Prenez garde au phishing ! - Beware of phishing!

Ces derniers temps, l’UNamur assiste à une recrudescence des mails de phishing (aussi appelés « mails de hameçonnage ») envoyés à des membres du personnel. Il s’agit de piratage informatique. Pour éviter tout désagrément, voici quelques précieux conseils à rappeler. | Lately, UNamur has witnessed an upsurge in phishing emails sent to staff members, due to hacking. To avoid any inconvenience, here are some valuable tips to remember.

Quelle que soit votre fonction au sein de l'UNamur, n'hésitez jamais, en cas de doute, à contacter votre SIL (Service Informatique Local) ou le RSSI (Responsable Sécurité des Systèmes d'Information) de l'UNamur.

La vigilance de chacun·e contribue à une sécurité accrue et à une diminution des risques d'attaques contre notre Institution. Les conseils qui suivent peuvent être suivis non seulement à l’UNamur mais aussi à votre domicile, en télétravail.

Conseil n°1 : Ne faites pas confiance au nom affiché

La tactique de phishing préférée des cybercriminels consiste à usurper le nom indiqué dans le message électronique. Le fonctionnement est le suivant : imaginons par exemple qu'un fraudeur souhaite usurper la marque fictive « Ma Banque », son message ressemblera alors à ceci :

• À: Moi <prenom.nom@unamur.be>
• De: Ma Banque <compte@secure.com>
• Objet: Tentative de connexion non autorisée

Comme le domaine « secure.com » n'appartient pas à « Ma Banque », le mécanisme de protection par authentification des e-mails ne bloquera pas ce message de la part de « Ma Banque ».
Une fois délivré, le message semble légitime puisque la plupart des boîtes de réception et des téléphones portables présentent uniquement le nom d'affichage. Vérifiez systématiquement l'adresse électronique indiquée dans le champ « De » et, en cas de doute, désignez le message comme suspect en le transférant vers votre SIL qui fera le nécessaire pour bloquer ces tentatives de phishing.

Conseil n°2 : Regardez mais ne cliquez pas

Les cybercriminels adorent intégrer des liens malveillants dans les messages en apparence légitimes. Lorsque de tels liens sont présents dans le corps du message, survolez-les avec votre souris, mais sans cliquer dessus. Si l'adresse correspondante vous semble étrange, ne cliquez pas sur le lien. En cas de doute, quel qu'il soit, transmettez directement ce message à votre SIL.

Conseil n°3 : Cherchez les fautes d'orthographe pour vous protéger du phishing

Les marques se montrent généralement consciencieuses dans leurs communications. Les vrais messages ne contiennent donc généralement pas de graves fautes d'orthographe ou de grammaire. Lisez soigneusement vos messages et n'hésitez pas à les signaler en cas de doute en les transférant à votre SIL.

Conseil n°4 : Analysez la formule de salutation

Le message s'adresse-t-il à un vague « précieux client » ? Si oui, faites attention. Une véritable entreprise utilisera généralement une formule plus personnelle, indiquant vos nom et prénom.

Conseil n°5 : Ne communiquez jamais d'informations confidentielles (les vôtres comme celles de l'université)

La plupart des entreprises ne vous demanderont jamais vos identifiants de connexion à caractère personnel par e-mail, et en particulier les banques. À l'inverse, la plupart d'entre elles ont mis en place des règles qui interdisent les communications externes de leurs adresses IP. Réfléchissez donc bien avant d'envoyer toute donnée confidentielle par e-mail.

Conseil n°6 : Méfiez-vous des propos urgents ou menaçants éventuellement présents dans la ligne d'objet

Susciter la crainte ou un sentiment d'urgence est une tactique de phishing courante. Méfiez-vous des lignes d'objet qui vous signalent que « votre compte a été suspendu » ou qui vous invitent à répondre rapidement à une « demande urgente », etc. En cas de doute, n'hésitez pas à appeler la personne qui vous adresse, soi-disant, cette demande afin d'en vérifier la véracité.

Conseil n°7 : Examinez la signature pour vous protéger contre le phishing

L'absence de détails sur le signataire ou de coordonnées permettant de contacter l'entreprise fait fortement penser à une tentative de phishing. Les véritables entreprises donnent toujours leurs coordonnées. Vérifiez-les !

Conseil n°8 : Ne cliquez jamais sur les pièces jointes

Joindre des documents contenant des virus et des logiciels malveillants est une tactique de phishing courante. Ces logiciels malveillants peuvent endommager votre ordinateur, voler vos mots de passe ou encore vous espionner à votre insu. N'ouvrez jamais les pièces jointes aux courriers électroniques que vous n'attendez pas.

