Mercide nous aider à éradiquer les sites de phishing présents sur le Web. Si vous pensez avoir découvert une page qui se fait passer pour une autre dans le but de s'approprier des renseignements personnels sur les internautes, veuillez remplir le formulaire ci-dessous pour signaler la page à l'équipe de navigation sécurisée Google Sivous avez été victime d’une attaque de phishing. Modifier immédiatement les mots de passe divulgués et assurez-vous que les nouveaux sont sûrs. Si vous avez divulgué des données confidentielles, contactez immédiatement le prestataire concerné (établissement financier, fournisseur d’accès ou service de messagerie électronique). Sivous avez reçu un email vous informant que votre compte a été suspendu ou vous demandant des informations personnelles pour raisons de sécurité ou pour publier votre annonce, méfiez-vous. L’email ne provient pas de nos services. Il s’agit d’une tentative de phishing visant à obtenir vos informations personnelles. Vay Tiền Nhanh. SommaireI. PrésentationII. Rappel c'est quoi le phishing ?III. Installation de GophishIV. Configuration de GophishA. Création des utilisateurs et des groupesB. Créer l'e-mail pour la campagne de phishingC. Créer la landing page pour récupérer les identifiantsD. Configurer le serveur SMTPE. Lancer la campagne de phishingF. Consulter les résultats de la campagne de phishing I. Présentation Dans ce tutoriel, nous allons voir comment utiliser le framework open source Gophish pour créer une campagne de phishing hameçonnage dans le but d'évaluer le niveau de vigilance des utilisateurs.  Grâce à Gophish, vous allez pouvoir créer différentes campagnes de phishing et les diffuser auprès de vos utilisateurs, dans le but de les sensibiliser, de les entraîner, afin qu'il soit capable d'adopter les bons réflexes lorsqu'ils se retrouvent face à un e-mail le site officiel de Gophish Voici les fonctionnalités principales de Gophish Création d'utilisateurs et de groupes d'utilisateurs cibles Création de template pour les e-mails de vos campagnes Création de landing page pour vos campagnes exemple un formulaire de connexion Envoyer des campagnes de phishing avec suivi des e-mails e-mail envoyé, e-mail ouvert, clic sur le lien, données récoltées via le formulaire pour chaque utilisateur Reporting sur les campagnes API pour interroger Gophish à distance et récupérer des informations Voici à quoi ressemble le tableau de bord de Gophish, accessible à partir d'un navigateur Tableau de bord de Gophish Bien sûr, un tel outil peut être détourné pour créer des campagnes malveillantes, mais ce n'est clairement pas l'objectif de cet article. De nombreuses attaques informatiques débutent par un e-mail malveillant et un utilisateur piégé ! Je vous encourage à utiliser Gophish ou un autre outil pour sensibiliser et entraîner vos utilisateurs ! Rien de mieux que la pratique pour vérifier s'ils ont bien compris la session de formation visant à les sensibiliser. Remarque via Office 365 / Microsoft 365, Microsoft propose une fonctionnalité qui permet de réaliser des campagnes de phishing pour sensibiliser vos utilisateurs. Cela nécessite d'utiliser des licences Microsoft 365 E5. II. Rappel c'est quoi le phishing ? Le phishing, ou hameçonnage en français, est une technique utilisée dans le cadre d'attaques informatiques pour inciter l'utilisateur à communiquer des informations personnelles nom d'utilisateur, mot de passe, numéro de carte bancaire, etc. à partir d'un e-mail, d'un SMS, etc... Qui va rediriger l'utilisateur sur une page Web malveillante. Par exemple, le pirate informatique va créer une copie de la page de connexion sur Facebook et il va inclure un lien vers cette copie dans l'e-mail qu'il va envoyer aux utilisateurs ciblés. Si l'utilisateur clique sur le lien, accède à la page et saisit ses informations de connexion, le pirate va récupérer les informations saisies par l'utilisateur. Il peut alors usurper l'identité de l'utilisateur et se connecter à son compte Facebook, mais cela fonctionne pour tout autre compte Google, impôts, banque, etc.. Exemple d'un e-mail de phishing III. Installation de Gophish L'outil Gophish est disponible gratuitement sur Github et il existe des binaires pour Windows, Linux et macOS. Sinon, vous pouvez