Qu’est-ce qu’un e-mail d’hameçonnage ?

Découvrez ce qu’est un e-mail d’hameçonnage et comment vous protéger contre ce type de fraude en ligne.

Définition des e-mails d’hameçonnage

L’hameçonnage est un type d’escroquerie en ligne où des criminels essaient de tromper des personnes pour qu’elles divulguent des informations sensibles, comme des mots de passe, des numéros de carte de crédit et des détails personnels. Pour ce faire, un criminel se fait passer pour une personne ou une entreprise de confiance, comme une banque, une agence gouvernementale ou un site web populaire.

Un e-mail d’hameçonnage est un message frauduleux qui semble authentique. Il vous demande généralement de cliquer sur un lien, de télécharger une pièce jointe ou de fournir des informations personnelles dans le but de voler des informations précieuses. Ces e-mails créent souvent un sentiment d’urgence, par exemple, en avertissant que votre compte est en danger ou en offrant une récompense limitée dans le temps, pour vous pousser à agir rapidement.

Principaux points à retenir

Les e-mails d’hameçonnage sont conçus pour voler des informations personnelles en prétendant provenir de sources légitimes.
Les signes courants d’e-mails d’hameçonnage incluent des expéditeurs suspects, des demandes urgentes, des salutations génériques, des pièces jointes inattendues et des demandes d’informations sensibles.
Si vous interagissez avec un e-mail d’hameçonnage, agissez rapidement en changeant vos mots de passe, en informant les parties concernées et en signalant l’e-mail.
Prévenez les attaques d’hameçonnage en restant vigilant, en utilisant de bonnes pratiques de sécurité et en maintenant vos logiciels à jour grâce à une protection antivirus et des filtres de messagerie.
Aidez à détecter et à prévenir l’hameçonnage grâce à un filtrage basé sur l’intelligence artificielle, à la détection des menaces en temps réel et aux outils d’authentification multifacteur de Sécurité Microsoft.

Pourquoi il est important de comprendre les e-mails d’hameçonnage

Le monde est plus numérique que jamais, et les e-mails d’hameçonnage sont l’une des plus grandes menaces en ligne. Les cybercriminels envoient des millions d’e-mails d’hameçonnage chaque jour, ciblant des particuliers, des entreprises et même des agences gouvernementales. Tomber dans le piège d’une cyberattaque, comme un e-mail d’hameçonnage, peut conduire au vol d’identité, à des pertes financières et au piratage de comptes. Dans les lieux de travail, un clic au mauvais endroit peut compromettre des réseaux entiers, entraînant des violations de données et des dommages coûteux.

Reconnaître les e-mails d’hameçonnage est une compétence clé pour vous protéger et protéger vos informations. Les attaquants parviennent de mieux en mieux à ce leurs escroqueries semblent réelles, mais connaître les signes d’alerte peut vous aider à les éviter.

Comprendre ce que l’hameçonnage ne vous aide pas seulement vous, cela aide également à protéger votre espace de travail, votre famille et vos amis. Plus il y a de personnes capables de repérer ces escroqueries, plus il devient difficile pour les cybercriminels de réussir.

L’évolution des e-mails d’hameçonnage

L’hameçonnage a commencé dans les années 1990, lorsque des escrocs ont trompé des gens pour qu’ils révèlent leurs mots de passe AOL. Avec le développement de l’internet, les attaques par hameçonnage sont devenues plus sophistiquées. Les criminels ont commencé à copier l’apparence des vrais sites web pour voler des identifiants de connexion. Au fil du temps, l’hameçonnage a dépassé le cadre des e-mails (phishing) pour s’étendre aux messages texte (smishing) et aux appels téléphoniques (vishing). Aujourd’hui, les attaquants utilisent des messages générés par l’IA et des tactiques d’ingénierie sociale pour rendre leurs escroqueries encore plus convaincantes.

Malgré les avancées en matière de cybersécurité, l’hameçonnage reste l’une des menaces en ligne les plus courantes. Reconnaître les e-mails d’hameçonnage est une compétence importante pour rester en sécurité en ligne.

