6 leçons à tirer des films d’horreur afin d’éviter les attaques d’hameçonnage (« phishing »)

La plupart d’entre nous en savent assez sur les films d’horreur pour reconnaitre que les victimes font toujours les mêmes erreurs. Il y a ces adolescents qui suivent un bruit étrange et se retrouvent face à face avec le meurtrier, les couples qui ignorent les avertissements liés à toutes les disparitions dans les environs ou encore toutes victimes qui ne savent soudainement plus courir sans tomber.

Il est facile de se moquer de ces différents scénarios de films d’horreur et encore plus facile d’affirmer que personne ne ferait réellement ce genre de choses. Mais chez IT Governance nous savons que la peur peut avoir des conséquences étranges sur les individus – il suffit pour cela de constater le nombre de personnes qui se font avoir par des opérations d’hameçonnage. Une fois un email d’hameçonnage diffusé, il est facile de voir qu’il s’agit d’une escroquerie, mais dans le feu de l’action, cela n’est pas si évident.

Donc, la prochaine fois que vous regarderez un film d’horreur, ne vous moquez pas des personnages avant de vous être assuré que les personnes dans la pièce avec vous ne font pas partie des nombreuses personnes piégées par une escroquerie d’hameçonnage chaque année. Après tout, les cybers criminels ne sont pas si différents des serial killers de films d’horreur.

Vous ne nous croyez pas ?

 

  1. Ils sont clairement douteux

 Marion Crane du film Psycho aurait dû s’être rendue compte que Norman Bates était un psychopathe étant donné son étrange manière de parler et d’agir ainsi que l’immense et étrange maison à l’écart de tous avec judas dans la salle de bain et remplie d’animaux en peluche.

Si l’on suit ce même raisonnement, nous devrions tous voir immédiatement qu’il y a quelque chose de douteux à propos de des email adressés à « cher client », contiennent plein de faites d’orthographe et vous demande de cliquer sur un lien étranger.

Ce n’est clairement pas le cas, puisque les escroqueries d’hameçonnage sont plus importantes que jamais. Il y a un nombre de raisons pour lesquelles les individus ignorent les comportements suspects, mais la raison principale reste le sentiment de pression. Avec le temps de réflexion nécessaire, les victimes se rendraient comptent qu’il s’agit d’un piège, mais les utilisateurs internet sont souvent pressés et cliquent trop facilement sur les liens.

 

  1. Ils sortent de nulle part

Les meurtriers comme les attaques d’hameçonnage apparaissent de deux manières différentes : la première est le saut d’effroi à la « cattle prod cinema » les fortes détonations et les révélations soudaines.

Vous pouvez être en train de vaquer à vos occupations habituelles quand soudain – ping ! – un email de votre banque vous annonce que votre compte a été bloqué. Vous êtes pris au dépourvu et cliquez précipitamment sur le lien avant de réaliser qu’il s’agissait en fait d’un piège.

 

  1. Ils comptent sur la curiosité des gens

La seconde manière est des suites de la curiosité du héros. Les criminels posent leurs appâts, qu’il s’agisse d’un email d’hameçonnage ou d’un livre d’incantations qui délivrera une armée de zombies en le lisant à voix haute et attende que leurs victimes y mordent.

Dans ces deux scenarios, les futures victimes savent immédiatement que quelque chose d’étrange se déroule. Mais bien qu’ils se rendent compte que l’appât peut les mener vers quelque chose de terrible, ils pensent qu’il se peut également que tout aille bien. Peut-être ont-ils réellement gagné un iPhone.

Inévitablement, ils avaient raison d’avoir des doutes. Si seulement ils avaient pris la décision de supprimer l’email, fermé le livre et étaient passé à autre chose, ils ne se seraient pas retrouvé dans cette situation.

 

  1. Ils se font passer pour des personnes que vous connaissez

Découvrir que les personnes que vous connaissez et auxquelles vous faites confiance ont été remplacées par des imposteurs est terrifiant et peut vite se transformer en film d’horreur.

Mais, alors que nous attendons l’Invasion des whaling emails, de nombreuses personnes vivent se film au quotidien. Un exemple typique est l’employé qui reçoit un email qu’ils pensent provenir de leur manager, leur demandant d’envoyer des documents professionnels importants. Un cyber criminel a en réalité gagné accès à la boite email de son manager et essaye de détourner des informations sensibles.

Les employés réaliseront peut-être que la requête est inhabituelle, mais décideront d’obtempérer au cas où il s’agisse d’une demande légitime. En effet, ils feraient face à de gros ennuis si l’entreprise perdait un gros contrat ou ne respectait pas une date butoir par leur faute.

C’est ce qui rend les imposteurs si effrayants : ils ne dupent généralement pas complètement les gens. Ils jouent plutôt sur le fait que leurs victimes doutent du fait qu’une personne ait l’audace de lancer ce canular et que personne d’autre ne s’en soit rendu compte.

Dans les films d’horreur, le théoricien du complot est chanceux s’il ne finit pas en prison ou dans un établissement psychiatrique, mais ils finissent toujours par avoir raison. Les personnes suspectant être la cible d’un email whaling n’auront pas nécessairement raison, mais devraient effectivement contacter l’expéditeur (mais attention à ne pas simplement répondre à l’email) et leur demander s’il s’agit bien d’une email légitime.

 

  1. Ils passent des appels téléphoniques manipulateurs

Si Drew Barrymore n’avait pas été tuées et pendue à un arbre au début de Scream, elle n’aurait probablement pas écouté d’autres appels téléphoniques de la sorte.

Le phishing téléphonique (ou vishing) est moins commun que le phishing via email, en partie puisqu’il ne peut être effectué en masse, mais leur nature hautement ciblée peut les rendre plus persuasifs. Une voix sympathique au téléphone est plus intime qu’un email et l’escroc peut créer un sentiment d’urgence plus accrue.

 

  1. Ils ne cessent de revenir

Si les franchises de film d’horreur qui durent nous ont appris une chose, c’est que les méchants ne disparaissent jamais bien longtemps. Vous saviez lorsque Freddy Krueger a explosé à cause d’une bombe (dans le film La Fin de Freddy : L’Ultime Cauchemar – rien que ça !), que les écrivains trouveraient un moyen de le ramener.

Nous devrions avoir la même attitude avec les escroqueries de phishing récurrentes.

Chaque année, d’innombrables personnes reçoivent des emails sensés provenir par exemple des services publics. Ces messages préviennent les destinataires qu’ils ont droit à un remboursement et qu’il leur suffira pour cela de cliquer sur le lien fourni et de remplir leurs informations de taxes.

Cette escroquerie est devenue un vrai problème mais risque malheureusement de continuer tant que les criminels réussissent à trouver de nouvelles victimes.

 

Protégez-vous contre les attaques d’hameçonnage

Une fois que vous êtes conscient des dangers du hameconnage, vous pouvez passer de Sarah Connor dans Terminator à Sarah Connor dans T-2. Et comme dans The Terminator, la dépendance des individus vis-à-vis de la technologie causera leur perte. Il n’y a malheureusement pas de technologie à l’épreuve du l’hameçonnage, comme le prouve l’email trimestriel de d’évaluation des risques de sécurité de Mimecast. Ce rapport indique que 24% des emails malveillants passent à travers les filtres spams, laissant chaque jour des millions d’escroqueries d’hameçonnage dans les boit mail des individus.

La manière la plus efficace de se défendre contre les attaques contre votre entreprise est d’investir dans des formations de sensibilisation du personnel. Notre formation de sensibilisation du personnel au hameçonnage est basée sur des exemples concrets et conseils pratiques afin d’aider les employés à mieux comprendre comment le hameçonnage fonctionne et comment éviter de devenir l’une de ses victimes.

En savoir plus sur notre formation de sensibilisation du personnel au hameçonnage

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.