aussi le compiler vous-même ou utiliser un container Docker pour le tester rapidement. Télécharger les binaires Gophish Documentation - Installation de Gophish Pour ma part, je vais utiliser le binaire pour Windows. On obtient un ZIP qu'il suffit de décompresser. Ensuite, il faut exécuter " Note le serveur qui héberge Gophish doit être accessible par les machines de vos utilisateurs pour que la page Web puisse s'afficher lorsqu'ils vont cliquer sur le lien contenu dans l'e-mail. Par défaut, Gophish s'appuie sur une base de données SQLite, mais il est possible de configurer un serveur MySQL. Le fichier de configuration se nomme " et il est situé au même endroit que l'exécutable. Au premier démarrage, il y a quelques informations intéressantes à relever Le compte par défaut se nomme "admin" et le mot de passe généré aléatoirement est communiqué dans la console il faudra le changer à la première connexion L'interface de Gophish pour afficher les pages web de vos campagnes est accessible sur le port 80/HTTP L'interface d'administration de Gophish est accessible en HTTPS sur le port 3333 Démarrage de Gophish Laissez Gophish tourner et connectez-vous sur l'interface d'administration. IV. Configuration de Gophish Pour se connecter depuis la machine locale, il suffit d'accéder à l'adresse " à partir d'un navigateur. Connectez-vous avec le compte admin et modifiez le mot de passe. Dans cet exemple, mon objectif est de créer une campagne de phishing en reprenant un e-mail d'Instagram qui renvoie vers une page Web avec un formulaire. Avant de pouvoir envoyer notre première campagne de phishing, il va falloir préparer un certain nombre d'éléments c'est ce que nous allons faire, étape par étape. Suivez le guide ! A. Création des utilisateurs et des groupes Nous devons commencer par créer nos utilisateurs et nos groupes. On peut imaginer qu'un groupe correspond aux utilisateurs d'un service ou d'un site. Lorsqu'une campagne de phishing sera envoyée, il faudra cibler un ou plusieurs groupes. Cliquez sur "Users & Groups" puis sur "New Group". Nommez votre groupe en renseignant le champ "Name" et ensuite vous avez deux options Créez vos utilisateurs un par un, en remplissant le formulaire et en cliquant sur "Add". Cela peut vite être chronophage... Créez vos utilisateurs à l'aide d'un fichier CSV que vous pouvez importer avec le bouton "Bulk Import Users". Cela me plaît un peu plus et de toute façon on ne peut pas établir de connexion avec un annuaire externe. Importer les utilisateurs dans Gophish On va s'intéresser un peu plus à la deuxième option l'import CSV. Je ne suis pas trop du genre à faire des saisies en boucle pendant des heures... D'après le template fourni par Gophish, on doit fournir un fichier CSV avec 4 colonnes et la virgule comme séparateur "First Name","Last Name","Email","Position" Je ne sais pas vous, mais j'ai envie de faire une extraction des comptes de l'Active Directory pour importer les comptes dans Gophish. On va dire que "First Name" correspond à l'attribut "givenName", "Last Name" à l'attribut "sn", "Email" à l'attribut "mail" et "Position" à l'attribut "Title" des objets utilisateurs. Pour ce premier groupe, je vais récupérer les utilisateurs de l'OU "OU=Personnel,DC=it-connect,DC=local" et exporter le résultat vers un fichier CSV "C\ En PowerShell, cela me donne la commande suivante et tant qu'à faire avec les bons noms de colonnes souhaités par Gophish. Adaptez le paramètre -SearchBase et éventuellement le chemin de sortie du CSV. Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=it-connect,DC=local" -Properties mail,givenName,sn,title Select-Object {n='First Name';e={${n='Last Name';e={${n='Email';e={${n='Position';e={$ Export-CSV -Path "C\ -Delimiter "," -NoTypeInformation J'obtiens un joli CSV que je n'ai plus qu'à importer. Exemple d'un CSV formaté pour Gophish Note vous pouvez aussi jeter un œil au script GoLDAP qui sert à importer les utilisateurs d'un annuaire LDAP vers Gophish. Les utilisateurs, c'est réglé ! Passons à la suite. B. Créer l'e-mail pour la campagne de phishing Seconde étape la création du modèle d'e-mail que l'on va envoyer aux utilisateurs dans le cadre de cette campagne de phishing. Cliquez à gauche sur "Email Templates" puis sur le bouton "New Template". Pour créer le modèle, vous pouvez partir de zéro ou importer le code HTML d'un e-mail existant ce qui est intéressant pour gagner du temps grâce au bouton "Import Email". Pour cet exemple, j'ai repris un modèle que j'ai trouvé ici et que j'ai traduit en français. Dans tous les cas, je vous recommande d'utiliser l'éditeur HTML afin de pouvoir modifier les balises. Lorsque vous cliquez sur le bouton "Source", vous pouvez basculer entre l'affichage du code et la prévisualisation de votre e-mail. Le bouton le plus à droite permet de prévisualiser l'e-mail dans un nouvel onglet. Pour accéder à tous les boutons de l'éditeur de texte, notamment pour insérer des liens, il faut cliquer sur le bouton "Source". Vous pouvez aussi insérer des balises où la valeur sera dynamique, notamment pour reprendre le prénom ou le nom de l'utilisateur avec un "Bonjour Florian", vous avez plus de chance de piéger l'utilisateur qu'avec un simple "Bonjour". À vous de juger le niveau de difficulté que vous souhaitez pour ce premier essai. 😉 Les champs personnalisés pour Gophish Pour renvoyer vers la landing page qui contient le formulaire, il faut ajouter un lien à l'e-mail. Sur ce lien, il faut indiquer l'URL "{{.URL}}" qui sera remplacée par Gophish par la bonne valeur. Mon e-mail est prêt, voici un aperçu C. Créer la landing page pour récupérer les identifiants Troisième étape création de la landing page qui sera une page piégée puisque si l'utilisateur complète le formulaire, nous allons le savoir ! S'il clique sur le lien, nous allons le savoir aussi ! Cliquez sur "Landing Pages" sur la gauche du menu puis sur "New Page". Donnez un petit nom à votre template et ensuite il faut passer à la construction. Vous pouvez partir de zéro comme pour l'e-mail ou importer un site à partir d'une URL et du bouton "Import Site". Alors, vous pouvez importer la page d'un site existant, mais il faudra adapter le code source le formulaire que vous allez récupérer ne sera peut-être pas conforme aux attentes de Gophish notamment les noms des champs du formulaire. C'est la partie la plus délicate si vous cherchez à copier Instagram, par exemple, mais si vous reprenez un portail de votre entreprise pour cette campagne, ça devrait aller. Pour ma part, j'ai créé une page très basique pour cette démo. Si vous souhaitez récupérer les informations saisies par les utilisateurs, cochez les cases "Capture Submitted Data" et "Capture Passwords" pour le mot de passe même si vis-à-vis du RGPD, je pense qu'il vaut mieux éviter l'option "Capture Passwords". Il est précisé que le mot de passe sera stocké en clair, mais finalement on peut se passer de la récupération du mot de passe. Sauf si vous souhaitez engueuler l'utilisateur s'il utilise un mot de passe faible pour ne pas dire autre chose en plus de s'être fait piéger. Voici le code source de ma superbe page Nom d&39;utilisateur Mot de passe   Si vous arrivez à piéger un utilisateur avec ça, je suis inquiet pour vous. Enregistrez... La page est prête ! D. Configurer le serveur SMTP Avant de lancer la campagne, il nous reste une dernière étape la configuration du serveur de messagerie SMTP. Vous vous en doutez, il va servir à envoyer les e-mails de nos campagnes de phishing. Sur la gauche, cliquez sur "Sending Profiles" puis sur "New Profile". Ensuite, vous devez nommer votre profil et renseigner les informations en complétant le formulaire. Voici quelques indications From adresse e-mail utilisée pour envoyer les e-mails, c'est-à-dire l'expéditeur. Si vous effectuez une campagne de sensibilisation axée sur Instagram, il peut être intéressant d'utiliser un nom de domaine trompeur et semblable à " S'il n'a rien à voir, ce sera plus facile pour les utilisateurs de voir qu'il s'agit d'un piège mais ce sera aussi l'occasion de voir s'ils ont bien compris qu'il fallait vérifier l'e-mail de l'expéditeur même si ce n'est pas suffisant. Host serveur SMTP à utiliser pour envoyer les e-mails, suivi du port séparé par "" Username compte utilisateur pour s'authentifier sur le serveur SMTP Password le mot de passe de ce compte Pour valider que ça fonctionne, cliquez sur "Send Test Email". Si c'est bon, vous pouvez continuer. Note vous pouvez créer plusieurs profils, car en fonction de la