Comment fonctionnent les e-mails d’hameçonnage

Les e-mails d’hameçonnage sont conçus pour ressembler à des messages provenant d’entreprises et de personnes de confiance. L’objectif est de vous inciter à agir d’une certaine manière en recourant à la tromperie et à des astuces psychologiques.

Les cybercriminels conçoivent soigneusement les e-mails d’hameçonnage afin qu’ils paraissent réels, et ce, de différentes manières :

En imitant des marques légitimes. Vous pouvez voir des logos officiels, des adresses e-mail similaires et des designs d’aspect professionnel.
En utilisant des informations personnels. Certaines escroqueries incluent votre nom, votre e-mail ou d’autres informations pour rendre le message plus authentique.
En intégrant de faux liens. L’e-mail peut contenir des liens qui semblent réels, mais qui mènent en réalité à de faux sites web conçus pour voler vos informations.
En ajoutant des pièces jointes malveillantes. Certains e-mails d’hameçonnage contiennent des fichiers qui installent des rançongiciels ou d’autres types de logiciels malveillants s’ils sont ouverts.

Astuces psychologiques utilisées dans les e-mails d’hameçonnage

Les e-mails d’hameçonnage tirent parti des émotions des gens pour augmenter les chances de réussite de l’escroquerie. Les tactiques courantes incluent :

L’urgence. Par exemple, en menaçant de verrouiller l’accès à votre compte à moins que vous ne fassiez une certaine action.
La peur. Par exemple, en vous disant que votre compte a été piraté.
La curiosité. Par exemple, en vous envoyant un reçu ou une facture pour quelque chose que vous n’avez pas acheté.
Une incitation financière. Par exemple, en disant que vous avez gagné un cadeau ou une carte-cadeau.
L’autorité. Par exemple, en prétendant être quelqu’un du service informatique de votre entreprise.

Comment identifier un e-mail d’hameçonnage

Les e-mails d’hameçonnage peuvent être convaincants, mais ils présentent souvent des signes révélateurs. Voici ce à quoi faire attention :

Liens suspects. Placez le curseur sur les liens (sans cliquer) pour voir où ils mènent réellement. Les liens d’hameçonnage contiennent parfois des fautes d’orthographe, des caractères supplémentaires ou des domaines inconnus, par exemple, "micros0ft-support.com" au lieu de "microsoft.com." Si un lien semble étrange, ne cliquez pas dessus.
Pièces jointes inattendues. Soyez toujours prudent avec les pièces jointes d’e-mail, surtout si elles vous demandent d’activer des macros ou d’installer des logiciels. Les entreprises légitimes envoient rarement des pièces jointes que vous n’avez pas demandées.
Langage urgent ou menaçant. Les formulations qui imposent d’agir immédiatement sous peine de se voir infliger une suspension de compte vous poussent à agir par peur. Les escrocs comptent sur la panique pour obtenir des réponses rapides.
Demandes d’informations personnelles ou financières. Aucune entreprise légitime ne vous demandera de fournir des mots de passe, des numéros de carte de crédit ou des numéros de sécurité sociale par e-mail. En cas de doute, contactez directement l’entreprise par des canaux officiels, pas en cliquant sur quoi que ce soit dans l’e-mail.
Salutations génériques et manque de personnalisation. Les e-mails d’hameçonnage utilisent parfois des ouvertures génériques, comme « Cher client » ou « Cher utilisateur » au lieu de vous appeler par votre nom. Les vraies entreprises personnalisent généralement leurs e-mails.
Mauvaise grammaire et fautes d’orthographe. De nombreux e-mails d’hameçonnage contiennent des formulations maladroites, des fautes de frappe ou un phrasé inhabituel. Les organisations professionnelles relisent leurs e-mails. Ces types d’erreurs doivent par conséquent vous alerter.
Adresses d’expéditeur non correspondantes. Vérifiez attentivement l’adresse e-mail de l’expéditeur. Les escrocs utiliseront des adresses qui ressemblent à de vraies mais avec de petites différences, comme « support@micr0soft.com » au lieu de « support@microsoft.com ».

Cinq exemples d’e-mails d’hameçonnage

Parcourez ces exemples d’escroqueries par e-mail d’hameçonnage pour mieux comprendre à quoi ils ressemblent.

