Comment contacter le support Wordpress téléphone : 09 54 43 67 20

Comment reconnaître un mail de phishing ?

Qu'est-ce qu'un mail de phishing et comment le reconnaître ?

Que vous possédiez un site WordPress ou non, aujourd’hui nous allons aborder un sujet qui nous touche tous : le mail de phishing ! Également appelé mail d’hameçonnage, il s’agit de mails frauduleux, qui cherchent à se faire passer pour une personne ou une entité de confiance. Ces mails ont pour objectif de vous piéger, afin que vous communiquiez sans vous poser de questions vos données personnelles ou vos informations bancaires. Comment les reconnaître ? Que faire si vous êtes victime d’une tentative d’hameçonnage ? Suivez le guide pour savoir identifier un mail de phishing et comment réagir.

 

Qu’est-ce qu’un mail de phishing ?

Un mail de phishing est un email frauduleux conçu pour tromper le destinataire en se faisant passer pour une communication légitime provenant d’une source fiable, comme une banque, une entreprise de services en ligne, ou une institution gouvernementale. L’objectif principal est de convaincre l’utilisateur de fournir des informations sensibles telles que des identifiants de connexion, des mots de passe, des numéros de carte de crédit, ou des informations personnelles. Ces e-mails utilisent souvent des stratégies d’ingénierie sociale pour créer un sentiment d’urgence ou de peur. Ainsi, ils incitent les destinataires à agir rapidement sans vérifier l’authenticité du message.

Nous verrons en détails plus bas, les signes courants qui vous permettent d’identifier un mail de phishing. Mais en général, il inclue des erreurs de grammaire, des URL suspectes, des demandes inhabituelles de données personnelles, et l’absence de personnalisation. Les cybercriminels utilisent ces informations récoltées pour commettre diverses formes de fraude, allant du vol d’identité aux transactions financières non autorisées. Il est très important de vérifier l’authenticité des e-mails et de ne jamais cliquer sur des liens ou télécharger des pièces jointes provenant de sources non vérifiées.

A lire également :   Popup Builder : Une faille de sécurité exploitée pour infecter des milliers de sites WordPress

 

Comment identifier un mail de phishing ?

Cette idée d’article est née après que l’un de nos clients nous a contacté car son collègue avait reçu un mail d’OVH. Ce qui lui a mis la puce à l’oreille, c’est que ce n’est pas son collègue qui devait recevoir les notifications de OVH mais lui. C’est pour cela qu’il nous a transféré directement l’e-mail ci-dessous :

Exemple de mail de frauduleux se faisant passer pour OVH

Exemple de mail de phishing se faisant passer pour OVH.

Plutôt bien fait non ?! Pour des questions d’anonymat, nous avons remplacé le nom du site de notre client par « monsite.fr ». Le mail était donc un petit peu personnalisé pour rajouter de la confusion.

Nous allons donc prendre ce mail en cas d’étude et vous donner les différentes clés pour vous permettre d’identifier un mail de phishing, d’un mail officiel.

Usurpation d’identité d’un organisme de confiance

Les mails de phishing se font très souvent passer pour l’un de vos prestataires (comme OVH) ou un organisme de confiance (les impôts, EDF, la CAF, etc…). Tous vous mettront en garde contre ces mails frauduleux. Cependant, leur base de données n’est pas calquée sur celles de ces organismes. Si vous n’avez pas de contrat chez EDF ou OVH, c’est qu’il s’agit sûrement d’une tentative d’hameçonnage.

Le contenu du mail contient des informations suspectes ?

Comme évoqué plus haut, les mails de phishing vont tenter de produire un sentiment d’urgence, afin de vous faire agir sans réfléchir. Il peut s’agir de la suspension de votre nom de domaine qui est imminente, une relance de facture d’électricité non payée, une demande de remboursement de soin, etc… Si les informations transmises vous semblent fausses, n’hésitez pas à vérifier dans votre compte ou espace client. S’il y a un problème ou que quelque chose nécessite une attention particulière, cela sera indiqué.

