Clickbait, quand le piège à clic se referme

Il suffit parfois d’un simple clic pour s’exposer à des conséquences désastreuses, pour son identité, ses comptes bancaires, son entreprise, etc. Et un mauvais clic commis sur le réseau d’une entreprise peut avoir des ramifications sans fin, coûter des dizaines de milliers d’euros en réparations ou encore faire de l’entreprise l’une des nombreuses victimes de compromissions de sécurité citées dans les médias. Les cyberattaques peuvent en effet être fort lucratives et nombre de cybercriminels s’organisent volontiers comme des « entreprises » dans des pays ou régions où leur victime pourra difficilement faire valoir ses droits. 

Mais s’il est de notoriété qu’un seul scam d’appâtage suffit à détruire une entreprise, comment se fait-il qu’autant de personnes commettent encore l’erreur de cliquer ? Quels sont les risques liés aux pièces jointes et aux liens malveillants ? Comment les reconnaître, limiter leurs effets, voire s’en prémunir ?

Pourquoi est-ce si facile de tomber dans un piège à clic ?

Les scams utilisent souvent des tactiques d’ingénierie sociale. Grâce à une bonne compréhension de la façon dont les gens pensent et agissent, l’attaquant peut les manipuler et influencer leur comportement. L’essentiel pour lui est de comprendre les motivations des agissements d’un utilisateur. Il pourra alors user de tactiques pour le tromper : lui faire croire qu’un e-mail ou site web est authentique, que la source de l’information est fiable et qu’il est urgent d’agir. Une personne mal intentionnée voudra aussi susciter chez sa cible une réaction émotionnelle forte (peur, colère, excitation, curiosité, culpabilité, tristesse) car il est connu que des êtres humains sous l’effet d’émotions fortes prendront plus volontiers des risques ou des décisions irrationnelles.

Des cybermenaces à la pointe de l’innovation sont conçues pour s’engouffrer dans des brèches et profiter de vulnérabilités avant même que l’on sache de quoi l’on doit se méfier comme lors de téléchargements intempestifs ou d’attaques du trou d’eau. Et souvent les utilisateurs ne mesurent pas la valeur de leurs données personnelles, de leur date de naissance ou de leur numéro de téléphone, et communiquent ces informations sans se méfier, sans même prendre des mesures pour se protéger. Ils permettent ainsi aux cybercriminels de lancer des attaques ciblées procédant de tactiques hautement personnalisées.

Comment distinguer un lien authentique d’un lien malveillant ?

Il peut être difficile pour un utilisateur de déterminer qu’un e-mail, un lien ou une pièce jointe est possiblement malveillant.

Pour les identifier, la plupart des experts en cybersécurité recommandent de suivre ces 5 conseils.

1. Repérer des fautes éventuelles, des problèmes d’affichage, de construction ou de formatage de l’e-mail, noms de fichiers et de liens suspects, mais aussi les irrégularités dans l’URL, la mauvaise qualité d’image ou l’apparence des logos.
2. Inspecter l’adresse e-mail de l’expéditeur. Rejeter immédiatement les adresses e-mail manifestement incorrectes ou qui ne seraient pas associées à un compte professionnel, et se méfier des imitations.
3. Obtenir confirmation de l’identité de l’expéditeur, en contactant la source par un autre moyen.
4. Écouter ses émotions. Si le message suscite un sentiment de curiosité, de peur ou une réaction négative, considérer ces émotions comme un drapeau rouge.
5. Faire attention à qui communiquer des informations, même basiques, comme son adresse e-mail ou son numéro de téléphone. Se méfier si ça paraît trop beau pour être honnête.