campagne, vous n'allez peut-être pas utiliser la même adresse d'expéditeur. E. Lancer la campagne de phishing Tout est prêt ! Nous allons pouvoir créer notre première campagne de phishing et tester nos utilisateurs ! Cliquez sur le menu "Campaigns" puis sur "New Campaign". Pour créer cette campagne nommée "Instagram n°1", on va réutiliser les éléments créés précédemment "Email Template", "Landing Page" et "Sending Profile". Concernant, les autres options URL indiquez le nom de domaine ou l'adresse IP là aussi, essayez de faire en sorte de tromper vos utilisateurs pour les évaluer correctement où les utilisateurs pourront contacter votre serveur Gophish. Launch Date date à laquelle envoyer la campagne, par défaut c'est immédiatement. Si vous spécifiez aussi une date pour le champ "Send Emails By", Gophish enverra les e-mails à un moment donné entre la date de début "Launch Date" et la date de fin "Send Emails By". Ainsi, tous les utilisateurs ciblés ne vont pas recevoir l'e-mail en même temps. Groups sélectionnez un ou plusieurs groupes d'utilisateurs que vous souhaitez cibler avec cette campagne. Créer une campagne dans Gophish Quand tous les champs sont complétés, cliquez sur "Launch Campaign" pour démarrer la campagne ! Le tableau de bord de la campagne va s'afficher et la section "Details" vous indique la "progression" pour chaque utilisateur. F. Consulter les résultats de la campagne de phishing En tant qu'utilisateur ciblé par la campagne de phishing, j'ai reçu l'e-mail ci-dessous, avec le fameux "Bonjour Florian". On peut voir que le lien renvoie vers mon serveur Gophish et l'adresse IP spécifiée dans la campagne. Je décide de cliquer sur le lien j'arrive bien sur la landing page. Je suis confiant, je vais me connecter comme indiqué dans l'e-mail.... Dans le même temps, sur l'interface de Gophish, on peut voir qu'il y a un utilisateur qui a ouvert l'e-mail, cliqué sur le lien et envoyé des données. Note la section "Email Reported" indique le nombre d'utilisateurs qui ont signalé cet e-mail pour dire qu'il était malveillant. Un utilisateur qui a signalé l'e-mail frauduleux au service informatique doit être récompensé ! 😉 - Pour configurer cette fonction, rendez-vous dans "Account Settings" puis "Reporting Settings" configurez la boîte e-mail qui sert à vos utilisateurs à remonter les incidents de sécurité au service informatique. En complément, la "Campaign Timeline" nous donne un aperçu des événements dans le temps, avec le nom d'utilisateur et l'action effectuée. C'est plutôt bien fait ! Au niveau de la section "Details", je peux voir que l'utilisateur "Florian Burnel" a envoyé des données via le formulaire ! Je peux même obtenir le détail des actions avec la date et l'heure, c'est très précis ! En affichant tous les détails, je peux également visualiser le mot de passe envoyé par le formulaire de ma landing page "JeTeDonneMonMotDePasse". Finalement, je crois qu'il m'a démasqué et qu'il s'en amuse ! 😉 En complément, le bouton "Complete" permet de terminer une campagne et de l'archiver les résultats restent accessibles. Enfin, vous pouvez exporter un rapport au format CSV en cliquant sur "Export CSV". Cette démo de Gophish est terminée ! Maintenant, c'est à vous de jouer ! Pensez à former les utilisateurs puis à les tester avec Gophish. Dans la foulée de la campagne, effectuez une seconde session de sensibilisation auprès des utilisateurs qui se font piéger. Sans oublier une piqûre de rappel pour tout le monde, de temps en temps. Fiez-vous à nos tests Pour faire le meilleur choix Une plainte ? On vous guide pas à pas Participez aux actions Ensemble, plus forts Fiez-vous à nos tests Maison & électroménager Energie Energy-Guide Energie renouvelable Gaz, électricité, mazout, pellets Chauffer Isolation Climatisation fixe Climatisation mobile Lavage, séchage & repassage Lave-linge Sèche-linge Fers à repasser & centrales à vapeur Lessives Marques fiables Label énergétique Cuisine Réfrigérateurs Congélateurs verticaux Lave-vaisselle Fours Fours à micro-ondes Petit électroménager Essuie-tout Chambre et salle de bain Matelas Matelas pour bébé Sèche-cheveux Nettoyants pour salle de bains Nettoyage et entretien Aspirateurs Aspirateurs-balais Aspirateurs-robots Nettoyeurs vapeur Nettoyeurs à