u00eate (Black Hat Attendee Survey<\/a> r\u00e9alis\u00e9e lors de la conf\u00e9rence de Juillet 2015 aux USA) 48% des participants consid\u00e8rent le l’hame\u00e7onnage et les autres risques li\u00e9s \u00e0 l’ing\u00e9nierie sociale comme le 2\u00e8me souci le plus important pour eux\u00a0avec 22% de leur budget informatique\u00a0en moyenne consacr\u00e9 \u00e0 ce sujet.<\/p>\n

Comment reconna\u00eetre une tentative d’hame\u00e7onnage?<\/strong><\/h2>\n

Malheureusement, il n’y a pas qu’une seule technique qui fonctionnerait dans toutes les situations. Il est, par cons\u00e9quent, difficile de d\u00e9tecter un email d’hame\u00e7onnage. Cependant il existe des indices qui permettent d’\u00e9veiller les soup\u00e7ons. Cet article r\u00e9pertorie 10 d’entre eux.<\/p>\n

1. Le message comporte une URL bizarre<\/h3>\n

Une des premi\u00e8res choses que je vous recommande\u00a0de v\u00e9rifier dans un message e-mail suspect est l’int\u00e9grit\u00e9 et la coh\u00e9rence de toutes les URL pr\u00e9sentes dans le message. Souvent l’URL dans un message de phishing appara\u00eet parfaitement valable. Toutefois, si vous passez votre souris au dessus\u00a0de l’URL, vous devriez voir l’adresse r\u00e9elle du lien hypertexte (au moins dans Outlook). Si l’adresse du lien hypertexte est diff\u00e9rente de l’adresse qui est affich\u00e9e en clair, alors il y a une forte probabilit\u00e9 que le\u00a0message soit\u00a0frauduleux ou malveillant.<\/p>\n

2. Les URLs\u00a0contiennent un nom de domaine trompeur<\/h3>\n

Les pirates\u00a0qui utilisent la technique de l’hame\u00e7onnage pour lancer des escroqueries utilisent le plus\u00a0souvent ll’ignorance, par leurs victimes, du fonctionnement et\u00a0des r\u00e8gles de nommage li\u00e9es \u00e0\u00a0la structure des DNS. La derni\u00e8re partie d’un nom de domaine est le plus r\u00e9v\u00e9lateur. Par exemple, le nom de domaine office.microsoft.com serait un domaine enfant de microsoft.com parce microsoft.com\u00a0appara\u00eet \u00e0 la fin du nom de domaine complet (sur le c\u00f4t\u00e9 droit), ce qui peut laisser penser que le domaine appartient bien \u00e0 Microsoft. Inversement, microsoft.com32.info ne saurait\u00a0\u00e9videmment pas provenir de microsoft.com\u00a0parce que la r\u00e9f\u00e9rence \u00e0\u00a0microsoft\u00a0appara\u00eet au d\u00e9but (sur la partie gauche) du lien complet.<\/p>\n

\n

ATTENTION, dans la r\u00e9alit\u00e9, le\u00a0domaine microsoft.com32.info existe vraiment. N’essayez donc pas d’y acc\u00e9der car vous risquez l’installation d’un ransomware qui bloquera votre navigateur web en se faisant passer pour les autorit\u00e9s et vous r\u00e9clamera le paiement d’une\u00a0amende.<\/span><\/em><\/strong><\/p>\n<\/blockquote>\n

J’ai\u00a0vu cette astuce utilis\u00e9e de nombreuses fois par des artistes de l’hame\u00e7onnage\u00a0pour\u00a0essayer de convaincre les victimes qu’un message provient bien d’une soci\u00e9t\u00e9 comme Microsoft ou Apple. L’artiste du\u00a0phishing cr\u00e9e simplement un domaine enfant portant le nom de Microsoft, Apple, Windows, ou autre. Le nom de domaine r\u00e9sultant ressemble \u00e0 ceci: microsoft.com32.info\u00a0ou encore windows-crash-report.info\/Windows\/<\/p>\n

3. Le mail contient des fautes d’orthographe ou de grammaire<\/h3>\n

Chaque fois qu’une grande entreprise envoie un message au nom de la soci\u00e9t\u00e9 dans son ensemble, le message est g\u00e9n\u00e9ralement v\u00e9rifi\u00e9 au niveau, entre autres, de\u00a0l’orthographe, de la grammaire et de la l\u00e9galit\u00e9. Donc, si vous recevez un message rempli de fautes de\u00a0grammaire ou d’orthographe, il a tr\u00e8s peu de chance qu’il \u00e9mane\u00a0du d\u00e9partement juridique d’une grande soci\u00e9t\u00e9.<\/p>\n

