Noël arrive, attention aux hackers!

Evelyne Pintado
Hackers IT Security Awareness Phishing Sensibilisation à la sécurité IT
Blog cybersécurité

Les Fêtes, une période faste pour les hackers

Avec le Black Friday, les cadeaux de Noël et les achats en ligne, les internautes ont tout intérêt à se montrer particulièrement prudents car ils sont beaucoup exposés au phishing. Les pirates informatiques profitent, eux aussi, de faire leur shopping de Noël à cette période de l'année.

Les boîtes mail débordent d'offres spéciales alléchantes, d'actions, de confirmations de commandes, d'annonces d'envoi... Les hackers profitent de cette masse de communications pour envoyer des courriels du même genre, mais qui incitent les destinataires à cliquer sur un lien malveillant. En tant que spécialistes de la sécurité informatique, nous observons ce phénomène tous les jours.

La bonne nouvelle, c'est qu'il est possible de se protéger contre de telles attaques.

  1. Lisez les 8 astuces pour y parvenir
  2. Ensuite, faites le quiz (au bas de la page) pour tester vos connaissances!

8 astuces pour détecter les e-mails malveillants

  1. Evaluez le contexte.
    Le message est-il vraisemblable?
    C'est la première question à se poser. Attendez-vous ce message? Avez-vous fait la commande qui vous est confirmée? A quoi ressemble le courriel (mise en page, orthographe)? Semble-t-il crédible? L'offre n'est-elle pas trop belle pour être vraie?

  2. On vous dit que c'est urgent?
    Alors c'est qu'il est urgent d'attendre!
    La stratégie numéro un du hacker efficace, c'est d'empêcher sa proie de réfléchir. Il incite à agir de manière précipitée en fixant des échéances courtes. Un message vous demande de réagir dans l'urgence? C'est justement là que vous devez dire stop et prendre au contraire tout votre temps pour analyser le courriel posément.

  3. Vérifiez qui envoie le message.
    Pour un pirate, il est très facile de falsifier l'adresse de l'expéditeur.
    Une adresse d'expéditeur qui semble correcte n'est JAMAIS la preuve qu'un message est légitime. Vous ne pouvez pas vous y fier. Par contre, si l'adresse est visiblement falsifiée, on peut être certain que le message est frauduleux.

  4. Cherchez les vrais liens internet dans le message.
    Les hackers les camouflent pour piéger les destinataires.
    Dans un mail, si l'on veut observer le détail d'un lien, quel qu'il soit, il faut passer dessus avec la souris (sans cliquer) pour que les informations s'affichent. C'est le seul moyen de faire apparaître entièrement tous les indices révélateurs.
    Il est difficile de faire ces vérifications sur un mobile à cause de la taille de l'écran. On peut vite se tromper. En cas de doute, il vaut donc mieux prendre le temps d'examiner le message tranquillement depuis un ordinateur.

  5. Inspectez les liens.
    Les hackers jouent sur leur complexité pour tromper leurs cibles.
    Ici, une explication un petit peu plus détaillée est nécessaire. Un lien internet se compose de différents éléments séparés par des points. Les plus importants sont le nom de domaine (exemple: "google") et l'extension (exemple: ".com") car ce sont eux qui dévoilent la véritable identité d'un site.
    Un lien se lit toujours de droite à gauche. On commence par chercher l'extension (.com, .ch, .org, etc). Le nom de domaine se trouve juste à gauche de l'extension, entre deux points.
    Exemples:
    https:// black-friday.google.com -> le domaine est google.com, et c'est là que dirige le lien.
    https:// google.black-friday.ch -> le domaine est black-friday.ch, et c'est là que dirige le lien.
    Il est très important d'identifier le domaine avant de cliquer sur un lien. Cela permet d'anticiper si on va être dirigé vers un site recommandable ou potentiellement malveillant.

  6. Faites attention à l'orthographe des noms de site.
    Les hackers utilisent des trompe-l'œil.
    Une technique largement utilisée par les hackers, c'est de modifier très légèrement l'orthographe d'un nom de site connu. Ces changements sont difficiles à détecter en lecture rapide.
    Exemples: credit-suissse.ch, cooop.ch, gooogle.com.
    Pour les voir, il faut beaucoup d'attention.

  7. Pensez à l'extension!
    En utilisant un nom de domaine légitime avec une autre extension, un hacker peut nous tromper
    Exemple: magasin.com et magasin.co se ressemblent beaucoup mais peuvent avoir des propriétaires (et des buts) entièrement différents.

  8. Liens raccourcis: méfiance!
    Pour faciliter sa diffusion, un lien internet est parfois raccourci à l'aide d'un réducteur de liens (comme bit.ly, youtu.be, etc). Cela le rend plus compact mais cela dissimule aussi sa véritable identité. Impossible de dire au premier coup d'oeil s'il est légitime. Et les hackers, naturellement, en profitent.
    Exemple: une fois raccourci, le lien http:// www.site-malveillant-cherchant-a-voler-votre-mot-de-passe.com devient https:// bit.ly/37Hx9IV
    Bon à savoir: pour découvrir ce qui se cache derrière un lien raccourci, on peut le copier-coller sur le site http://checkshorturl.com/ qui le "décode" pour lui rendre son format d'origine.

Et voilà! Vous avez les outils nécessaires pour résister aux hackers de Noël. Ces astuces vont vous éviter beaucoup de mauvaises surprises ces prochaines semaines - et tout le reste de l'année aussi!

Tout compris? A vous de jouer!

Rien ne vaut un peu d'entraînement.

Testez-vous et faites notre quiz: Savez-vous reconnaître les e-mails malveillants? [Le lien vers le quiz n'est plus valable]

Et n'hésitez pas à partager ce post autour de vous pour aider vos proches à mieux se protéger!

L'équipe Navixia vous souhaite de belles Fêtes, en toute sécurité.