Un employé de l'Université MacEwan a reçu un courriel en 2017 d'une personne prétendant être un entrepreneur en construction demandant de changer le numéro de compte où près de 12 millions de dollars en paiements ont été envoyés. Une semaine plus tard, l'entrepreneur actuel a appelé pour demander quand le paiement arriverait. L'e-mail concernant le changement de numéro de compte était faux. Au lieu d'aller à l'entrepreneur, les paiements ont été envoyés sur des comptes contrôlés par des criminels.

Les faux e-mails qui tentent d'inciter les gens à faire des choses qu'ils ne feraient pas normalement, comme envoyer de l'argent, exécuter des programmes dangereux ou donner des mots de passe, sont appelés e-mails de phishing. Les experts en cybersécurité reprochent souvent aux personnes qui reçoivent de tels messages de ne pas avoir remarqué que les e-mails sont faux.

En tant que chercheur en cybersécurité, j'ai découvert que la plupart des gens maîtrisent presque toutes les compétences que les experts en sécurité informatique utilisent pour détecter les faux e-mails dans leur boîte de réception. Faire la différence revient à écouter son instinct.

Comment font les pros

Dans des recherches antérieures, j'ai découvert que lorsque les experts en cybersécurité recevaient un e-mail de phishing, ils supposaient, comme la plupart des gens, que l'e-mail était réel. Ils ont d'abord pris tout dans l'e-mail pour argent comptant. Ils ont essayé de comprendre ce que l'e-mail leur demandait de faire et comment cela se rapportait à des choses dans leur vie.

Au fur et à mesure qu'ils lisaient, ils ont remarqué de petites choses qui semblaient bizarres ou différentes de ce qui se trouverait généralement dans des messages électroniques similaires. Ils ont remarqué des choses comme des fautes de frappe dans un e-mail professionnel ou l'absence de fautes de frappe d'un cadre très occupé. Ils ont remarqué des choses comme une banque fournissant des informations de compte dans un message électronique au lieu de la notification standard indiquant que le destinataire avait un message qui l'attendait dans le système de messagerie sécurisé de la banque. Ils ont également remarqué des choses comme quelqu'un qui leur envoyait un e-mail de manière inhabituelle sans le mentionner en personne au préalable.

Mais remarquer ces signes ne suffit pas pour comprendre que l'e-mail est une fraude. Au lieu de cela, les experts sont devenus mal à l'aise avec le message électronique. Ce n'est que lorsqu'ils ont vu quelque chose dans le message qui leur rappelait le phishing qu'ils sont devenus suspects. Ils verraient une anomalie comme un lien sur lequel l'e-mail essayait de les faire cliquer. Dans leur esprit, ceux-ci sont généralement associés à des e-mails de phishing.

Combiné au sentiment inconfortable suscité par le message électronique, ce rappel a incité les experts à reconnaître que le phishing pourrait expliquer les choses étranges qu'ils ont remarquées. Ils se sont méfiés du message et ont enquêté pour déterminer s'il s'agissait d'une fraude.

Bon instinct

Si c'est comme ça que font les experts, alors que font les gens ordinaires ? Lorsque j'ai interrogé des personnes sans expérience en sécurité informatique, j'ai trouvé un processus similaire. La plupart des gens ont remarqué des choses qui semblaient bizarres, sont devenus mal à l'aise avec l'e-mail, se sont souvenus du phishing et ont enquêté.

Mes recherches ont révélé que les gens sont bons pour les deux premières étapes :remarquer des choses dans l'e-mail qui semblent bizarres et devenir mal à l'aise. Presque tous ceux à qui j'ai parlé ont remarqué plusieurs problèmes lorsqu'ils ont vu un faux e-mail et m'ont dit qu'ils se sentaient mal à l'aise avec le message.

Et si les gens pensaient au phishing, ils étaient également bons pour enquêter. Au lieu de regarder les détails techniques, la plupart des gens ont contacté l'expéditeur ou demandé de l'aide à d'autres. Mais ils étaient toujours capables de déterminer correctement si un e-mail était une attaque de phishing.

Histoires d'hameçonnage

La plupart des formations sur le phishing enseignent aux gens à rechercher les problèmes dans les e-mails. Mais pour la plupart des gens, le plus difficile avec le phishing est de ne pas remarquer les choses étranges dans un message électronique. Les gens traitent souvent des e-mails étranges mais réels. De nombreux messages semblent un peu décalés. Parfois, votre patron passe une mauvaise journée ou la banque change ses politiques. Aucun e-mail n'est parfait, et les gens y sont souvent sensibles.

Le défi pour la plupart des gens était de se rappeler que le phishing existe et de reconnaître que le phishing pourrait expliquer ces choses étranges. Sans cette prise de conscience de l'hameçonnage, l'étrangeté des messages d'hameçonnage peut être perdue dans l'étrangeté quotidienne des e-mails.

La plupart des personnes que j'ai interrogées connaissent le phishing en général. Mais les personnes qui étaient douées pour remarquer les messages de phishing ont rapporté des histoires d'incidents de phishing spécifiques dont elles avaient entendu parler. Ils m'ont parlé d'un moment où quelqu'un de leur organisation est tombé dans le piège d'un courriel d'hameçonnage, ou d'un reportage sur un incident comme celui de l'Université MacEwan.

La connaissance d'incidents de phishing spécifiques aide les gens à se souvenir du phishing en général et à reconnaître que cela peut expliquer les choses étranges qu'ils remarquent dans un e-mail. Ces histoires sont essentielles pour que les gens passent de "quelque chose de louche" à "est-ce que c'est de l'hameçonnage ?"