4. Le message vous demande des informations personnelles<\/h3>\n

Peu importe \u00e0 quoi\u00a0un email officiel pourrait ressembler, c’est toujours un mauvais pr\u00e9sage\u00a0si le message vous demande des renseignements personnels. Votre banque n’a pas besoin de vous pour conna\u00eetre\u00a0votre num\u00e9ro de compte! C’est elle qui vous l’a attribu\u00e9. De m\u00eame, une entreprise digne de confiance r\u00e9clamera\u00a0jamais<\/strong> \u00a0votre mot de passe, votre num\u00e9ro de carte de cr\u00e9dit, ou la r\u00e9ponse \u00e0 une question de s\u00e9curit\u00e9 par e-mail<\/strong>.<\/p>\n

5. L’offre contenue dans le mail est trop belle pour \u00eatre vraie<\/h3>\n

Il y a un vieil adage\u00a0qui dit que si quelque chose semble trop beau pour \u00eatre vrai, alors \u00e7a\u00a0l’est probablement. Ceci\u00a0est particuli\u00e8rement vrai pour les messages \u00e9lectroniques. Si vous recevez un message d’une personne inconnue qui fait de belles\u00a0promesses, c’est probablement d’une arnaque.<\/p>\n

6. Vous n’avez rien demand\u00e9<\/h3>\n

Ce matin encore, j’ai re\u00e7u\u00a0un message m’informant que\u00a0j’avais gagn\u00e9 le gros lot \u00e0 la loterie !!!! Le seul probl\u00e8me, c’est que je n’ai\u00a0achet\u00e9 aucun billet de loterie. Si vous recevez\u00a0un message vous informant que vous avez gagn\u00e9 un concours, un lot \u00e0 loterie ou que sais-je encore sans avoir particip\u00e9 volontairement \u00e0 quoi que ce soit, vous pouvez parier que le message est une arnaque.<\/p>\n

7. On vous demande d’envoyer de l’argent pour payer des frais<\/h3>\n

Un signe r\u00e9v\u00e9lateur d’un email d’hame\u00e7onnage\u00a0est qu’on vous finit par vous\u00a0demander de l’argent. Il est possible qu’on ne vous demande rien\u00a0dans le message initial. Mais t\u00f4t ou tard, les escrocs au\u00a0phishing vont probablement vous demander de l’argent pour couvrir des frais, taxes, redevances, ou quelque chose de semblable. Si cela se produit, vous pouvez \u00eatre quasiment certain qu’il s’agit d’une arnaque.<\/p>\n

8. Le message vous adresse des menaces irr\u00e9alistes<\/h3>\n

Bien que la plupart des escroqueries par phishing tentent de tromper les gens en leur demandant\u00a0de l’argent ou des informations sensibles en leur promettant\u00a0des gains d’argent instantan\u00e9s, certains artistes de l’hame\u00e7onnage\u00a0utilisent l’intimidation pour effrayer les victimes en donnant des informations. Si un message fait des menaces irr\u00e9alistes, il s’agit\u00a0probablement d’une arnaque.<\/p>\n

\n

Il ya 10 ans, je re\u00e7us un message \u00e9lectronique, d’apparence officielle,\u00a0\u00e9manant\u00a0pr\u00e9tendument de ma banque. Tout dans le message\u00a0semblait compl\u00e8tement l\u00e9gitime, sauf une chose. Le message pr\u00e9tendait\u00a0que la s\u00e9curit\u00e9 de mon\u00a0compte avait \u00e9t\u00e9 compromise et que si je ne remplissais pas\u00a0un formulaire (sur lequel on me demandait mon num\u00e9ro de compte) ainsi que deux pi\u00e8ces d’identit\u00e9 avec photo, mon compte serait\u00a0ferm\u00e9\u00a0et mes biens saisis.<\/p>\n

