Ces messages sont à adresser régulièrement au personnel de l’entreprise dans le cadre de la sensibilisation permanente.

Et ce mail étrange, inattendu, c’est du spam ou du phishing ?

Vous en recevez de plus en plus, de ces mails non sollicités, et les fautes d’orthographe ne sont plus un repère suffisant pour les distinguer. Alors comment les reconnaitre ?

En pratique, je vous propose une catégorisation un peu atypique, mais finalement très efficace :

• Tout ce qui est de la pub, de l’annonce, du mail d’opinion c’est du spam ;
• Tout ce qui est non sollicité, qui vous demande une action comme un clic, une réponse, etc., et qui s’appuie sur un facteur d’ « urgence » et un de « stress » : c’est du phishing.

Si on adopte ce principe, on pourra le compléter par :

• Le spam, c’est ennuyeux mais pas (très) dangereux ;
• En revanche, le phishing est toujours offensif : il a pour but vous voler soit de l’argent, soit du temps, soit des accès à d’autres proies plus appétissantes (votre employeur par exemple).

Parlons un peu du phishing, qui devient de plus en plus subtil !

Certes, on reçoit encore des mails proposant de payer quelques euros pour débloquer un colis en attente ou vous demandant d’envoyer un mail avec vos coordonnées pour recevoir votre gain à la loterie Microsoft. Mais les nouveaux schémas de phishing vont plus loin….

Actuellement, la tendance est à des mails qui vous demandent de revalider votre mot de passe d’entreprise pour le conserver. Ces mails imitent souvent la mise en page sommaire d’un pseudo service technique, et vous proposent de revalider votre mot de passe pour qu’il ne disparaisse pas. Le facteur d’ « urgence » est en général un délai très court pour obéir au mail (aujourd’hui par exemple). Celui de « stress » est implicite : vous savez que changer un mot de passe est important (voir en fin de ce mail un exemple reçu dernièrement).

On aussi trouve fréquemment :

• Le mail de notre président qui annonce son départ dans un document « confidentiel ». pour lequel il faut vous identifier avec votre login et votre mot de passe d’entreprise (ce schéma est assez subtil parce que les facteurs d’ « urgence » et de « stress » sont implicites) : dans ce cas de figure, ne répondez pas au mail, n’ouvrez pas la pièce jointe mais communiquez avec votre responsable hiérarchique pour établir la véracité ou non du message !
• Le mail qui simule un document de connexion Microsoft ou Google (ou autre) pour lequel il vous faut vous identifier : très difficile à détecter, car ressemblant réellement à l’original que vous croirez reconnaître. L’urgence et le stress sont implicites (« je ne vais plus pouvoir utiliser mon PC »). Toutefois dans ces cas-là, sauf en cas d’attaque très ciblée, les hackers utiliseront un écran générique, qui ne sera donc pas personnalisé avec notre logo (c’est ce qui nous sauve).
• Le SMS qui semble provenir de votre banque. Il vous indique que vous devez réagir immédiatement (urgence) car votre compte a été compromis (stress). L’assaillant vous demande de vérifier votre numéro de compte bancaire, votre numéro de sécurité sociale, etc. Une fois que l’attaquant reçoit toutes ces informations, il peut alors tranquillement contrôler – et vider – votre compte bancaire.

D’autres techniques apparaissent, qui exploitent des informations relevant du contexte de l’entreprise ou de votre contexte social (LinkedIn, Insta, Facebook, etc.). On obtient alors des phishings personnalisés, qui ciblent une personne ou un groupe de personnes d’une entreprise donnée (on parle alors de hameçonnage ciblé, ou encore de spear phishing, voire de whaling). Dans ces cas-là, attention : les facteurs d’urgence et de stress sont moins présents… Nous en reparlerons 😉.

Dans tous les cas de doute, n’hésitez pas à nous solliciter via jaiundoute@radical-ssi.fr.