En octobre dernier, Shadow, l’entreprise de cloud gaming, informait ses clients d’un piratage ayant entraîné la fuite de données personnelles telles que les noms, prénoms et adresses email. Un pirate avait réussi à exploiter une faille via une attaque d’ingénierie sociale sur un employé, utilisant un cookie pour accéder à une interface de gestion et siphonner des données. Malgré la communication transparente de Shadow sur l’incident, le principal risque évoqué était celui des attaques par phishing.
Le phishing en action
En juin, ce risque s’est concrétisé. De nombreux utilisateurs ont signalé avoir reçu un email prétendant que Shadow se lançait dans la Blockchain. L’email, bien que soigné et ressemblant aux communications officielles de l’entreprise, était une arnaque. Shadow a rapidement réagi en avertissant ses clients de ne pas cliquer sur les liens ni fournir d’informations personnelles.
Les « red flags » du faux email
Identifier un email de phishing peut s’avérer compliqué. Cependant, quelques signes révélateurs peuvent aider :
- Le contenu du message : Shadow, spécialiste du cloud gaming, n’avait jamais évoqué un projet lié à la Blockchain. Cette incohérence constitue un premier red flag.
- L’URL : En passant la souris sur le lien sans cliquer, on pouvait voir que l’URL de destination était « shadow-redirect.tech », et non « shadow.tech ». Ce deuxième red flag permettait de repérer la supercherie.
- L’expéditeur : Le courriel provenait de « Shadow@myhpal.fr », une adresse qui n’a aucun lien avec Shadow. L’entreprise utilise normalement « no-reply@shadow.tech ». Voilà un troisième red flag.
La vigilance, maître-mot
Ces red flags permettent de reconnaître des tentatives de phishing, mais ne garantissent pas à 100 % de ne pas tomber dans le piège. Voici quelques conseils supplémentaires pour se protéger :
- Vérifiez les sources : Consultez le site officiel ou les réseaux sociaux de l’entreprise pour valider l’authenticité d’un message.
- Ne cliquez jamais sur des liens suspects : Surtout si le contenu semble incohérent ou inattendu.
- Utilisez des outils de vérification : Des services comme WhereGoes peuvent vous aider à voir l’adresse finale d’un lien sans cliquer dessus.
Shadow, victime mais proactive
En dépit du piratage, Shadow a montré l’exemple en communiquant rapidement et clairement sur l’incident et les risques de phishing. La transparence de l’entreprise a permis de rappeler l’importance de la prudence en ligne et des bonnes pratiques de cybersécurité.
Conclusion
Le cas de Shadow illustre bien les dangers des fuites de données et des attaques de phishing. Pour les entreprises comme pour les utilisateurs, la vigilance et la réactivité sont essentielles pour se protéger contre les cybermenaces.
Tableau comparatif des caractéristiques des emails de phishing
| Caractéristique | Email légitime | Email de phishing |
|---|---|---|
| Contenu | Pertinent et en lien avec l’activité | Incohérent ou inattendu |
| URL | Nom de domaine officiel | Nom de domaine altéré (ex : shadow-redirect.tech) |
| Expéditeur | Adresse officielle (ex : no-reply@shadow.tech) | Adresse suspecte (ex : Shadow@myhpal.fr) |
| Présence de fautes | Rare | Parfois présentes, mais pas toujours |
| Demande d’informations | Jamais de données sensibles | Souvent demande de données personnelles |
Restez toujours sur vos gardes et pensez à vérifier les informations avant de cliquer ou de partager des données sensibles. La cybersécurité est l’affaire de tous !