Je ne suis pas un avocat, mais je suis s\u00fbr qu’il est ill\u00e9gal pour une banque de fermer votre compte et de saisir vos biens simplement parce que vous n’avez pas r\u00e9pondu \u00e0 un message \u00e9lectronique. De plus, le seul compte que\u00a0j’ai eu\u00a0dans cette banque\u00a0\u00e9tait un cr\u00e9dit pour l’achat d’un v\u00e9hicule. Il n’y avait pas de d\u00e9p\u00f4t \u00e0 saisir. Je n’avais aucun compte de d\u00e9p\u00f4t ou d’\u00e9pargne dans cette banque.<\/p>\n<\/blockquote>\n

9. Le mail semble \u00e9maner d’un service public (imp\u00f4ts, s\u00e9curit\u00e9 sociale, …)<\/h3>\n

Les professionnels de l’hame\u00e7onnage\u00a0qui veulent recourir \u00e0 l’intimidation ne se pr\u00e9sentent\u00a0pas toujours comme une banque. Parfois, ils vont envoient\u00a0des messages pr\u00e9tendant provenir d’un organisme public. Le Tr\u00e9sor, la direction des imp\u00f4ts, la police, le tribunal ou\u00a0toute autre entit\u00e9 susceptible\u00a0d’effrayer ou de tenter le citoyen moyen respectueux de la loi sont souvent utilis\u00e9s.<\/p>\n

\"hame\u00e7onnage<\/a>
Exemple de mail d’hame\u00e7onnage utilisant les imp\u00f4ts comme argument<\/em><\/figcaption><\/figure>\n

Les organismes publics\u00a0n’utilisent pratiquement jamais l’e-mail comme moyen\u00a0de contact initial. Cela ne veut pas dire que organismes gouvernementaux et ceux charg\u00e9s de l’application de la loi n’utilisent jamais d’e-mails. Toutefois, les organismes charg\u00e9s d’appliquer la loi suivent certains protocoles. Ils ne participent pas \u00e0 l’extorsion de fonds par-email, du moins selon mon exp\u00e9rience.<\/p>\n

10. Il y a quelque chose qui vous semble suspect<\/h3>\n

Les \u00e9quipes de s\u00e9curit\u00e9 des casinos sont form\u00e9es \u00e0 regarder tout ce qui leur semble suspect. L’id\u00e9e est que si quelque chose vous semble bizarre, il ya probablement une bonne raison \u00e0 cela. Ce m\u00eame principe vaut presque toujours pour les\u00a0e-mails. Si vous recevez un message qui semble suspect, il est g\u00e9n\u00e9ralement dans votre int\u00e9r\u00eat d’\u00e9viter d’agir sur ce\u00a0message.<\/p>\n

Comment \u00e9viter que votre personnel se fasse pi\u00e9ger?<\/strong><\/h2>\n

Tous les professionnels s’accordent sur un fait. La premi\u00e8re chose \u00e0 faire consiste \u00e0 mener des campagnes de sensibilisation et de formation du personnel. En effet la s\u00e9curit\u00e9 de l’information est une responsabilit\u00e9 collective de tous les employ\u00e9s et pas seulement du personnel informatique ou charg\u00e9 de la s\u00e9curit\u00e9. C’est donc l’ensemble du personnel qui doit \u00eatre form\u00e9.<\/p>\n

Nous vous conseillons \u00e9galement la lecture de notre article : Phishing, mode d’emploi<\/a>.<\/p>\n

Quelles formations choisir?<\/h3>\n

Il est inutile de d\u00e9penser votre argent dans des formations inutiles. Il faut d’abord sensibiliser le personnel non informatique. <\/strong><\/em>Cette sensibilisation portera\u00a0sur l’hame\u00e7onnage et les autres aspects de l’ing\u00e9nierie sociale. D<\/strong>es<\/em> s\u00e9ances de sensibilisation de quelques heures (4 \u00e0\u00a08 heures) sont suffisantes<\/strong><\/em>. \u00a0Inutile donc de former l’ensemble du personnel sur des formations ISO 27001 Foundation ou ISO 27001 Lead Impl\u00e9menter… Ces formations sont r\u00e9serv\u00e9es aux sp\u00e9cialistes de la s\u00e9curit\u00e9 impliqu\u00e9s dans l’impl\u00e9mentation d’un syst\u00e8me de management de la s\u00e9curit\u00e9, en vue de la certification de l’Entreprise.<\/p>\n

