Hameçonnage : l’impulsion irrépressible de l’homme à cliquer sans réfléchir

click-phishing-sitp

Levez la main ceux qui n’ont jamais eu affaire à un courriel suspect. Levez la main ceux qui n’ont jamais connu quelqu’un tomber dans le piège du hameçonnage. Pourtant, malgré les connaissances déjà répandues, le vol d’informations sensibles continue de croître de manière exponentielle et les attaques par rançongiciel continuent de frapper des entreprises de toute taille, avec un taux de réussite élevé. Selon un récent rapport du FBI, le hameçonnage et ses variantes, telles que le hameçonnage par téléphone, le hameçonnage par SMS et le dévoiement, représentent de loin l’un des crimes informatiques les plus répandus et les plus réussis.

Mais qu’est-ce qui rend ce genre d’escroquerie si insidieuse ? Certainement l’évolution continue des techniques de cybercriminalité mais surtout cette irrépressible impulsion humaine à répondre immédiatement à un stimulus et à agir sans réfléchir. Un comportement qui, en général, n’est jamais le fruit d’actions vertueuses, mais qui, devant un écran et un clavier, peut avoir de graves conséquences. En bref, cliquer sur un lien ou une pièce jointe ne prend qu’un instant, mais réparer les dommages qui peuvent résulter de cette action peut prendre beaucoup de temps et beaucoup d’argent.

Tout cela, les cybercriminels le savent bien et, en tant que fins connaisseurs de l’esprit humain, ils sont conscients que la clé de leur succès réside précisément dans leur capacité de manipuler une personne en la convainquant d’accomplir une action spécifique. De plus, malgré les clichés, ce ne sont pas seulement les utilisateurs débutants qui tombent dans le piège, mais aussi ceux qui ont plus d’expérience, précisément parce qu’ils se déplacent et agissent avec plus de désinvolture et de répétitivité.

En 2020, 306,4 millions de courriels ont été envoyés et reçus quotidiennement. Ouvrir un courriel et cliquer sur un lien est pour beaucoup une habitude établie et un geste presque mécanique. Mais c’est précisément là que se trouve le piège dans lequel tant de personnes tombent, ainsi que la clé du succès des attaques de hameçonnage.

Les 5 pièges du hameçonnage : apprenez à les reconnaître

Les attaques de hameçonnage sont donc conçues pour inciter les gens à agir avant qu’ils ne réfléchissent trop. Pour ce faire, les pirates utilisent quelques astuces très efficaces. Apprenons à les reconnaître.

  • La source fiable – une technique consiste à faire en sorte que le destinataire du courriel se sente en sécurité. Les campagnes de hameçonnage utilisent très souvent comme expéditeurs de fausses identités et des marques célèbres. Microsoft s’est classé à plusieurs reprises au premier rang des marques de contrefaçon préférées des cybercriminels. En tête de liste figurent Netflix et PayPal.
  • Le clic irrésistible – 79 % des gens affirment qu’ils peuvent reconnaître un courriel de hameçonnage, même si en réalité, le pourcentage de personnes qui cliquent sur un lien dans un courriel suspect est encore très élevé. L’une des raisons du clic impulsif est probablement liée à l’habitude d’utiliser des applications simples et intuitives. Cliquer est presque devenu une réponse pavlovienne lorsqu’un courriel contient un lien.
  • Les actions simples – le manque de réflexion avant d’accomplir une action est souvent lié aussi à la simplicité de la tâche à accomplir et à sa répétitivité. Cela conduit à effectuer de nombreux clics sans trop réfléchir aux conséquences possibles. Si l’activité à effectuer est liée à la sphère professionnelle, le clic est encore plus susceptible d’être effectué, déclenchant immédiatement l’attaque de hameçonnage. Ce n’est pas un hasard si les activités répétitives et reconnues, telles que la réinitialisation du mot de passe, font partie des activités préférées des pirates.
  • L’urgence – souvent, les courriels de hameçonnage contiennent une sorte de conditionnement pour inciter les gens à cliquer automatiquement. En effet, ils contiennent souvent une échéance ou la nécessité d’effectuer une action déterminée, comme par exemple le paiement d’une facture. Certaines campagnes de hameçonnage, celles qui ciblent un individu spécifique (spear phishing), reposent précisément sur la pression émotionnelle qu’un PDG, par exemple, peut générer s’il envoie un courriel au service comptable avec la demande urgente de transférer de l’argent sur un compte bancaire. Le compte du PDG est, bien sûr, déjà tombé entre les mains d’un cybercriminel et le service comptable ne peut que faire bonne figure.
  • La surcharge de travail – une étude sur les hôpitaux ciblés par les campagnes de hameçonnage est arrivée à la conclusion que le personnel surchargé de travail est le plus susceptible de cliquer sur un lien de hameçonnage. Si vous n’avez pas le temps de réfléchir, il est plus probable que vous répondiez automatiquement.

« Il suffit d’un simple clic », lit-on souvent sur Internet. Dommage que ce clic puisse être une arme pointée contre nous-mêmes ou contre l’entreprise dans laquelle nous travaillons. L’arrêt de l’automatisation des clics est essentiel pour contrer les techniques de cybercriminalité et le succès du hameçonnage.

Acquérir la conscience nécessaire pour naviguer sur le réseau avec une plus grande sécurité n’est possible qu’avec une formation appropriée qui permettra d’acquérir une posture numérique à l’épreuve des pirates.