Le phishing est l’une des méthodes les plus couramment utilisées par les hackers. Ces attaques sont tellement sophistiquées qu’il devient difficile parfois de les différencier d’une communication légitime. Vous trouverez dans cet article tout ce que vous devez savoir sur le phishing afin de vous protéger de la fraude sur Internet.
Qu’est-ce que le phishing ?
Le phishing est une méthode d’escroquerie qui consiste à prendre contact avec vous par le biais d’un e-mail, d’un sms ou d’un appel téléphonique, en se faisant passer pour un tiers de confiance, dans le but d’accéder à vos données personnelles pour usurper votre identité. Le message de phishing vous sollicite en règle générale sur un sujet confidentiel comme, par exemple, un problème concernant votre back-office, votre mot de passe ou vos coordonnées bancaires, et vous pousse à agir immédiatement.
Dans cet article, nous nous attarderons sur le phishing par e-mail, qui est la méthode la plus répandue de nos jours.
Comment détecter une attaque de phishing ?
“Le maître mot est la vigilance ! Les e-mails de phishing sont tellement répandus de nos jours que vous en recevrez tôt ou tard. Tout le monde y est exposé. Heureusement, il est aisé de les détecter en suivant des bonnes pratiques.”
Alexandre Tiperez, Administrateur Systèmes & Réseaux chez VirtualExpo.
Un e-mail vous demandant de renseigner votre nom, votre adresse email et parfois votre mot de passe ou vos coordonnées bancaires, doit attirer toute votre attention avant que vous ne cliquiez sur les liens ou pièces jointes de cet e-mail ou bien, d’envoyer vos informations personnelles. Ces messages frauduleux contiennent un certain nombre de défauts qui vous permettent de juger de leur authenticité.
Découvrez les éléments à vérifier pour savoir si vous êtes la cible d’une attaque de phishing :
- L’adresse de l’expéditeur
Vérifiez si vous avez déjà reçu des messages de la part de cet expéditeur.
Si un hacker vous a envoyé cet e-mail, il aura voulu déguiser l’adresse. Pensez à vérifier s’il manque une lettre ou bien si une lettre a été ajoutée.
- Les erreurs dans les noms de domaine
Si vous recevez un email qui semble provenir d’une adresse officielle, vérifiez qu’il s’agit bien du domaine de messagerie utilisé par l’entreprise tierce. Même si le message semble légitime, ne contient pas de fautes et utilise le formatage et les visuels officiels de la marque, il peut très bien avoir été envoyé en utilisant une adresse frauduleuse.
- Les fautes d’orthographe et de grammaire
La légitimité de l’e-mail peut être remise en question si celui-ci comporte des fautes d’orthographe ou de grammaire ou bien si la qualité rédactionnelle et linguistique font défaut.
- Les pièces jointes et les liens suspects
Il est important de ne cliquer sur aucun lien et de n’ouvrir aucune pièce jointe tant que vous n’avez pas vérifié l’adresse de l’expéditeur, le nom de domaine, les formules de politesse et les fautes d’orthographe et de grammaire. Les e-mails de phishing peuvent vous inviter à cliquer sur un lien qui vous redirige vers un site malveillant ou bien à télécharger une pièce jointe qui contient un logiciel espion. Lisez attentivement le nom de domaine de l’URL pour identifier d’éventuelles erreurs (par exemple lettre manquante, inversée ou supplémentaire).
“Avant de cliquer sur un lien, survolez-le avec votre souris pour vérifier le nom de domaine du site vers lequel il va vous rediriger.”
Alexandre Tiperez, Administrateur Systèmes & Réseaux chez VirtualExpo.
INFORMATION PRATIQUE : sur les sites où vous devez saisir un mot de passe et d’autres informations confidentielles, privilégiez les sites sécurisés dont l’URL commence par https.
- Message à caractère urgent ou avec une offre alléchante à la clé
De nombreux messages de phishing vous sollicitent pour des questions concernant l’accès à un compte, une transaction bancaire ou une demande d’information d’ordre confidentiel. D’autres tentatives de phishing peuvent aussi s’apparenter à des propositions alléchantes comme un prix ou un lot à gagner.
L’objectif est de vous faire réagir immédiatement, sans réfléchir. Dans ces situations, encore une fois, prenez bien le temps de vérifier les liens dans le message, le nom de domaine, l’adresse de l’expéditeur et les fautes d’orthographe ou de formulation.
Comment reconnaître un e-mail des marketplaces du groupe VirtualExpo ?
Pour vous aider à identifier un e-mail légitime, voici les cas de figure dans lesquels vous pouvez recevoir un e-mail à l’initiative d’AeroExpo, d’AgriExpo, d’ArchiExpo, de DirectIndustry, de MedicalExpo et de NauticExpo :
- Suite à la réception d’une demande d’acheteur
- Suite à l’envoi d’un message ou l’acceptation d’un devis par un acheteur
- Suite à une action de votre part : mise à jour de votre stand, mise à jour de votre Espace Pro, souscription à un nouveau service, règlement d’une facture
- Suite à une interaction avec le service client
- Vos rapports statistiques mensuels et hebdomadaires
- Les e-mails d’actualités
Comment se prémunir des tentatives de phishing ?
