La cible préférée des hackers : les emails ! C’est le moyen le plus rapide et efficace d’atteindre une entreprise et de voler ses informations personnelles (comptes, mots de passe, données bancaires…) pour les utiliser de façon frauduleuse. Voici les bonnes pratiques pour les déjouer.
Comment reconnaître un mail frauduleux (phishing/hameçonnage)
- Vérifiez l’email de l’expéditeur : L’adresse e-mail doit correspondre aux informations relatives à l’expéditeur (vérifiez le domaine, le sous-domaine, .fr ou .com…). Soyez également attentif aux doubles caractères et aux fautes.
- Soyez attentif au corps de l’email : provenant souvent d’une langue étrangère, les emails de phishing comportent régulièrement des fautes d’orthographe et peuvent également contenir des caractères spéciaux. Il est aussi possible que le modèle graphique de l’email soit différent qu’habituellement (visuel mal cadré, image manquante, logo de mauvaise définition…), mettez un point de vigilance sur ces éléments.
- Questionnez-vous sur le contexte de l’email : Était-il attendu ? Est-il en cohérence avec votre situation ? Connaissez-vous le prétendu expéditeur ? Bien souvent, les emails de phishing sont génériques et ne sont pas forcément en lien avec votre situation actuelle.
- Pour autant, ce n’est pas parce-que le contenu semble réaliste ou en adéquation avec votre situation que le mail n’est pas frauduleux. Alors, interrogez-vous également sur la pertinence du contenu : les informations peuvent être des informations volées ou récupérées et la coïncidence peut également arriver si le ciblage de l’attaquant est précis. Enfin, le canal de l’email n’est généralement pas privilégié pour transmettre ou demander des informations officielles privées (bancaires, civiles…)
Adoptez les bons comportements
- Ne cliquez pas sur les liens et vérifiez la fiabilité et le caractère officiel de leur url en passant simplement votre souris et avoir la visibilité sur le lien complet.
- Ne téléchargez pas les pièces jointes.
- Vérifiez l’information avec les institutions/personnes concernées via un canal de communication sûr, connu et reconnu (numéro de téléphone officiel, site web officiel…).
- En cas de doute, transmettez l’information à votre service informatique ou votre prestataire informatique