1. Fausse alerte de sécurité

Ligne d’objet : Tentative de connexion inhabituelle détectée—Action requise !

Un e-mail d’hameçonnage prétendant provenir d’un service bien connu, comme votre banque ou votre fournisseur de messagerie, avertit qu’une personne a essayé d’accéder à votre compte. Il inclut un lien pour "sécuriser" votre compte, mais le lien mène à une fausse page de connexion conçue pour voler vos identifiants.

Signaux d’alerte :

L’e-mail ne mentionne pas où la tentative de connexion a eu lieu (pas de détails sur l’emplacement ou l’appareil).
Le "lien pour sécuriser votre compte" mène à un domaine qui est légèrement différent du site web réel de l’entreprise.
L’adresse de l’expéditeur ressemble à quelque chose comme « security-alerts@accounts-support.com » au lieu du domaine officiel de l’entreprise.

2. Fausse facture ou demande de paiement

Objet : Facture #38491 jointe—Paiement dû immédiatement

Ce type d’e-mail d’hameçonnage prétend que vous devez de l’argent pour un service que vous n’avez jamais utilisé. Il vous incite à ouvrir une facture jointe ou à cliquer sur un lien pour examiner les frais. La pièce jointe peut contenir des logiciels malveillants, ou le lien pourrait mener à une fausse page de paiement.

Signaux d’alerte :

L’e-mail est inattendu. Les entreprises légitimes n’envoient pas de factures surprises.
La facture est dans un format suspect, comme un fichier .ZIP ou un document vous demandant d’activer des macros.
Il n’y a pas d’informations claires sur la personne qui a envoyé la facture (pas de nom d’entreprise ni de coordonnées).

3. "Vous avez gagné un prix !" escroquerie

Objet : Félicitations ! Vous avez été sélectionné pour une carte-cadeau de 500 USD

Cet e-mail d’hameçonnage indique que vous avez gagné un cadeau et que vous devez simplement "vérifier vos coordonnées" pour obtenir le prix. Il demande des informations personnelles ou vous dirige vers un formulaire qui vole vos données.

Signaux d’alerte :

Vous n’avez jamais participé à un concours, ce qui rend la victoire suspecte.
L’e-mail demande des détails personnels, comme votre adresse, votre numéro de téléphone ou vos informations de carte de crédit.
L’adresse e-mail de l’expéditeur est un compte générique Gmail ou Yahoo au lieu d’un domaine d’entreprise.

4. Fraude au PDG (compromission de la messagerie professionnelle)

Objet : Demande rapide—Besoin de votre aide ASAP

Cette tentative d’hameçonnage au travail cible les collaborateurs d’une entreprise en prétendant provenir de leur patron, d’un cadre supérieur ou des ressources humaines. L’e-mail demande au destinataire d’acheter des cartes-cadeaux, de transférer de l’argent ou de fournir des données sensibles de l’entreprise. Les attaquants usurpent souvent l’adresse e-mail d’un manager ou utilisent une adresse similaire avec une petite différence.

Signaux d’alerte :

L’e-mail est urgent et vague, sans contexte préalable.
L’adresse de l’expéditeur est légèrement différente de celle du vrai cadre (par exemple, « ceo@companyname.co » au lieu de « ceo@companyname.com »).
La demande est inhabituelle : la plupart des entreprises ont des processus formels pour les transactions financières.

5. Fausse réinitialisation du mot de passe du service informatique

Objet : Avis du service informatique : votre mot de passe e-mail expire aujourd’hui

Cet e-mail provient supposément de l’équipe informatique de votre entreprise, vous demandant de réinitialiser votre mot de passe immédiatement. Le lien fourni mène à une fausse page de connexion qui vole vos identifiants.

Signaux d’alerte :

L’e-mail ne suit pas le style de communication habituel du service informatique de votre entreprise.
L’adresse e-mail de l’expéditeur ne provient pas du domaine officiel de l’entreprise.
Le support informatique ne demande généralement pas aux collaborateurs de réinitialiser leurs mots de passe par des liens dans des e-mails. Les entreprises ont tendance à utiliser des portails internes à la place.

Que faire si vous recevez un e-mail d’hameçonnage

Si vous recevez un e-mail d’hameçonnage, ne paniquez pas, mais n’interagissez pas non plus avec celui-ci. Suivez ces étapes pour vous protéger et protéger les autres.

1. Ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes

Évitez de cliquer sur des liens, de télécharger des pièces jointes ou de répondre à l’e-mail.
Même si l’e-mail semble convaincant, interagir avec lui pourrait entraîner des logiciels malveillants ou le vol d’informations.

2. Vérifiez l’expéditeur

Vérifiez attentivement l’adresse e-mail de l’expéditeur. Si quelque chose semble suspect, comme une légère faute d’orthographe ou un domaine inconnu, il s’agit probablement d’une escroquerie.
Si l’e-mail prétend provenir d’une entreprise, rendez-vous directement sur le site officiel de l’entreprise au lieu d’utiliser les liens fournis.

3. Signalez l’e-mail d’hameçonnage

Si vous avez reçu l’e-mail au travail, transférez-le à votre équipe informatique ou de sécurité.
Aux États-Unis, signalez l’hameçonnage à la Federal Trade Commission (FTC) ou transférez l’e-mail à phishing-report@us-cert.gov.

4. Marquez l’e-mail comme spam et supprimez-le

De nombreux services de messagerie disposent d’une option « Signaler l’hameçonnage » qui aide à améliorer les filtres anti-spam. Si vous ne voyez pas cette option, signalez-le comme spam.
Si votre fournisseur de messagerie ne déplace pas automatiquement l’e-mail dans votre corbeille après l’avoir signalé, supprimez-le pour ne pas l’ouvrir accidentellement plus tard.

Étapes à suivre si vous avez interagi avec un e-mail d’hameçonnage

Une fois que vous avez interagi avec un e-mail d’hameçonnage, que ce soit en cliquant sur un lien, en téléchargeant une pièce jointe ou en fournissant des informations personnelles, vous devez agir rapidement pour limiter les dégâts. Voici ce qu’il faut faire.

1. Prenez note de ce que vous avez partagé

Si vous avez saisi votre mot de passe, vos coordonnées bancaires ou des informations personnelles, notez ce que vous avez partagé.
Cela vous aidera à déterminer ce qui doit être sécurisé et qui doit être informé.

2. Changez vos mots de passe immédiatement

Mettez à jour tous les mots de passe que vous avez pu partager, en particulier ceux des comptes bancaires, comptes de messagerie ou comptes professionnels.
Si vous utilisez le même mot de passe pour d’autres sites, changez-le également.
Utilisez des mots de passe forts et uniques et activez l’authentification multifacteur pour renforcer la sécurité.

3. Informez les personnes compétentes

Si l’e-mail d’hameçonnage ciblait votre compte professionnel, alertez votre équipe informatique ou de sécurité.
Si vous avez fourni des détails financiers, contactez votre banque ou votre société de carte de crédit pour surveiller les transactions et geler votre compte si nécessaire.
Informez vos amis, votre famille et vos collègues de ce qui s’est passé si l’escroquerie risque de les affecter (par exemple, si les attaquants peuvent utiliser votre compte compromis pour leur envoyer des e-mails d’hameçonnage).

4. Signalez l’attaque par hameçonnage

Si vous avez perdu de l’argent ou si des données sensibles ont été volées, signalez l’attaque à la FTC.
Si une fraude financière a eu lieu, contactez les forces de l’ordre locales.
Marquez le message comme une tentative d’hameçonnage ou un spam via votre fournisseur de messagerie pour aider à bloquer des attaques similaires.

5. Attendez-vous à d’autres tentatives d’hameçonnage

Les escrocs ciblent souvent à nouveau les victimes en utilisant les données volées pour envoyer de nouveaux e-mails, textos ou appels d’hameçonnage.
Soyez particulièrement prudent avec les messages qui prétendent vous aider à récupérer votre compte ou qui demandent plus d’informations personnelles.

Que se passe-t-il si vous avez été victime d’un hameçonnage ?

Être victime d’une attaque d’hameçonnage peut avoir de graves conséquences qui affectent à la fois les individus et les organisations. Voici quelques effets potentiels.

