Vous avez peut-être reçu un (voire de nombreux) mail de la part de votre hébergeur pour renouveler rapidement votre nom de domaine sous peine de perte de celui-ci. Ou alors, vous avez peut-être été appelé par Google My Business qui vous demande de payer pour être mieux référencé. Toutes ces techniques font partie de ce que l’on appelle le phishing, ou hameçonnage en français. Celles-ci ont pour but de vous tromper pour obtenir des données sensibles comme vos coordonnées bancaires, vos mots de passe, etc.
Le processus est assez simple et efficace puisque l’hameçonneur va se faire passer pour une vraie entreprise en laquelle la plupart des gens ont confiance. La victime va recevoir un mail ou un SMS avec un message urgent où il lui est demandé de cliquer sur un lien pour effectuer une action (paiement, remplissage de coordonnées…). Nous vous avons réalisé une liste de plusieurs facteurs qui vont aideront à discerner un réel message d’une entreprise à une tentative d’hameçonnage.
Premier point de vigilance : l’expéditeur
La première chose à regarder lorsque vous recevez un mail, c’est l’expéditeur de celui-ci. Régulièrement, pour ce qui concerne l’hébergement de votre site, c’est votre nom de domaine qui est entré en expéditeur sous la forme contact@nomdedomaine.fr. L’expéditeur doit être une adresse mail officielle avec le nom de l’entreprise qui vous envoie le mail après le arobase, du type support@ovh.com. Attention à bien regarder l’adresse mail et non pas juste le nom de l’expéditeur, qui est souvent le « vrai » nom de l’entreprise pour laquelle se fait passer l’hameçonneur ou alors un nom type « Service client ».
Lorsqu’il s’agit d’un appel, regardez en premier lieu le numéro de téléphone et la provenance de celui-ci. Si le numéro vous semble « bizarre », soyez d’ores et déjà vigilant si vous décrochez. Dans tous les cas, évitez de transmettre des données sensibles par téléphone.
L’objet et le corps du message
S’il s’agit d’un message de la part de l’entreprise identifiée, généralement, l’objet rapporte votre numéro client ou identifiant. Commencez donc par regarder si ce code figure dans l’objet puis vérifiez s’il s’agit bien de votre identifiant. Cela vous donnera déjà une première indication.
Concernant le corps du mail ou du SMS, le premier élément à vérifier est la langue. Si le message n’est pas en français, méfiez-vous. Voici un message qui est une tentative de phishing :
Concentrez-vous sur le contenu et non pas sur le visuel car nombreux auteurs de ces mails reprennent la charte graphique de l’entreprise usurpée. Il faut donc vous focaliser sur le contenu. Des fois, les contenus sont remplis de fautes et il est très facile d’identifier qu’il s’agit d’un contenu frauduleux. D’autres demandent une analyse plus approfondie avec des fautes d’accent ou de majuscule, comme dans l’exemple qui suit. Si cela ne semble pas flagrant, l’astuce d’après vous donnera tout de suite la réponse sur la véracité ou non du mail.
Attention aux liens présents dans le mail ou SMS
Les liens présents dans le mail ou le SMS sont l’indicateur le plus flagrant. En premier lieu, si les liens visibles présents dans le message ne sont pas liés au nom de domaine de l’entreprise, vous savez que c’est un contenu frauduleux. Si le lien comporte le nom de domaine de l’entreprise, cela ne veut pas pour autant dire qu’il s’agit d’un « vrai » mail. On peut mettre n’importe quel texte renvoyant vers un lien. Pour le savoir, il vous suffit de survoler le lien et si ce n’est pas le nom de domaine de l’entreprise qui apparait, c’est qu’il s’agit d’une tentative de phishing. C’est ce qu’on voit dans l’exemple suivant, il est bien écrit le nom d’OVH sur le texte du lien, mais lorsqu’on le survole, un tout autre lien apparait :
Les techniques utilisées sont de plus en plus difficiles à détecter puisque de plus en plus proches de la réalité. La vérification du lien est la technique la plus sûre lorsque le mail est bien construit et sans fautes.
En cas de doute, que faire ?
Si vous n’êtes pas sûr de la véracité du SMS, du mail ou de l’appel reçu, contactez votre prestataire web. Il saura déceler le vrai du faux et pourra vous conseiller sur les messages officiels que vous pouvez être amené à recevoir.
Quoiqu’il arrive, ne cliquez jamais sur les liens présents dans ce type de mails ou SMS. Si vous avez un doute, allez directement dans votre espace client, en passant par Google, et non pas par un lien présent dans un message.
Vous pouvez également contacter la « vraie » entreprise en lui transférant le message et en lui demandant si ce mail vient bien d’elle. Vous serez directement fixé sur la nature du message que vous avez reçu.
Que faire si c’est trop tard ?
Si vous avez rentré des données bancaires, contactez votre banque le plus rapidement possible pour faire opposition. Vous lui indiquerez la date et l’heure du paiement afin qu’il soit tout de suite bloqué.
Si vous avez rentré un mot de passe, rendez-vous sur le site de l’entreprise usurpée pour le modifier. Vous pouvez, pour les sites qui le permettent, activer une double authentification via OTP (mot de passe utilisable une seule fois), par clé de sécurité ou par SMS.
Nous espérons vous avoir aidé et évité de tomber dans le piège lorsque vous recevrez des messages ou appels frauduleux !