Comment repérer un email de phishing

Les menaces à la sécurité sont de toutes formes et de toutes tailles. Vous avez probablement entendu parler de virus, chevaux de Troie, enregistreurs de frappe et, plus récemment, de ransomware. Vous voulez savoir ce qu'ils ont tous en commun? Ils peuvent tous être le résultat d'un phishing.

Le mot lui-même est homophone; Les pirates informatiques utilisent des appâts - généralement sous la forme d'un fichier ou d'un lien apparemment légitime - pour "faire du phishing" auprès des victimes. Et comme cet appât se propage généralement par courrier électronique, il est difficile pour un logiciel de sécurité de filtrer. C'est ce qui le rend si pernicieux.

Un triste exemple d'entreprise 'phishing'

Histoire vraie: Il y a quelques années, les affaires de mon beau-frère ont été violées par un ransomware. Ce code horrible a crypté presque tous les fichiers de données - documents Word, feuilles de calcul Excel, etc. - et les a littéralement conservés contre rançon. S'il voulait récupérer ses données, le prix serait de 700 $.

Selon un professionnel de la sécurité engagé pour aider, le ransomware est entré lorsqu'un des propriétaires a ouvert une pièce jointe contenant le message "Mon CV" - une action apparemment anodine, d'autant plus que l'entreprise embauchait activement.

L'hameçonnage peut également entraîner un vol d'identité et même vous empêcher d'accéder à votre téléphone. Mais attendez, un logiciel de sécurité n'est-il pas censé vous protéger de telles menaces? C’est le cas, mais c’est ce qui rend le phishing si sournois: il se présente sous la forme de courriels et de cajoles apparemment inoffensifs ou qui vous effrayent, généralement en cliquant sur un lien ou en ouvrant un fichier. Et souvent c'est tout ce qu'il faut.

Bien que beaucoup de gens connaissent bien cette pratique et sachent quoi chercher, je suppose qu'il y a encore beaucoup de gens qui en sont victimes. Heck, je me considère comme un expert en matière de prévention du phishing, et pourtant, j'ai eu quelques erreurs momentanées qui m'ont presque conduit à cliquer sur un lien frauduleux.

Comment repérer un faux email

Ci-dessous, j'ai partagé un email contenant des signes révélateurs d'infiltration d'hameçonnage. Notez que, du fait que je suis un utilisateur de PayPal, le courrier électronique a certainement attiré mon attention - du moins au début.

  1. Comme beaucoup de gens, j'ai plusieurs adresses électroniques. Mais ce message est arrivé à une adresse qui n'est pas liée à mon compte PayPal. De plus, le champ "À" est vide, signe évident qu'il ne venait pas de PayPal.
  2. Une mauvaise grammaire et une mauvaise orthographe sont des signes révélateurs du phishing. Les grandes entreprises engagent des rédacteurs professionnels (et des éditeurs) pour leurs communications par courrier électronique.
  3. Mon nom manque. La salutation se lit simplement, "Bonjour, [blanc]." Je suis sûr que PayPal communiquera avec moi par mon nom.
  4. Un autre indice fort: c’est un faux: je ne me suis pas contenté de s’inscrire à PayPal. Maintenant, vous pourriez penser: "Oh, non, quelqu'un a créé un compte PayPal à mon nom!" Encore une fois, il s’agit d’une tactique de peur (et d’une tactique faible) conçue pour vous amener à cliquer sur le bouton bleu invitant. Si vous le faisiez, vous seriez probablement dirigé vers un site qui ressemble assez à PayPal, avec un formulaire demandant toutes sortes d'informations personnelles, y compris un numéro de carte de crédit. Alternativement, vous pourriez atterrir sur un site qui installe furtivement un tas de logiciels espions et / ou de virus.

C'était un phishing bâclé. Mais il y en a beaucoup plus rusés, comme "votre compte a été compromis!" ou "FedEx a une livraison à vous attendre", des courriers électroniques qui semblent identiques à la réalité.

Heureusement, il est assez facile de se protéger contre de tels incidents.

Comment éviter de se faire prendre dans un filet d'hameçonnage

Toujours être méfiant. Les e-mails de phishing tentent de vous faire peur avec des avertissements d’informations volées ou pires, puis vous proposent une solution de facilité si vous ne faites que "cliquer ici". (Ou l'inverse: "Vous avez gagné un prix! Cliquez ici pour le récupérer!") En cas de doute, ne cliquez pas. Au lieu de cela, ouvrez votre navigateur, rendez-vous sur le site Web de l'entreprise, puis connectez-vous normalement pour voir s'il y a des signes d'activité étrange. Si cela vous concerne, changez votre mot de passe.

Vérifiez l'orthographe et la grammaire. La plupart des missives venant de l'extérieur des États-Unis sont parsemées de fautes d'orthographe et de mauvaises grammaires. Comme je l'ai indiqué précédemment, les grandes entreprises engagent des professionnels pour s'assurer que leurs courriels contiennent une prose parfaite. Si vous en cherchez un qui ne le fait pas, c'est presque certainement un faux.

Renforcez votre navigateur. Un clic accidentel sur un lien de phishing ne signifie pas nécessairement désastre. McAfee SiteAdvisor et Web of Trust sont des add-ons gratuits du navigateur qui vous avertissent si le site que vous êtes sur le point de visiter est suspecté d'activité malveillante. Ils sont comme des flics de la circulation qui vous arrêtent avant de tourner une rue dangereuse.

Utilisez votre téléphone. Si vous consultez des courriels sur votre téléphone, il peut être plus difficile de repérer une tentative de phishing. Vous ne pouvez pas "survoler" un lien douteux, et l'écran plus petit vous rend moins susceptible de repérer des gaffes évidentes. Bien que de nombreux navigateurs téléphoniques (et systèmes d'exploitation) soient à l'abri des sites et téléchargements nuisibles, il est toujours bon de faire preuve de prudence lors de l'utilisation de liens suspects. (Évidemment, vous ne devriez toujours pas remplir un formulaire demandant votre mot de passe ou d'autres informations personnelles.) Les utilisateurs d'Android en particulier doivent être conscients des risques potentiels.

Surtout, faites confiance au bon sens. Vous ne pouvez pas gagner un concours auquel vous n'avez pas participé. Votre banque ne vous contactera pas avec une adresse email que vous n'avez jamais enregistrée. Microsoft n'a pas "détecté à distance un virus sur votre PC". Connaissez les signes d’avertissement, réfléchissez avant de cliquer, et ne communiquez jamais votre mot de passe ou vos informations financières sans être correctement connecté à votre compte.

Avez-vous d'autres conseils antiphishing à partager? Chargez-les dans les commentaires.

Mise à jour du 5 septembre: Cet article a été publié le 22 juin 2015 et a depuis été mis à jour.

Articles Populaires

Comment fonctionne le trackpad Force Touch du MacBook

Toujours pas satisfait de la synchronisation? Essayez Google!

6 façons de personnaliser l'écran de verrouillage Windows 10

Comment arrêter ou limiter le partage Spotify sur Facebook

Samsung Galaxy S8: les meilleurs conseils, astuces et fonctionnalités cachées

Comment exécuter des applications Windows 8 sur le bureau avec ModernMix

 

Laissez Vos Commentaires