Phishing : comment protéger son entreprise du hameçonnage ?
Il est courant de recevoir dans nos boîtes mail des messages frauduleux invitant à régler un impayé inexistant, ou à donner ses identifiants pour « résoudre un problème technique ». C’est ce que l’on appelle le phishing ou hameçonnage, où le pirate se fait passer pour un tiers de confiance pour soutirer des informations. Nous venons de publier un article explicatif – écrit par notre consultant Olivier Saint Léger, (transparence) sur le blog de notre client Egedian qui explique comment fonctionne le phishing et comment s’en prémunir. Si la plupart de ces messages sont facilement reconnaissables, en raison de nombreuses fautes d’orthographe, d’un design approximatif, ou encore d’une adresse d’expéditeur suspecte (iinfo@info.web.com pour un mail envoyé au nom de free mobile), la masse envoyée est tellement importante que quelques secondes seulement après l’envoi, les premiers clics ont déjà lieu. Après avoir cliqué dans le mail, la victime est attirée vers un faux site webLe site web B2B est la vitrine digitale de votre entreprise. C'est le moyen le plus simple et efficace de présenter les produits et services de votre entreprise à vos futurs clients. où elle laissera des données sensibles (identifiants bancaires, mot de passe, numéro de sécurité sociale…), potentiellement revendables par le hacker. Voici ci-dessous un schéma résumant le fonctionnement du phishing :
Phishing : quelques conseils pour ne pas tomber dans le panneau
C’est dans le but de se protéger de ce danger qu’Egedian a publié un article présentant certaines solutions contre le phishing. Si la solution de filtrage est indispensable pour trier la plupart des mails frauduleux, d’autres réflexes sont également à adopter :
En premier lieu, regardez l’orthographe. Peut-être que cette « astuce » semble bien éculée tant les hackers font des progrès (en technique et en orthographe), mais certains emails arrivent toujours dans les boîtes avec des tournures qui paraîtront bien étranges aux pratiquants de la langue de Molière ou encore avec des fautes qui ne sont pas dignes de l’émetteur. Si une faute est autorisée, un texte comportant au moins deux erreurs est a priori légitime pour la poubelle.
Vérifiez également les marques qu’aucune grande entreprise n’oublierait dans un courrier. Si vous avez un doute, traquez un copyright, une adresse, un contact, un numéro de téléphone. Si l’entreprise émettrice de l’email est déjà en relation avec vous, rien ne devrait être plus simple que d’utiliser les canaux de communication conventionnels dont vous disposez déjà pour vérifier la validité de cet email douteux. Et du même coup, vous préviendrez votre partenaire commercial qu’il est aussi victime de la tromperie.
Le lien est la clé. Il faut donc accorder une attention toute particulière à celui-ci. Vérifiez les URL des pages Web. En premier lieu, vérifiez le domaine et assurez-vous qu’il ne comporte pas de fautes ou de variantes (scnf.fr au lieu de sncf.fr par exemple). Vérifiez également que le domaine du lien est identique au domaine utilisé par l’envoyeur de l’email. Dans le cas d’un lien trop complexe, n’hésitez pas à remonter l’email vers le responsable informatique de l’entreprise. En tout état de cause, en cas de doute, la règle est simple : pas de clic ! Idem pour les pièces jointes. S’il existe le moindre doute, la règle précédente est conseillée : pas d’ouverture, une vérification, et poubelle.
> Lire la suite de l’article sur secure-it.egedian.com
_________________________
Cédric est consultant en marketing Web chez Visionary Marketing. Il a été nommé "Rising Star of Content Marketing" par la Content Marketing Academy en 2017. Il est spécialisé dans la production de contenus multimédia, d'articles de fond, de vidéos et de podcasts.
