Ne mordez pas à l’hameçon : Reconnaître et prévenir les attaques par hameçonnage

AVRIL 2020

SÉRIE SENSIBILISATION

ITSAP.00.101

 

L’hameçonnage est une attaque dans le cadre de laquelle un fraudeur vous appelle, vous envoie un texto ou un courriel, ou utilise les médias sociaux pour vous inciter à cliquer sur un lien malveillant, à télécharger un logiciel ou à divulguer de l’information sensible. Les tentatives d’hameçonnage prennent souvent la forme d’un envoi massif de messages généraux en apparence légitimes et en provenance d’une source de confiance comme une institution financière ou un fournisseur de services de messagerie.

 

Harponnage : Attaque personnalisée qui vous cible directement. Le message peut contenir des détails vous concernant, comme vos champs d’intérêt, vos récentes activités en ligne ou de récents achats.

Chasse à la baleine (Whaling) : Attaque personnalisée qui vise les cadres supérieurs. Un fraudeur choisit ces cibles pour tirer avantage de leur niveau d’autorité et d’un possible accès à l’information la plus sensible.

Hameçonnage par message texte : Attaque par hameçonnage menée au moyen de messages texte (textos). Un fraudeur pourrait se faire passer pour quelqu’un que vous connaissez ou le représentant d’un service que vous utilisez, comme un fournisseur de services Internet ou cellulaires, afin de demander un paiement ou de vous offrir une mise à jour.

Hameçonnage vocal : Attaque par hameçonnage menée au moyen d’un système de service Voix sur IP (VoIP). Un fraudeur peut utiliser le numéro de téléphone d’une organisation légitime pour vous faire croire qu’il est un employé de celle-ci.


IL POURRAIT Y AVOIR ANGUILLE SOUS ROCHE SI :

  • vous ne reconnaissez pas le nom, l’adresse courriel ou le numéro de téléphone de l’expéditeur (ce qui est fréquent dans le cas de l’hameçonnage);
  • vous remarquez plusieurs fautes d’orthographes et de grammaire;
  • l’expéditeur vous demande de fournir de l’information personnelle ou confidentielle;
  • la demande de l’expéditeur est urgente et vous devez respecter une échéance;
  • l’offre semble trop belle pour être vraie.

PROTÉGEZ VOTRE INFORMATION ET VOTRE INFRASTRUCTURE :

  • Avant de cliquer sur les liens, assurez-vous qu’ils sont légitimes
  • Évitez d’envoyer de l’information sensible par courriel ou par texto
  • Appelez l’expéditeur pour vérifier sa légitimité (p. ex. si vous recevez un appel d’un conseiller de votre institution financière, raccrochez et rappelez-le)
  • Sauvegardez l’information de manière à toujours en avoir une copie
  • Appliquez les mises à jour logicielles et les correctifs
  • Utilisez un logiciel anti-hameçonnage conforme au protocole DMARC (Domain-based Message Authentication, Reporting and Conformance
  • Filtrez les pourriels
  • Bloquez les adresses IP, les noms de domaines et les types de fichiers reconnus pour être malveillants
  • Limitez l’information que vous divulguez en ligne (p. ex. les numéros de téléphone et de postes des employés)

 

 

LA FORMATION ET LA SENSIBILISATION PEUVENT FAIRE TOUTE LA DIFFÉRENCE :

Les utilisateurs de votre organisation devraient savoir à quel point il est important de protéger leur information personnelle et celle de l’organisation. Ceux qui ne savent pas reconnaître les signes précurseurs d’une attaque par piratage psychologique pourraient divulguer de l’information ou infecter involontairement les dispositifs du réseau. Il convient d’exiger que tous les utilisateurs de votre organisation suivent une formation sur la cybersécurité afin d’être en mesure de prévenir les attaques par hameçonnage.

 

Vous avez des questions ou vous avez besoin d’aide? Vous voulez en savoir plus sur les questions de cybersécurité?
Consultez le site Web du Centre canadien pour la cybersécurité (Centre pour la cybersécurité) à cyber.gc.ca/fr

 
Dernière mise à jour: