Les 4 commandements du phishing - N° 3 : tu connaitras les liens

Nous savons donc que les cybercriminels nous ciblent en raison de l’abondance de renseignements personnels disponibles en ligne (Message 1), et nous pouvons repérer facilement une adresse e-mail ou un nom de domaine suspect (Message 2), mais quels conseils peuvent nous aider à identifier un lien malveillant lorsque nous en voyons un ? Et quels sont les pièges à éviter s’agissant de cliquer sur un lien ?

Avant d’aborder les liens, prenons du recul et considérons les attaques de phishing dans leur ensemble afin de savoir à quoi nous attendre. Voici les trois types d’attaques de phishing les plus fréquentes :

Le « spear phishing » (harponnage) : Les cybercriminels dressent le profil d’une cible, qui peut être une personne ou un groupe de personnes dans une entreprise, et utilisent des informations accessibles publiquement pour créer une campagne de phishing basée sur des détails professionnels ou sociaux d’aspect personnel. Par exemple, ce pourrait être un e-mail d’un détaillant en ligne envoyé juste avant les vacances indiquant que des détails de paiement sont manquants, ou un responsable de votre entreprise vous demandant d’examiner une « nouvelle procédure officielle ». Ce type d’attaque se traduit par un haut niveau de personnalisation du contenu des e-mails envoyés aux destinataires.#3 Know Thy Link_FR_POST_Image_1

Le phishing par messagerie instantanée : les cybercriminels manipulent les discussions instantanées en créant de faux profils ou en détournant des comptes existants pour inciter des amis à cliquer sur des liens malveillants et à divulguer des informations sensibles.

Les attaques de type « water hole » (attaques de point d’eau) : les cybercriminels implantent des contenus malveillants sur les sites Web les plus susceptibles d’être visités par leurs cibles. Ces sites Web tenteront d’infecter l’ordinateur des personnes qui les visitent via un navigateur ou une extension vulnérable.

Intéressons-nous maintenant à ces liens.

Les liens sont essentiellement des références qui permettent à un utilisateur d’accéder à d’autres documents ou programmes ouverts en cliquant sur eux. Les liens ont deux formes : les liens de texte et les liens d’image, à savoir le texte et l’image visibles contenant une URL sous-jacente qui renvoie vers le site cible.

La bonne nouvelle est que, quelle que soit la forme qu’ils adoptent, les liens sont toujours très visibles et faciles à examiner. (Reportez-vous à l’image 1 pour connaitre les principales composantes d’un lien) en SURVOLANT le lien avec le curseur de la souris, SANS cliquer dessus, vous pouvez :#3 Know Thy Link_FR_POST_Figure_1

  • constater un changement du type de curseur (il se transforme en une icône de main à partir d’une flèche) pour indiquer le lien, et
  • voir l’URL (l’adresse Web vers laquelle pointe le lien) dans une fenêtre contextuelle dédiée ou dans la barre d’état au bas de votre écran/navigateur Web.

De même que pour le phishing, vous devez rechercher une incohérence. Voici certains des pièges les plus fréquents à détecter lors de l’examen d’un lien :

  1. Sosies

Ce sont des liens de texte qui ressemblent à une URL légitime comme souligné dans l’image 1 ci-dessus. Notez que pour les liens de texte, le texte du lien et l’URL du lien n’ont pas besoin d’être identiques ! Même si le texte du lien ressemble à une URL légitime, il vous faut TOUJOURS examiner l’URL sous-jacente pour vous assurer que le site vers lequel vous serez redirigé est celui que vous attendez.

  1. Mhhh, je n’en ai pas envie !

Le fait que vous soyez invité à cliquer sur un lien ne signifie pas qu’il est logique de le faire !

Des invitations par e-mail pour accéder à des comptes en ligne via des liens devraient toujours éveiller en vous ce sentiment de « paranoïa saine » et faire l’objet d’un examen minutieux. En règle générale, accédez toujours à vos comptes en ligne depuis un site officiel - jamais à partir d’un lien contenu dans un e-mail. Une exception à cette règle concerne une réinitialisation d’un mot de passe ou une vérification par e-mail que vous auriez demandée. Si vous pensez que l’e-mail est authentique et nécessite votre attention, accédez à votre profil en ligne depuis le site officiel.

Les messages de chat ou sur les médias sociaux provenant d’amis qui vous invitent à découvrir un « truc super, formidable, révolutionnaire ! » sont très fréquents. Mais avant de cliquer, vérifiez auprès de vos amis qu’ils l’ont effectivement envoyé – les cybercriminels ne pourront certainement pas répondre à votre demande de vérification.

  1. Adresses IP

Chaque adresse URL d’un site dispose également d’un label numérique connu en tant qu’adresse IP. Lorsque des liens sont présentés de cette façon, vous ne savez pas où vous allez être redirigé. Si tout le reste semble légitime, nous vous recommandons d’effectuer une vérification auprès de l’expéditeur.

Le dernier message de cette série, « Les 4 commandements du phishing - N° 4 : tu ne partageras pas » commence par des mesures simples que vous pouvez prendre sur les médias sociaux pour gérer votre exposition publique et vous prodigue des conseils pour communiquer numériquement en toute sérénité grâce à vos nouvelles connaissances.

Picture of Yair Melmed

About Yair Melmed

Yair is Vice President of Business Development & Operations at MazeBolt. He brings more than 20 years of Account Management, Business Development & Finance experience and excels in rapid growth environments. Most recently, Yair spent five years in the homeland security industry where he established and led the Account Management team for multi-billion dollar projects. Yair holds an MBA from INSEAD, Fontainebleau and a B.A in Philosophy & Economics from the University of Haifa, and enjoys early morning open water swimming.