Vous avez peut-être entendu parler de ce que l’on appelle le “spear phishing”. Il s’agit d’une tentative de pirater votre ordinateur ou vos comptes, ou de vous escroquer de l’argent, en utilisant un message électronique adapté à vous ou à votre entreprise. Le hameçonneur pique votre intérêt avec une invitation à une conférence, un CV ou une facture. Mais il s’agit d’une ruse pour vous amener à fournir des informations sensibles telles que des mots de passe, à cliquer sur une pièce jointe infectieuse ou un lien vers un site Web, ou à participer à une transaction douteuse.

Selon le pro en création site web Lyon, ces messages personnalisés et trompeurs peuvent être suffisamment astucieux et crédibles pour passer outre les filtres anti-spam et autres protections de sécurité et pour vous tromper – la dernière ligne de défense.

En 2011, environ un courriel sur 300 était un phish, selon le fabricant de logiciels de sécurité RSA, une unité d’EMC Corp. 45 % des personnes interrogées ont déclaré avoir reçu un phish dans leur messagerie professionnelle. Il s’agit souvent de messages personnalisés adressés à des employés spécifiques, incluant parfois des détails extraits de LinkedIn et d’autres réseaux sociaux pour les rendre plus plausibles.

Les messages de spear phishing peuvent être d’une efficacité alarmante. RSA, Google et un grand nombre de grandes entreprises se sont fait voler de précieuses propriétés intellectuelles au cours des deux dernières années dans le cadre d’attaques qui ont commencé par le spear phishing d’un employé. Ils visent moins de cibles, mais leur rendement est plus élevé.

Les petites entreprises ont également été la cible d’attaques de spear phish. Au printemps dernier, une employée chargée des comptes clients d’une franchise ServiceMaster de Wichita (Kan) a ouvert un courrier électronique qui lui était destiné et a déclenché un virus qui a brouillé son ordinateur et envoyé du spam à ses contacts. Le serveur de messagerie de la franchise a également été bouleversé et a été fermé pendant la majeure partie des deux jours suivants, le temps qu’un consultant en technologie fasse le ménage, indique la société.

Certaines attaques de spear phish peuvent causer des dommages financiers plus importants.

Voici comment vous pouvez, vous aussi, éviter de vous faire piéger par un phisher.

Utilisez la technologie comme première ligne de défense.
Les technologies de sécurité peuvent bloquer de nombreuses tentatives de phishing avant qu’elles n’atteignent qui que ce soit. Faites l’essentiel : utilisez un logiciel antivirus et un filtre anti-spam à jour, et veillez à ce que les logiciels de vos ordinateurs disposent des dernières mises à jour, en particulier les produits Adobe et Java, dont les bogues ont été largement exploités par les auteurs de logiciels malveillants.

Les technologies spécialisées dans la lutte contre le hameçonnage peuvent également vous aider. Les principaux navigateurs Web utilisent des listes noires intégrées qui offrent une protection contre les sites Web de phishing connus. La liste noire de Google est utilisée dans les navigateurs Firefox, Safari et Chrome, tandis que la liste noire de Microsoft est utilisée dans Internet Explorer.

Il existe également des filtres qui font appel à l'”heuristique”, un ensemble de règles utilisées pour détecter le phishing et qui peuvent bloquer certaines attaques mais aussi générer de fausses alertes.

Apprenez aux employés à repérer ces courriels de phishing.
Malheureusement, les spear phish sont particulièrement habiles à déjouer les technologies de sécurité car ils ressemblent souvent à des messages légitimes. Lorsqu’ils contiennent des logiciels malveillants, ceux-ci sont souvent modifiés pour passer outre les principaux antivirus. Et lorsque les e-mails dirigent les victimes vers des sites Web dangereux, ces sites sont souvent nouveaux et inconnus des listes noires.

Vous devez préparer vos employés à identifier ces types d’e-mails. Les experts affirment que l’éducation des employés et l’instauration d’un niveau de méfiance sain sont efficaces pour déjouer les hameçonneurs, qui utilisent souvent des déclencheurs émotionnels pour créer un sentiment de peur ou d’urgence.

Environ 50 % des gens se laissent prendre à un hameçonnage de qualité raisonnable. Mais ils affirment que l’éducation des employés peut faire baisser ce chiffre à 10 % ou moins.

Les programmes de formation commencent généralement par l’envoi aux employés de faux messages de phishing. S’ils tombent dans le panneau, ils reçoivent immédiatement une formation en ligne sur la manière de reconnaître les escroqueries et de se protéger, par exemple en examinant attentivement les adresses électroniques et les URL des sites Web.

En cas de doute sur la sécurité d’une pièce jointe, vous pouvez dire aux employés de transférer le message vers un compte G mail et de le visualiser en toute sécurité dans Google Docs, plutôt que de le télécharger sur leur ordinateur.

Vous pouvez également encourager les employés à utiliser la messagerie instantanée et à travailler ensemble sur des documents à l’aide de logiciels de collaboration, dit-il, afin que votre entreprise soit moins dépendante des courriers électroniques non sécurisés.