Voici quelques mesures préventives qui peuvent vous aider à limiter les risques de phishing :
- Mettez les liens que vous utilisez régulièrement en favori.
Ils vous seront utiles lorsque vous recevrez un e-mail de vos sites habituels qui pourrait vous paraître frauduleux, pour comparer avec le lien fourni dans l’e-mail que vous suspectez être une tentative de phishing.
INFORMATION PRATIQUE : utilisez toujours les liens dans vos favoris pour accéder à vos sites habituels plutôt qu’un lien dans un e-mail. Nous ne sommes jamais trop prudents !
- Assurez-vous que votre ordinateur possède un antivirus à jour.
- Installez une extension sur votre navigateur internet capable d’identifier les sites malveillants (par exemple WOT – Web of Trust).
- Utilisez notre interface d’échange sécurisée pour échanger avec les acheteurs lorsque vous utilisez nos services.
- Évitez de divulguer des informations personnelles en ligne qui pourraient être détournées par les hackers, quand cela n’est pas nécessaire.
Que faire si vous êtes victime de phishing ?
Les tentatives de phishing sont en constante évolution, il est possible que vous fassiez l’objet d’une attaque de phishing, même en restant vigilant. Si vous avez mordu à l’hameçon et communiqué vos données personnelles ou bien si vous vous êtes identifié sur un site frauduleux, voici quelques informations pour vous aider à reporter cette attaque de phishing :
- Activez la double authentification sur votre boîte mail (qui consiste à valider votre identité en deux étapes) puis contactez votre fournisseur d’email (Outlook, Gmail, Yahoo…)
“Il est vivement conseillé d’activer la double activation pour accéder à votre boîte mail. Cette fonction supplémentaire de sécurité, en plus de votre mot de passe, vous demande une validation sur votre téléphone ou bien via un code supplémentaire reçu par SMS par exemple, qui rendra le vol de votre compte quasi-impossible.”
Alexandre Tiperez, Administrateur Systèmes & Réseaux chez VirtualExpo
- Contactez l’entreprise dont l’identité a été usurpée ou le site a été copié, afin qu’elle puisse agir rapidement
Si un hacker a tenté de vous contacter au nom de VirtualExpo et que vous avez divulgué vos données personnelles ou identifiants sur un site, nous vous invitons à vous rapprocher immédiatement de votre Account Manager ou de notre service client. Nos équipes pourront alors réinitialiser votre mot de passe.
- Changez TOUS vos mots de passe
Il est évidemment recommandé de changer le mot de passe du service visé par votre hacker, mais il est également utile de modifier les autres par la même occasion.
“Il est recommandé de ne jamais utiliser le même mot de passe pour vos différents comptes en ligne. Pour vous aider à jongler avec vos mots de passe, il existe des gestionnaires de mots de passe qui vous facilitent grandement la vie tout en limitant les risques de vous faire pirater tous vos comptes en ligne par une attaque de phishing.”
Alexandre Tiperez, Administrateur Systèmes & Réseaux chez VirtualExpo
- Si vous avez fourni des informations confidentielles avant de vous rendre compte que l’e-mail était frauduleux, contactez le service cybercriminalité des forces de l’ordre près de chez vous.
Si vous avez identifié un email reçu dans boîte de réception comme étant frauduleux et pour lequel vous n’avez effectué aucune action préjudiciable, voici la bonne pratique à suivre en deux étapes :
1. Transférez-le auprès de l’entreprise qui a été victime d’usurpation d’identité.
Si l’email de phishing a été envoyé au nom de VirtualExpo, vous pouvez le transférer à votre Account Manager ou à notre Service Client qui se chargeront de le transmettre à notre service informatique.
2. Supprimez-le définitivement de votre boîte mail.
Le phishing est une technique simple et efficace utilisée par de nombreux hackers. Elle représente une menace sérieuse pour votre sécurité internet. La sécurité est notre priorité à tous, c’est pourquoi la prudence est de mise !
Chez VirtualExpo, nous ne vous forcerons jamais à effectuer une action sans votre accord explicite, ni à vérifier vos données personnelles en dehors des canaux de communication sécurisés (back-office, interface de négociation pour échanger avec vos acheteurs). Nous ne vous enverrons jamais d’email contenant des avertissements urgents, vous demandant de vous connecter à votre compte et de partager vos données personnelles ou vos identifiants personnels.
Pensez donc à utiliser des mesures préventives et veillez à votre sécurité en ligne lorsque vous divulguez vos informations personnelles. N’hésitez pas à nous contacter dès que possible, si vous suspectez être l’objet d’une attaque de phishing qui utiliserait notre identité. Pour toute question à ce sujet, contactez votre Account Manager ou notre Service Client.