A lire également :   Quelles règles pour optimiser l'indexation de mon site WordPress dans Google ?

Vérification de l’expéditeur

il est toujours bon de vérifier le nom et l’adresse mail d’expédition. Les mails de phishing les plus mal fait ne prendront pas soin de mettre des informations trompeuses dans ces champs. Si l’adresse e-mail n’est pas en corrélation avec celle de l’organisme, c’est qu’il s’agit d’un mail de phishing. Les organismes comme la CAF, les services gouvernementaux, EDF, etc… ne communiquent jamais avec des adresses mails de type : @gmail.com, @live.com, …

Dans le cas de notre client, voici les informations concernant l’expéditeur :

Expéditeur de courriel

Ce mail est clairement identifié comme provenant d’OVH ! Cependant, il faut savoir qu’il est très facile pour des hackers expérimentés de mettre ce qu’ils veulent en expéditeur de mails, afin de mieux vous tromper (nom et adresse mails). Donc vérifier également les points qui suivent.

L’aspect graphique du mail

Les mails professionnels ont une présentation soignée. Si le logo se balade, que les liens se superposent ou encore que la mise en page est cassée, il peut s’agir d’un mail de phishing. Ici le mail est très pro et prêt à confusion.

Attention aux liens et pièces jointes !

Le point le plus important ! Un mail de phishing va souvent contenir un lien ou une pièce jointe. Ne cliquez sur aucun lien ou ne téléchargez aucune pièce jointe, si vous n’êtes pas absolument certain à 100% de l’expéditeur. En cas de doute, contactez l’expéditeur pour plus de sécurité. Dans notre cas d’étude, le lien ne pointe pas vers le site de OVH, mais vers un autre site. Cela signifie qu’il s’agit d’un mail de phishing.

Exemple de lien de phishing

OVH vous proposera toujours des liens qui renverront vers son site officiel : https://www.ovhcloud.com et non vers un autre site. Il en va de même pour les autres organismes.

A lire également :   RGPD WordPress : Comment mettre en conformité RGPD votre site WordPress ?

 

Que faire en cas de doute sur un mail de phishing ?

Si un mail coche un seul de ces points, ne répondez pas, ne cliquez pas sur les liens et ne téléchargez aucune pièce jointe ! Contactez directement l’entité en question, afin de vérifier l’exactitude de l’objet du mail reçu.

 

Que faire si vous avez cliqué sur un lien ou téléchargé une pièce jointe issu d’un mail frauduleux ?

Il est courant de ne pas faire attention. D’être pris par ses tâches et de ne pas porter une vigilance constante face au flot de mails que chacun d’entre nous reçoit tous les jours. Quelle est la marche à suivre si par inadvertance, vous avez cliqué sur un lien ou si vous avez téléchargé et dézippé une pièce jointe provenant d’un mail de phishing ?

  1. Déconnectez immédiatement votre ordinateur d’internet pour que l’infection ne se propage pas à vos collègues.
  2. Prévenez votre service informatique pour qu’ils fassent une analyse poussée de votre machine et procèdent à son nettoyage si nécessaire.

 

Infographie : Comment reconnaître et réagir à un mail d’hameçonnage ?

Quelque soit votre secteur d’activité, tout le monde reçoit ce type de mail. Les organismes les plus touchés par ces usurpations d’identité font le nécessaire auprès de leurs clients pour les informer et les sensibiliser. Toutefois, cela n’est pas suffisant ! La prévention doit se faire auprès de toutes les cibles : particuliers, salariés, fonctionnaires, indépendants, etc…

Si vous avez trouvé cet article utile, n’hésitez pas à le partager auprès du plus grand nombre. Vous pouvez également télécharger l’infographie ci-dessous pour sensibiliser vos collaborateurs, clients ou parents 😉

Comment reconnaître un mail frauduleux ?