haute pression Essuie-tout Produits de nettoyage Bricolage Foreuses Peintures murales Jardin et animaux Barbecues Tondeuses à gazon Tondeuses robots Coupe-bordures Nettoyeurs à haute pression Sécateurs Terreaux Animaux de compagnie Immobilier Achat, vente, construction & rénovation Location & mise en location Prêts hypothécaires High-tech & télécoms Image & son Téléviseurs Casques audio Barres de son Enceintes sans fil Photo & vidéo Appareils photo Services photo en ligne Smartphones & télécoms Smartphones Abonnements mobiles Abonnements Internet Tester votre vitesse internet Tablettes Bracelets connectés GPS Objets connectés Caméras de surveillance et sonnettes Bracelets connectés Ordinateurs & accessoires Ordinateurs Tablettes Batteries externes Imprimantes Disques durs Routers Internet & cybersécurité Abonnements Internet Logiciels de sécurité et antivirus Services VPN Gestionnaires de mots de passe Tester votre vitesse internet Routers Acheter en ligne Privacy Argent & assurances Payer Comptes courants Cartes de crédit Emprunter Prêts hypothécaires Prêts personnels Prêts auto Prêts travaux et rénovation Refinancement prêts hypothécaires Assurer Assurances Assurances auto Assurances hospitalisation Assurances assistance voyage Epargner et investir Comptes d'épargne Pension et épargne-pension Investir Fiscalité Impôts Décès & succession Mobilité Voiture Voitures électriques & plug-in hybrides Sièges auto Assurances auto Prêts auto Pneus GPS Vélos & deux-roues Vélos électriques Trottinettes électriques Casques vélos pour adultes Casques pour speed pedelecs Alimentation & santé Alimentation Alimentation saine Aliments & Compléments alimentaires Etiquetage Régimes & Allergies Sécurité alimentaire & Additifs Vin Durabilité & Impact environnemental Alimentation végétarienne Maladies et médicaments Coronavirus Aperçu maladies Médicaments Santé mentale Soins de santé Dispositifs médicaux Coûts de la santé et assurances Droits du patient Prévention Hospitalisation E-santé Premiers soins Beauté & bien-être Produits testés Bien-être Bébés & enfants Désir d'enfant Grossesse Jeune parent Famille & vie privée Phases de vie Achat, vente, construction & rénovation Location & mise en location Mariage & divorce Avoir des enfants Pension et épargne-pension Décès & succession Vacances et loisirs Coronavirus Voyage Loisirs Achats et droits des consommateurs Achats en ligne Supermarchés Soldes & promotions Droits des consommateurs Coronavirus Environnement Privacy Tous les tests & outils Voir tous nos tests Economisez grâce à nous En savoir plus En savoir plus Une plainte ? Introduire une plainte contre une entreprise Toutes les plaintes Mes plaintes Classement des entreprises Point de contact "trop vite usé" Toutes nos alertes Connectez-vous pour une expérience personnalisée! Se connecter Page d'accueil Hightech Internet Phishing ne mordez pas à l'hameçon 26 juillet 2022 26 juillet 2022 Le phishing reste l'une des armes préférées des cybercriminels. Par toutes sortes d'astuces et de canaux, de l'e-mail aux réseaux sociaux, ils tentent de voler votre argent ou vos données. Il n'est pas rare qu'ils réagissent à des événements actuels, comme la crise du corona. Voici nos conseils contre le phishing. Qu’est-ce que le phishing ? Le phishing est une forme de cybercriminalité dans laquelle la victime potentielle est approchée par e-mail, sms, messagerie instantanée, médias sociaux ou téléphone. L’escroc se fait passer pour quelqu’un d’autre. Il peut s’agir de votre banque, fournisseur d’énergie ou d’une société de technologie, mais aussi d’un ami ou d’un membre de la famille. Le but est de "pêcher" "phishing" en anglais des données sensibles, comme des informations personnelles, des mots de passe, des données de carte bancaire ou de crédit. Une fois qu’il s’est emparé de ces données, l’escroc a les coudées franches il peut par exemple accéder aux principaux comptes de la victime et ainsi dérober son argent ou usurper son identité. Différentes formes Différents moyens sont mis en œuvre pour obtenir ces informations. Les e-mails sont encore et toujours les plus utilisés, mais il y en a d’autres. Il n'est pas rare que les escrocs réagissent à l'actualité, comme la crise du coronavirus. Par e-mail Il existe plusieurs variantes du mail de phishing un avertissement relatif à votre compte, votre banque qui vous demande de confirmer vos données... L’émetteur semble fiable, mais il a l’intention de dérober vos données financières ou personnelles qu’il vous invite à compléter sur une page web contrefaite, ou il souhaite infecter votre appareil avec un malware en vous invitant à ouvrir une pièce jointe. Ci-dessous, un exemple de mail de phishing émanant prétendument d’Apple. Soyez attentif à l’adresse e-mail support Elle ressemble à tout sauf à une adresse Apple officielle. Si on fait glisser la flèche de la souris sur le lien "verify your identity", on voit apparaître la véritable URL il s’agit d’un lien raccourci ne menant pas vers le véritable site Apple. Par SMS, WhatsApp ou Facebook Messenger Les SMS ou les applis de messagerie instantanée sont utilisés pour le "smishing" vous recevez un sms, un message WhatsApp ou Facebook Messenger contenant une mise en garde "C’est toi dans cette vidéo ?" ou "Payez maintenant ou votre compte sera bloqué" ou une offre "Remportez un bon chez Lidl", qui vous demande de cliquer sur un lien ou de composer un numéro de téléphone. Le lien installe un malware ou dirige vers une page web contrefaite sur laquelle vous êtes invité à compléter vos données de paiement. Le numéro aboutit à un fraudeur qui se fait passer pour une entreprise et tente de vous soutirer vos données. Voici un exemple d'un faux SMS dans lequel l'escroc prétend être un enquêteur dans le cadre de la crise du coronavirus. Le numéro officiel est le 8811. Ce message semble provenir d'un autre numéro. Et le lien mène à une URL erronée, ce qui peut être également confirmé sur Voici un autre exemple de faux SMS. Le message est rédigé en français mais provient d’un numéro portugais suspect. Le lien n’aboutit pas à une photo, mais bien à une url contenant un malware, comme en atteste notre vérification sur Autre escroquerie bien connue une "connaissance" vous contacte soudain par WhatsApp et vous demande de l'argent sous un certain prétexte. Vous recevez un message d'un numéro inconnu. La personne prétend avoir un nouveau numéro. Pour une raison quelconque, il a besoin d'argent rapidement, par exemple pour payer une facture, et vous demande de le faire à sa place, parce que cela doit se faire rapidement. Vous obtenez la promesse que votre argent vous sera rendu dès que possible. Si vous essayez d'appeler cette personne pour obtenir votre remboursement, elle ne répondra généralement pas ou prétendra qu'elle a une mauvaise connexion. Parfois, les arnaqueurs vont même plus loin et imitent brièvement la voix de votre contact. Ils la connaissent des réseaux sociaux par exemple d'une vidéo de votre contact sur Facebook ou Instagram. N'acceptez jamais une telle demande ! Par téléphone Le phishing par téléphone "vishing" fonctionne comme suit des escrocs tentent de convaincre leur victime de verser de l’argent pour partager des données personnelles, financières ou de sécurité. Exemple classique un "collaborateur" de Microsoft ou d’une autre entreprise de technologie vous téléphone pour vous signaler un problème sur votre pc votre pc est infecté par un virus, a été hacké, ne dispose pas de la version légale de Windows 10, etc. En guise de "solution", il vous fait télécharger un programme ou vous invite à surfer sur un site Web déterminé. L’escroc a ainsi accès à votre ordinateur et au final, son intention est de vous faire payer pour résoudre le problème. Il s’agit alors d’un montant de quelques euros, que vous devez souvent payer au moyen de votre digipass. Alors que vous pensez que vous ne versez qu’une somme modique, l’escroc parviendra à vous subtiliser des centaines, voire des milliers d’euros. Méfiez-vous aussi des personnes qui prétendent vous contacter de la part d’un organisme officiel pour, par exemple, vous permettre de toucher une prime suite à la crise du Covid. Abrégez la conversation et raccrochez. Surtout, ne communiquez pas vos informations bancaires jamais une instance belge ONSS, SPF… ou européenne ne vous téléphonera pour vous demander ainsi votre numéro de compte. Sur les réseaux sociaux Imaginez vous n’êtes pas satisfait d’une société et exprimez votre mécontentement sur Facebook ou Twitter. L’entreprise