Les brèches dans les bases de données d’entreprises ne résultent pas toutes d’une attaque sophistiquée : en fait, il suffit parfois d’un simple clic dans un courriel pour ouvrir la voie aux pirates. Les courriels, appels et messages texte frauduleux sont tous des portes d’entrée communes pour les arnaques par hameçonnage, que les cybercriminels emploient pour pirater des serveurs et voler des renseignements confidentiels. Ce genre d’attaque peut ternir la réputation d’une entreprise auprès de ses clients et consommateurs, et entraîner des pertes financières, des fuites de données et même des problèmes juridiques. C’est pourquoi il est important de protéger votre entreprise en renseignant vos employés sur cette menace grandissante et les façons de la repérer.

Qu’est-ce que l’hameçonnage?

L’hameçonnage est un cybercrime qui consiste à utiliser des communications frauduleuses pour soutirer des renseignements confidentiels, comme des mots de passe ou des renseignements de cartes de crédit. Certaines arnaques par hameçonnage visent un grand bassin de personnes simultanément (la stratégie de l’« envoi en nombre »), alors que d’autres se concentrent sur un secteur d’activité en particulier, comme un centre d’appels ou un service des finances. Il arrive même qu’un courriel ou un appel frauduleux cible précisément un poste (celui de commis aux finances, par exemple) ou une personne. Le dirigeant principal des finances et les membres de l’équipe de la comptabilité sont d’ailleurs des cibles de choix vu leur accès direct aux données financières.

Exemples typiques d’escroquerie par hameçonnage

Plus le message joue sur les émotions, plus on risque de cliquer sur le lien ou d’obtempérer sans faire les vérifications nécessaires. La plus récente technique d’hameçonnage mise donc sur la peur entourant la pandémie de COVID-19. Les fraudeurs se présentent comme des professionnels de la santé et communiquent des faussetés, prétendument au nom d’organisations comme la Croix-Rouge canadienne ou l’Organisation mondiale de la Santé (L’OMS). Leur objectif? Inciter vos employés à cliquer sur un lien malveillant pour voler de l’information confidentielle dans votre base de données. Et l’escroquerie ne se limite pas aux courriels : l’hameçonnage lié à la COVID-19 se fait aussi par téléphone et par messagerie texte. Les fraudeurs ont aussi l’habitude de se faire passer pour des représentants de l’Agence du revenu du Canada, surtout pendant la période des impôts, ou pour des membres de forces de l’ordre.

Comment reconnaître un courriel d’hameçonnage

Il est primordial que tous vos employés sachent reconnaître un courriel d’hameçonnage, sans quoi ils pourraient par mégarde cliquer sur un lien frauduleux ou transmettre de l’information confidentielle. En faisant appliquer les quelques conseils pratiques ci-dessous, vous prémunirez votre entreprise contre d’importantes pertes de temps et d’argent :

  • Faites preuve de méfiance. Avant toute chose, posez-vous des questions comme « Est-ce que je m’attendais à recevoir ce courriel? » ou « Est-ce que je connais l’expéditeur? ». Les courriels d’hameçonnage visent parfois à nous faire paniquer, par exemple en nous faisait croire qu’on nous a volé de l’information et en nous offrant une solution rapide. Il faut se méfier de ce genre de message, puisqu’il s’agit habituellement d’une fraude.
  • Dans le doute, cherchez les fautes. Il n’est pas rare que les pirates fassent des fautes de langue. Lisez très attentivement toute communication reçue, et si vous repérez des fautes, usez de prudence.
  • Vérifiez l’adresse et les liens. Parfois, l’adresse courriel de l’expéditeur est visible, et on sait tout de suite qu’il s’agit d’un courriel frauduleux. Dans d’autres cas, il faut placer son curseur sur le nom de l’expéditeur pour voir l’adresse. Si l’expéditeur prétend représenter une institution financière réputée, mais que la deuxième partie de son adresse courriel ne correspond pas au nom de ladite institution, il y a anguille sous roche. Il est aussi important de mettre son curseur au-dessus de tout lien pour faire afficher l’adresse URL avant de cliquer.
  • Soyez à l’affût des appels à l’action. Pour qu’une tentative d’hameçonnage par courriel ou par téléphone réussisse, il faut que le destinataire fasse ce qui est demandé, qu’il s’agisse de fournir ses identifiants, de cliquer sur un lien ou de réaliser une tâche quelconque. Soyez à l’affût des appels à l’action. Est-ce qu’on vous demande de fournir des renseignements, par exemple votre nom d’utilisateur ou votre mot de passe? De vous connecter à un site Web pour accéder à quoi que ce soit? Le courriel contient-il des liens ou une pièce jointe non sollicités? Si la réponse à l’une de ces questions est oui, suivez les conseils ci-dessus pour vous assurer que le courriel provient d’une source fiable.

Protégez votre entreprise

Même si vous prenez toutes les précautions et outillez vos employés, il n’est pas impossible que l’un d’eux morde à l’hameçon par courriel ou par téléphone. Votre entreprise pourrait ainsi se retrouver aux prises avec toutes sortes de problèmes, comme des pertes financières, une fuite de données ou une réputation entachée auprès de vos clients et consommateurs, voire des problèmes juridiques. Avec une assurance des cyberrisques, vous seriez en mesure d’absorber les coûts ainsi engendrés et d’empêcher votre chiffre d’affaires de pâtir. Visitez notre page sur l’assurance des cyberrisques dès aujourd’hui pour savoir comment nous pouvons aider votre entreprise! Le présent billet est fourni uniquement à titre informatif et ne vise pas à remplacer les conseils de professionnels. Nous ne faisons aucune assertion et n’offrons aucune garantie relativement à l’exactitude ou à l’intégralité des renseignements qu’il contient. Nous ne pourrons en aucun cas être tenus responsables des pertes pouvant découler de l’utilisation de ces renseignements.