Pour le Conseil d’Administration et le Comit\u00e9 de Direction<\/h3>\n

Pour sensibiliser le Conseil d’Administration et les membres du Comit\u00e9 de Direction sur les risques et leurs responsabilit\u00e9s en mati\u00e8re de s\u00e9curit\u00e9 de l’information :<\/p>\n

COBIT\u00ae 5 pour le Board et les Ex\u00e9cutifs<\/a>\u00a0(1 jour)<\/p>\n

RESILIA – Sensibilisation<\/a>\u00a0 (1 jour)<\/p>\n

Introduction \u00e0 la s\u00e9curit\u00e9 du SI bas\u00e9e sur ISO 27001 \/ ISO 27002<\/a> (1 jour)<\/p>\n

Pour le personnel non informatique<\/h3>\n

RESILIA – Sensibilisation<\/a> (1 jour)<\/p>\n

Introduction \u00e0 la s\u00e9curit\u00e9 du SI bas\u00e9e sur ISO 27002<\/a> (1 jour)<\/p>\n

Pour le personnel du d\u00e9partement informatique<\/h3>\n

ISO 27001 Foundation<\/a> (3 jours) – Pour les organisations souhaitant impl\u00e9menter un syst\u00e8me de management de la s\u00e9curit\u00e9 de l’information bas\u00e9 sur ISO 27001<\/p>\n

ISO 27002 Foundation<\/a> (3 jours) – Bonnes pratiques de mise en oeuvre de la s\u00e9curit\u00e9 de l’information dans une entreprise ne cherchant pas la certification ISO 27001<\/p>\n

RESILIA Foundation<\/a> (3 jours) – Bonnes pratiques en mati\u00e8re de cyber-s\u00e9curit\u00e9 et de cyber-r\u00e9silience. S’int\u00e8gre parfaitement avec ITIL\u00ae<\/p>\n

Pour le personnel sp\u00e9cialis\u00e9 en s\u00e9curit\u00e9 de l’information<\/h3>\n

ISO 27001 Practitioner<\/a> (2 jours) – Pour les personnels charg\u00e9s de la s\u00e9curit\u00e9 dans une organisation impl\u00e9mentant ou ayant impl\u00e9ment\u00e9 un syst\u00e8me de management de la s\u00e9curit\u00e9 bas\u00e9 sur ISO 27001<\/p>\n

ISO 27002 Advanced<\/a> (3 jours) – Expertise dans l’application de bonnes pratiques de gestion de la s\u00e9curit\u00e9 d\u00e9crites dans ISO 27002<\/p>\n

RESILIA Practitioner<\/a> (2 jours) – Pour les personnels en charge de mettre en oeuvre et d’appliquer les bonnes pratiques de cyber-s\u00e9curit\u00e9 et de cyber-r\u00e9silience dans l’Entreprise<\/p>\n

NIST Implementation based on COBIT\u00ae 5<\/p>\n

Pour les \u00e9quipes de contr\u00f4le interne ou d’audit interne<\/h3>\n

ISO 27001 Auditor<\/a> (2 jours)<\/p>\n

Pour les experts et les consultants \/ auditeurs<\/h3>\n

ISO 27001 Lead Implementer<\/a> (5 jours)<\/p>\n

ISO 27001 Lead Auditor<\/a> (5 jours)<\/p>\n

CISM – Certified Information Security Manager<\/a> (4 jours)<\/p>\n

CISSP – Certified Information Systems Security Professional<\/a> (5 jours)<\/p>\n

2AB & Associates, sp\u00e9cialiste de la s\u00e9curit\u00e9 et de la r\u00e9silience, et seul Organisme de formation accr\u00e9dit\u00e9 par les organisations internationales (ISACA, ISO, ANSI, AXELOS, APMG, EXIN, PEOPLECERT, PECB) en Afrique, vous propose toute sa\u00a0gamme des formations accr\u00e9dit\u00e9es. <\/strong>Nous pouvons \u00e9galement vous proposer nos services d’impl\u00e9mentation et d’audit<\/a> sur ces domaines ainsi que sur la Gouvernance et le Management de votre syst\u00e8me d’information.<\/em><\/p>\n

Pour tout compl\u00e9ment d’information ou si vous avez \u00e9t\u00e9 vous-m\u00eame victime d’une tentative d’hame\u00e7onnage (phishing), merci de nous laisser votre commentaire.<\/strong><\/em><\/p>\n

Partager\u00a0:<\/h3>