a tout intérêt à réagir rapidement car le post est visible par tout un chacun. Mais... les escrocs aussi savent lire. Ils créent un faux compte et réagissent à votre plainte comme s’il s’agissait du service client. Pour être aidé, vous devez alors cliquer sur un lien souvent raccourci. Ils installent ainsi un malware ou vous amènent à compléter vos données de paiement dont ils abusent ensuite. Ci-dessous, un exemple de phishing via Twitter. Un client mécontent pose une question à PayPal et reçoit une réponse de "AskPayPal_Tech". Les comptes officiels de PayPal sont toutefois "PayPal" et "AskPayPal". Le lien abrégé mène vers une fausse page de connexion où la victime est invitée à saisir ses données. Par Google Agenda Pour cette méthode, les escrocs envoient de fausses invitations aux utilisateurs de Google Agenda. Ces invitations contiennent des liens de phishing. Sous prétexte que vous avez gagné une somme d'argent, par exemple, ils essaient de vous faire cliquer. L'intention est de vous faire remplir vos informations personnelles ou celles de votre carte de crédit dans un faux formulaire sur le web. Les escrocs profitent d'un paramètre qui est activé par défaut dans Google Agenda et qui garantit que chaque invitation de calendrier est automatiquement ajoutée à votre agenda. Pour éviter que des invitations malveillantes apparaissent dans votre agenda et que vous cliquiez accidentellement sur des liens dans ces invitations, il est préférable de désactiver ce paramètre. Ouvrez Google Agenda dans votre navigateur et cliquez sur la roue dentée en haut à droite, puis sur Paramètres. Cliquez sur Paramètres des événements. Sous Ajouter automatiquement les invitations choisissez Non, n’afficher que les invitations auxquelles j’ai répondu. Sous Options d’affichage décochez Afficher les événements refusés. Par code QR Voici comment fonctionne une arnaque par code QR vous vendez un objet sur un site de seconde main et une personne vous contacte en vue de l’acheter. L’acheteur propose d'effectuer le paiement via son compte professionnel. Pour que le paiement soit possible, il demande de lui fournir votre numéro de compte. Rien d’anormal jusque-là. Quelques minutes après l’avoir communiqué, vous recevez un code QR à scanner pour confirmation. L’analyse se fait à partir de l'appli mobile réelle de la banque tout semble légitime. En fait, dans ce scénario de fraude, le code ne fait pas référence à une confirmation de paiement mais renvoie à un portail de connexion qui donne à l'escroc - en combinaison avec le numéro de compte bancaire précédemment utilisé - un accès direct à vos comptes, qui risquent d'être débités de sommes importantes. Nous vous conseillons donc d'être prudent lorsque vous recevez une demande de paiement pour laquelle vous scannez un code QR. Le transfert manuel est toujours plus sûr, car vous ne vous retrouverez pas dans un environnement de paiement contrefait, parfois difficile à identifier. Bref, restez vigilant et prenez le temps de tout vérifier minutieusement. Rendez-vous dans le menu Cyber Coach Connectez-vous à votre espace personnel Mailinblack et rendez-vous dans l’onglet Cyber Coach. Cliquez sur le menu modèles d’attaque. Créer votre propre modèle Cliquez sur créer votre propre modèle ». Choisissez la marque d’entreprise que vous souhaitez imiter et le type de phishing associé. Nous vous conseillons de faire un mariage marque/type de phishing concret afin que votre campagne semble la plus réelle possible. Par exemple Adobe – Nouvel outil ou bien BNP Paribas – coordonnées bancaires. Vous pouvez également nous soumettre de nouvelles marques que vous souhaitez utiliser dans vos campagnes pour nous aider à développer le service. Vous pouvez visualiser votre modèle dans une autre langue même si votre campagne s’adapte au langage de vos utilisateurs. Sélectionnez la forme de l’email parmi 5 modèles proposés. Sélectionnez la page sur laquelle sera redirigé l’utilisateur s’il clique sur le lien de l’email. Pour finir cliquez sur enregistrer » pour enregistrer votre campagne et la retrouver parmi tous vos modèles depuis l’onglet Phishing ou bien cliquez sur Lancer la campagne » afin de la paramétrer et programmer son envoi définitif.

comment faire une page de phishing