Vol d’identité

Les hameçonneurs volent des informations personnelles, telles que des numéros de sécurité sociale, des adresses et des dates de naissance, pour usurper l’identité des victimes. Cela peut les amener à ouvrir des comptes de crédit ou à commettre des délits sous le nom de la victime.

Perte financière

L’accès à des données financières privées, comme les détails de compte bancaire ou les numéros de carte de crédit, peut entraîner des transactions non autorisées et des pertes financières importantes. Par exemple, une arnaque sophistiquée d’hameçonnage par facture qui a ciblé Google et Facebook entre 2013 et 2015 a entraîné des pertes de 100 millions de dollars.

Informations sensibles compromises

Les attaques d’hameçonnage peuvent exposer des données confidentielles, y compris des secrets commerciaux et des communications personnelles. En 2021, un e-mail d’hameçonnage conduit à l’attaque de Colonial Pipeline, qui a causé une importante perturbation de l’approvisionnement en carburant aux États-Unis.

Atteinte à la réputation

Les organisations victimes d’attaques par hameçonnage peuvent voir leur réputation durablement entachée. Les clients et partenaires peuvent perdre confiance, surtout si leurs données ont été compromises. Cette perte de confiance peut avoir des effets durables sur les relations commerciales, les finances et la perception du public.

Prévenir une attaque par e-mail d’hameçonnage

Bien que les e-mails d’hameçonnage puissent être convaincants, il existe encore des moyens de vous protéger en restant vigilant et en suivant les meilleures pratiques en matière de sécurité des e-mails.

Soyez prudent avec tous les e-mails qui vous demandent d’agir

Analysez toujours les e-mails avec soin avant de cliquer sur des liens ou de télécharger des pièces jointes.
Posez-vous ces questions avant d’interagir :
- Cet e-mail fait-il sens ? Est-ce que je l’attends ?
- L’adresse e-mail de l’expéditeur est-elle correcte ?
- Y a-t-il des demandes urgentes ou des menaces qui me pressent d’agir rapidement ?
- La grammaire et le ton semblent-ils professionnels ?
Si quelque chose semble suspect, vérifiez l’e-mail auprès de l’expéditeur en utilisant une méthode de contact de confiance.

Renforcez la sécurité du courrier électronique

Utilisez des filtres de messagerie pour bloquer les messages d’hameçonnage connus.
Marquez les e-mails suspects comme spam pour améliorer le filtrage.
Ne cliquez jamais sur des liens et ne téléchargez pas de pièces jointes provenant de sources inconnues ou inattendues.

Gardez vos logiciels et outils de sécurité à jour

Installez un logiciel antivirus et assurez-vous qu’il est à jour pour aider à détecter les menaces d’hameçonnage.
Activez les mises à jour automatiques pour votre système d’exploitation, vos navigateurs web et vos applications de messagerie afin de corriger les lacunes en matière de sécurité.

Utilisez l’authentification multifacteur

L’authentification multifacteur pour vos comptes en ligne ajoute une couche de sécurité supplémentaire en exigeant une deuxième étape (comme un code envoyé à votre téléphone) avant de vous connecter.
Même si les attaquants volent votre mot de passe, ils ne pourront pas accéder à votre compte sans le deuxième facteur.

Gardez une longueur d’avance sur l’hameçonnage avec la Sécurité Microsoft

Les e-mails d’hameçonnage deviennent de plus en plus sophistiqués à cause de l’IA, de l’ingénierie sociale et même de technologie des deepfakes. Par chance, les solutions de Sécurité Microsoft qui les détectent et les empêchent évoluent également.

En alliant la sensibilisation avec des outils de sécurité robustes, vous aiderez à éviter les e-mails d’hameçonnage et à protéger vos données personnelles et professionnelles.

RESSOURCES

Découvrir plus d’informations sur Sécurité Microsoft

Une femme et un homme travaillant avec un onglet

Solution

SecOps unifiées et basées sur l’intelligence artificielle

Unifiez vos opérations de sécurité (SecOps) à travers la prévention, la détection et la réponse avec une plateforme basée sur l’IA.

Accédez au portail de protection contre les menaces

Comprenez comment les organisations utilisent la détection et la réponse étendues intégrées (XDR) et la gestion des informations et des événements de sécurité (SIEM) pour devenir plus résilientes face aux attaques.