Conseil n°9 : Ne vous fiez pas à l'en-tête indiquée dans l'adresse électronique

Les fraudeurs ne se contentent pas d'usurper le nom d'affichage des marques ; ils se font également passer pour celles-ci dans l'en-tête de l'adresse électronique, y compris dans le nom de domaine. Gardez à l'esprit que, même si l'adresse de l'expéditeur semble légitime (par exemple nomexpéditeur@votresociete.com), ce n'est peut-être pas le cas. L'apparition d'un nom familier dans votre boîte de réception est parfois trompeuse.

Conseil n°10 : Ne croyez pas tout ce que vous voyez

Les auteurs de phishing se montrent d'une habileté extrême. Nombre d'e-mails malveillants présentent les logos et les argumentaires d'une marque et une adresse de messagerie apparemment valide pour vous convaincre. Montrez-vous prudent pour tous les messages électroniques et, en cas de doute, même le plus léger, n'ouvrez pas le message, mais transférez-le à votre SIL.

---

Beware of phishing !

Lately, UNamur has witnessed an upsurge in phishing emails sent to staff members, due to hacking. To avoid any inconvenience, here are some valuable tips to remember. Whatever your function within the UNamur, never hesitate, in case of doubt, to contact your SIL (Local IT Department) or the UNamur RSSI (Information Systems Security Manager -rssi@ unamur.be).

Everyone's vigilance contributes to increased security and a reduction in the risk of attacks against our Institution. You can follow the tips listed below at the UNamur but also at home, when teleworking.

Tip #1: Don't trust the displayed name

The cybercriminals' favorite phishing tactic is to impersonate the sender in the e-mail message. The operation is as follows: imagine for example that a fraudster wishes to usurp the fictitious brand "My Bank", his message will then look like this:

• To: Me <firstname.lastname@unamur.be>
• From: My Bank <account@secure.com>
• Subject: Unauthorized login attempt

As the “secure.com” domain does not belong to “My Bank”, the protection mechanism by e-mail authentication will not block this message from “My Bank”. Once delivered, the message appears legitimate since most inboxes and cell phones show only the display name. Systematically check the e-mail address indicated in the "From" field and, if in doubt, designate the message as suspicious by forwarding it to your SIL.  They will take the necessary actions to block these phishing attempts.

Tip #2: Look, but don't click

Cybercriminals love to embed malicious links in seemingly legitimate messages. When such links are present in the body of the message, hover over them with your mouse, but do not click on them. If the corresponding address seems strange to you, do not click on the link. If in any doubt, forward this message directly to your SIL.

Tip #3: Look for spelling mistakes to protect yourself from phishing

Brands are generally conscientious in their communications. Real messages therefore usually do not contain serious spelling or grammatical errors. Read your messages carefully and do not hesitate to report them in case of doubt by forwarding them to your SIL.

Tip #4: Analyze the greeting

Is the message addressed to a vague “valuable customer”? If so, be careful. A real business will usually use a more personal form, showing your first and last name.

Tip #5: Never share confidential information (neither yours or the university's)

Most companies will never ask you for your personal login credentials by email, especially banks. Conversely, most of them have rules that prohibit external communications of their IP addresses. Think carefully before sending any confidential data by e-mail.

Tip #6: Beware of urgent or threatening language that may be present in the subject line

Creating fear or a sense of urgency is a common phishing tactic. Beware of subject lines that tell you that "your account has been suspended" or prompt you to respond quickly to an "urgent request", etc. If in doubt, do not hesitate to call the person who is supposedly sending you this request in order to verify its veracity.

Tip #7: Examine the signature

The lack of signer details or company contact details strongly suggests a phishing attempt. Real companies always give their contact details. Check them out!

Tip #8: Never click on attachments

Attaching documents containing viruses and malware is a common phishing tactic. This malware can damage your computer, steal your passwords or even spy on you without your knowledge. Never open attachments to e-mails you are not expecting.

Tip #9: Don't trust the header in the email address

Fraudsters don't just spoof brands' display names, they also impersonate them in the header of the email address, including the domain name. Keep in mind that even if the sender address looks legitimate (eg sendername@yourcompany.com), it might not be. The appearance of a familiar name in your inbox can sometimes be misleading.

Tip #10: Don't believe in everything you see

Fraudsters are extremely clever. Many malicious emails feature brand logos and sales pitches and a seemingly valid email address to convince you. Exercise caution with all e-mail messages and, if in doubt, even the slightest, do not open the message, but forward it to your SIL.

 

Contact : RSSI - rssi@unamur.be