Comment faire confiance à votre instinct pour déjouer les attaques de phishing

Vous savez identifier les e-mails de phishing – un chercheur en cybersécurité explique comment faire confiance à votre instinct pour déjouer les attaques

Certains aspects d’un message électronique qui semblent erronés devraient vous inciter à envisager la possibilité d’hameçonnage. L’astuce est de se rappeler que le phishing existe. Crédit : Rick Wash, CC BY-ND 4.0

Un employé de l’Université MacEwan a reçu un e-mail en 2017 d’une personne prétendant être un entrepreneur en construction demandant de changer le numéro de compte où près de 12 millions de dollars de paiements ont été envoyés. Une semaine plus tard, le véritable entrepreneur a appelé pour demander quand le paiement arriverait. L’e-mail concernant le changement de numéro de compte était faux. Au lieu d’aller à l’entrepreneur, les paiements ont été envoyés sur des comptes contrôlés par des criminels.

Les faux e-mails qui tentent d’amener les gens à faire des choses qu’ils ne feraient pas normalement, comme envoyer de l’argent, exécuter des programmes dangereux ou donner des mots de passe, sont appelés e-mails de phishing. Les experts en cybersécurité reprochent souvent aux personnes qui reçoivent de tels messages de ne pas avoir remarqué que les e-mails sont faux.

En tant que chercheur en cybersécurité, j’ai découvert que la plupart des gens maîtrisent presque toutes les compétences utilisées par les experts en sécurité informatique pour détecter les faux e-mails dans leurs boîtes de réception. Faire la différence se résume à écouter votre instinct.

Comment font les pros

Lors de recherches antérieures, j’ai découvert que lorsque les experts en cybersécurité recevaient un e-mail de phishing, ils supposaient, comme la plupart des gens, que l’e-mail était réel. Ils ont d’abord pris tout dans l’e-mail pour argent comptant. Ils ont essayé de comprendre ce que l’e-mail leur demandait de faire et comment cela se rapportait aux choses de leur vie.

En lisant, ils ont remarqué de petites choses qui semblaient étranges ou différentes de ce qui se trouverait généralement dans des messages électroniques similaires. Ils ont remarqué des choses comme des fautes de frappe dans un e-mail professionnel ou l’absence de fautes de frappe d’un cadre occupé. Ils ont remarqué des choses comme une banque fournissant des informations de compte dans un message électronique au lieu de la notification standard indiquant que le destinataire avait un message en attente dans le système de messagerie sécurisé de la banque. Ils ont également remarqué des choses comme quelqu’un qui leur a envoyé un e-mail de manière inhabituelle sans le mentionner en personne au préalable.

Mais remarquer ces signes ne suffit pas pour comprendre que l’e-mail est une fraude. Au lieu de cela, les experts sont devenus mal à l’aise avec le message électronique. Ce n’est que lorsqu’ils ont vu quelque chose dans le message qui leur rappelait le phishing qu’ils sont devenus méfiants. Ils verraient une anomalie comme un lien sur lequel l’e-mail tentait de les faire cliquer. Dans leur esprit, ceux-ci sont généralement associés aux e-mails de phishing.

Combiné au sentiment inconfortable suscité par le message électronique, ce rappel a incité les experts à reconnaître que le phishing pouvait expliquer les choses étranges qu’ils avaient remarquées. Ils sont devenus méfiants à l’égard du message et ont enquêté pour déterminer s’il s’agissait d’une fraude.

Bon instinct

Si c’est ainsi que procèdent les experts, que font les gens ordinaires ? Lorsque j’ai interrogé des personnes sans expérience en sécurité informatique, j’ai trouvé un processus similaire. La plupart des gens ont remarqué des choses qui semblaient bizarres, sont devenus mal à l’aise avec l’e-mail, se sont souvenus de l’hameçonnage et ont enquêté.

Mes recherches ont révélé que les gens sont doués pour les deux premières étapes : remarquer des choses dans l’e-mail qui semblent étranges et devenir mal à l’aise. Presque tous ceux à qui j’ai parlé ont remarqué plusieurs problèmes lorsqu’ils ont vu un faux e-mail et m’ont dit qu’ils se sentaient mal à l’aise avec le message.

Et si les gens pensaient au phishing, ils étaient également doués pour enquêter. Au lieu de regarder les détails techniques, cependant, la plupart des gens ont soit contacté l’expéditeur, soit demandé de l’aide à d’autres. Mais ils étaient toujours en mesure de déterminer correctement si un e-mail était une attaque de phishing.

Histoires d’hameçonnage

La plupart des formations sur le phishing enseignent aux gens à rechercher des problèmes dans les e-mails. Mais pour la plupart des gens, la partie difficile du phishing n’est pas de remarquer les choses étranges dans un message électronique. Les gens traitent souvent des e-mails étranges mais réels. De nombreux messages semblent un peu décalés. Parfois, votre patron passe une mauvaise journée ou la banque change sa politique. Aucun e-mail n’est parfait, et les gens y sont souvent habitués.

Le défi pour la plupart des gens était de se rappeler que le phishing existe et de reconnaître que le phishing pouvait expliquer ces choses étranges. Sans cette prise de conscience du phishing, l’étrangeté des messages d’hameçonnage peut se perdre dans l’étrangeté des e-mails quotidiens.

La plupart des personnes que j’ai interrogées connaissent le phishing en général. Mais les personnes qui étaient douées pour remarquer les messages d’hameçonnage ont rapporté des histoires d’incidents d’hameçonnage spécifiques dont elles avaient entendu parler. Ils m’ont parlé d’une fois où quelqu’un dans leur organisation est tombé dans le piège d’un e-mail de phishing, ou d’un reportage sur un incident comme celui de l’Université MacEwan.

La familiarité avec des incidents d’hameçonnage spécifiques aide les gens à se souvenir de l’hameçonnage en général et à reconnaître qu’il peut expliquer les choses étranges qu’ils remarquent dans un e-mail. Ces histoires sont essentielles pour que les gens passent de « quelque chose de louche » à « est-ce du phishing ? »


La recherche montre que les gens sont trop confiants quant à l’identification des e-mails de phishing


Fourni par La Conversation

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l’article original.La conversation

Citation: Comment faire confiance à votre instinct pour déjouer les attaques de phishing (2021, 2 novembre) récupéré le 2 novembre 2021 sur https://techxplore.com/news/2021-11-instincts-foil-phishing.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.