Malheureusement, les conseils anti-phishing semblent souvent tomber dans l’oreille d’un sourd, car le phishing est une vieille technique utilisée par les cybercriminels, et beaucoup de gens semblent penser que c’est ce que les informaticiens ou les mathématiciens appellent un ‘jeu résolu’ (solved game).
Le jeu du Morpion, par exemple, est un jeu résolu, car il est facile de créer une liste pour chaque partie possible en déterminant le meilleur coup à partir de chaque position de jeu sur la liste (si aucun des deux joueurs ne fait d’erreur, la partie sera toujours un match nul).
Même les jeux qui sont énormément plus complexes ont été aussi “résolus” de cette manière, comme le jeu de dames par exemple …
… et par rapport justement à la complexité du jeu de dames, repérer les arnaques par phishing ressemble plutôt à un jeu simple que le destinataire du message devrait toujours pouvoir gagner.
Et si le phishing est vraiment un “jeu résolu”, il n’est donc plus nécessaire de s’inquiéter, n’est-ce pas ?
Le phishing est-il si difficile à combattre ?
En termes simples, le “jeu” de phishing ne comporte en réalité que deux actions majeures : les escrocs jouent toujours en premier, en essayant de vous tromper, et vous jouez toujours en second, après que ces derniers aient envoyé leur faux message.
Il y a peu ou pas de limite de temps pour vos propres actions ; vous pouvez demander autant d’aide que vous le souhaitez ; vous avez probablement déjà des années d’expérience dans ce type de jeu ; les escrocs font souvent des erreurs vraiment stupides qui sont faciles à repérer…
… et si vous avez un doute, vous pouvez simplement ignorer le message que les escrocs viennent de vous envoyer, signifiant ainsi que vous avez quand même gagné !
Est-ce vraiment difficile de remporter, à chaque fois, cette bataille contre les cybercriminels ?
Bien sûr, comme pour beaucoup d’autres choses dans la vie d’ailleurs, à partir du moment où vous considérez que vous allez gagner à chaque fois alors vous serez tenté de faire moins attention, et c’est à ce moment-là justement que les incidents auront lieu.
N’oubliez pas que les escrocs utilisant le phishing peuvent essayer encore et encore.
Ils peuvent utiliser des pièces jointes dans des emails un jour, des liens internet douteux le lendemain, des SMS malveillants le surlendemain, et si rien de tout cela ne fonctionne, ils peuvent vous envoyer des messages frauduleux via les réseaux sociaux.
Les cybercriminels peuvent vous menacer de fermer votre compte, vous avertir qu’une facture est en attente de paiement, vous faire de faux compliments pour vous amadouer, vous offrir un nouvel emploi ou bien vous annoncer que vous avez gagné une récompense bidon.
Ils peuvent prétendre être votre FAI aujourd’hui, se faire passer pour Apple iTunes le lendemain, tout en ayant tenté la veille de se faire passer pour un service de messagerie essayant de livrer votre dernière commande en ligne.
En revanche, il suffit d’une seule erreur pour que les escrocs gagnent.
Vous pouvez très bien être fatigué, pressé, ou simplement être victime d’un quiproquo où justement l’objet du message de phishing correspond à quelque chose que vous venez de faire en ligne.
Le phishing n’est pas un “jeu résolu” après tout, et les arnaques par phishing sont toujours le principal moyen utilisé par les escrocs pour lancer des cyber-incidents en ligne tels que les attaques de ransomware.
Tenez-vous informé
Pour garder une longueur d’avance sur les cybercriminels utilisant le phishing, à la fois au travail et à la maison, commencez par lire notre article intitulé : Top Ten Phishing Treacheries.
Nous avons répertorié les thématiques utilisées dans les emails qui attirent le plus les gens lorsque vous les formez à l’aide du tookit Sophos Phish Threat, et d’ailleurs ce sont souvent les messages les plus chaleureux qui trompent le plus de gens.
NB : Au cas où vous vous poseriez la question, l’un des meilleurs appâts en matière de phishing lors de nos tests était également l’un des plus basiques : “Des phares sont restés allumés. Est-ce votre voiture ?“.
Vous devriez également lire notre article intitulé : Phishing tricks that really work, and how to avoid them, qui vous donnera des informations très utiles sur les techniques psychologiques utilisées par les escrocs.
Découvrez comment mettre en place vos actions anti-phishing au travail grâce à l’article suivant qui vous guidera dans votre tâche : Gone phishing: workplace email security in five steps.
Et enfin découvrez les différentes méthodes utilisées par les phisheurs pour adapter leur jeu dans notre analyse technique intitulée : Serious Security: Phishing without links – when phishers bring along their own web pages.
N’oubliez pas, lorsqu’il s’agit de messages inattendus vous demandant de transmettre des informations que vous pensiez devoir garder pour vous, ayez le réflexe suivant : EN CAS DE DOUTE, NE DONNEZ RIEN !
SE DÉFENDRE CONTRE LES RANSOMWARES : CE QUI A FONCTIONNÉ (ET CE QUI N’A PAS FONCTIONNÉ)
Enfin, voici une vidéo que vous pouvez partager avec vos amis et les membres de votre famille pour les aider également à garder une longueur d’avance sur les cybercriminels utilisant le phishing :
Billet inspiré de Cybersecurity awareness month: Fight the phish!, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.