11 July , 2018

Comment reconnaître les mails frauduleux au bureau

De nos jours, un des moyens clés pour protéger les informations confidentielles sur le lieu de travail est de former les salariés aux dangers de l’ingénierie sociale.

Les voleurs de données utilisent des techniques d’ingénierie sociale telle que le phishing (ou « hameçonnage ») et se font passer pour une institution ou une personne crédible pour soutirer des informations confidentielles et/ou pour installer un logiciel malveillant sur l’ordinateur de leur victime.

Certaines arnaques passent par le téléphone, mais la plupart passent par un faux e-mail.

De nombreuses fuites de données sont probablement dues à une simple arnaque d’ingénierie sociale.

Selon le rapport 2015 de Verizon sur la sécurité informatique, les attaques d’hameçonnage sont à la base de deux tiers des cas de cyber espionnage depuis trois ans. L’étude a montré que plus de 23 % des messages de phishing sont ouverts par les destinataires, et que 11 % de ceux-ci cliquent même sur les pièces jointes.

Au niveau mondial, les ordinateurs continuent d’être infectés par des logiciels malveillants à un rythme soutenu. Le Anti-Phishing Working Group (APWG) signale qu’en 2015, le taux d’infection mondial s’est situé aux alentours de 33 % pendant toute l’année.

Pour se protéger, une entreprise devrait se doter d’un programme de sécurité de l’information complet, ainsi que de logiciels spéciaux permettant d’intercepter les e-mails frauduleux, tels que firewalls, logiciels antivirus et filtres Web. Tout transfert financier devrait passer par un processus d’approbation à plusieurs échelons. Certaines sociétés utilisent des tests d’ingénierie sociale pour identifier les vulnérabilités au niveau du personnel et mettre au point les solutions.

La formation des salariés aux arnaques d’ingénierie est tout aussi importante que les protections technologiques, elle leur permet de supprimer ou d’ignorer les messages suspects.  

Lors de la sensibilisation des salariés aux aspects de sécurité dans leur travail, soulignez les risques liés à la communication en ligne d’informations personnelles et commerciales. Utilisez aussi des aide-mémoire sur le lieu de travail (posters, avis dans la newsletter, etc.) pour que leur vigilance ne se relâche pas.

Les caractéristiques d'un mail frauduleux

Comment reconnaître les tentatives d’ingénierie sociale ? Voici quelques signes qui devraient vous mettre la puce à l’oreille :

  •  L’objet de l’e-mail : méfiez-vous si l’objet ne semble pas logique : il doit être en rapport avec votre travail ou avec le contenu de l’e-mail. Soyez également sur vos gardes s’il est question d’une demande que vous n’avez pas faite.  
  • L’expéditeur de l’e-mail : méfiez-vous si vous ne connaissez pas la personne ou l’organisation. Mais n’oubliez pas que les cybercriminels se servent de plus en plus souvent de plateformes de médias sociaux 
    pour lancer des attaques. Ils créent par exemple de faux profils LinkedIn pour cibler des salariés d’une entreprise particulière.
  • Autres destinataires : méfiez-vous si l’e-mail est adressé à des destinataires en copie que vous ne connaissez pas personnellement.
  • Pièces jointes : méfiez-vous si un e-mail frauduleux vous invite à ouvrir une pièce jointe de façon détournée et posez-vous les questions suivantes : est-ce que vous attendiez le fichier joint, ou est-ce que l’expéditeur enverrait normalement ce genre de fichier ? 
  • Hyperliens : méfiez-vous si vous êtes invité à cliquer sur un lien hypertexte. Pour vérifier le lien, il suffit de passer la souris sur le lien. Une petite bulle d’information apparaîtra avec l’adresse réelle du site Web.  
  • Contenu : méfiez-vous si l’e-mail contient des fautes d’orthographe ou de grammaire, des tournures de phrase bizarres ou des propos inconvenants. Si vous recevez une offre pour installer un logiciel antivirus, il pourrait bien s’agir d’une proposition frauduleuse et d’un logiciel malveillant.

Veillez à ce que vous et vos salariés connaissiez les dangers de l’ingénierie sociale et soyez-y attentifs.