Phishing : petit guide des « mauvaises pratiques »



Les données sont précieuses et les pirates le savent. Elles sont d’autant plus vulnérables que leur volume augmente et avec lui, les risques de phishing.

Qui n’a pas été trompé par l’apparence légitime d’un email frauduleux ou d’un site falsifié ? Les cybercriminels redoublent d’imagination pour passer sous les radars, soustraire des informations personnelles et détourner des comptes. C’est encore plus facile lorsque les barrières de sécurité sont levées et la porte grande ouverte …

Une technique de fraude largement utilisée

Le phishing connaît une accélération significative et représente aujourd’hui l’un des principaux vecteurs de la cybercriminalité. En France, près de 5 500 internautes se font piéger chaque jour, une fraude qui fait 2 millions de victimes par an*. La cause ? Des techniques de piratage de plus en plus innovantes, mais aussi de mauvaises pratiques et habitudes qui, dans un monde ouvert et interconnecté, offrent un boulevard aux experts du phishing. Naviguer en toute sécurité et confidentialité requiert de bons réflexes et … un « bon bateau ».

Voici quelques « règles » à ne pas suivre ou comment se laisser prendre à coup sûr dans les filets du phishing !

Surfer en toute confiance, aveuglément …

  1. Naviguer sur le web, procéder à un achat ou effectuer une démarche administrative sans prêter attention à l’adresse Internet, à l’authenticité de l’expéditeur et à la nature du message (souvent impersonnel et truffé de fautes d’orthographe).
  2. Cliquer sur un lien, même inconnu, intégré dans un email ou affiché sur une page web : un simple clic et c’est la porte ouverte à l’installation d’un virus ou d’un logiciel espion jusqu’à l’usurpation d’identité et l’arnaque en bonne et due forme.
  3. Ouvrir systématiquement les pièces jointes aux extensions multiples et variées.
  4. Communiquer librement, fournir ses coordonnées (bancaires) et des informations sensibles (identifiants) sans tenir compte de l’anonymat que requièrent les sites et les forums. Comme le verrou de la porte d’entrée, le cadenas qui précède l’adresse d’un site protège son accès.
  5. Répondre aux injonctions et autres actions urgentes, jusqu’à transférer et partager les emails frauduleux.
  6. Ne pas signaler un mail suspect auprès de l’entreprise, de l’institution ou de l’organisme concerné, et risquer de faire l’objet d’une prochaine opération de phishing.

Ignorer les niveaux de sécurité requis

  1.  Composer un mot de passe simple et unique pour l’ensemble des comptes et interfaces, mnémotechnique pour l’internaute … et d’autant plus facile d’accès par les individus malintentionnés !
  2. Eviter d’activer anti-virus et pare-feu, et négliger le premier niveau de protection des données en exposant le système d’exploitation au hacking et aux connexions entrantes et sortantes.
  3. Omettre d’actualiser le système d’exploitation (navigateur, anti-virus, pare-feu, logiciel), c’est donner l’occasion aux personnes malveillantes d’utiliser les failles non corrigées du système pour s’y introduire.
  4. Faire fi de la clé wifi et privilégier une version courante et peu sécurisée permet aux pirates du web un décryptage facile et rapide.
  5. Préférer naviguer depuis le compte administrateur d’un ordinateur plutôt qu’à partir d’un compte utilisateur favorise l’accès à certains fichiers cachés.
  6. Oublier de visiter régulièrement le logiciel de filtrage anti-spam : il abrite souvent de nombreux emails de phishing et autres tentatives d’escroquerie …

 

Enfin, ne jamais sauvegarder ses données reste encore le moyen le plus efficace de les perdre suite à une attaque !

 

*Source : Forum international de la Cybersécurité (FIC 2016)