Saviez-vous que plus de 80 % des attaques informatiques impliquent des attaques de phishing (aussi appelées hameçonnage) ? En recrudescence depuis 2021, les emails frauduleux ne visent pas uniquement les particuliers : ils s’attaquent aussi aux entreprises. Comment, dès lors, reconnaître un email frauduleux ? Comment se protéger de ce type de fraudes qui recourent à des techniques de manipulation pour soutirer des informations confidentielles aux victimes ?
Trustpair contrôle en continu les coordonnées bancaires de vos tiers pour éviter tout paiement à des tiers non connus ou frauduleux et vous aide à démêler le vrai du faux dans cet article. Vous souhaitez protéger votre entreprise contre la fraude ? Trustpair vous accompagne et éradique le risque de fraude. Contactez l’un de nos experts pour en savoir plus !
Phishing en entreprise : des signes qui ne trompent pas
Le phishing en entreprise est une technique de fraude qui vise à leurrer la victime pour l’inciter à divulguer ses données personnelles ou lui faire réaliser une action précise. Les fraudeurs utilisent l’ingénierie sociale et récoltent le maximum d’informations au préalable pour rendre ses communications crédibles.
Par exemple, les fraudeurs vont envoyer un faux email demandant à la victime de fournir son mot de passe ou ses comptes d’accès bancaires, sous un prétexte fallacieux. En entreprise, ces emails frauduleux peuvent prétendre venir de fournisseurs, de clients, d’une mutuelle, d’une banque, etc. Par exemple, dans le cas de la fraude au président, un hacker va se faire passer pour le dirigeant d’une entreprise connue en demandant un virement en urgence.
S’il est facile de se laisser prendre si l’on ne fait pas attention, un examen minutieux du contenu de l’email suffit généralement à détecter la fraude. Voici les éléments à surveiller pour respecter les bonnes pratiques de sécurité informatiques :
1. Une notification de la messagerie ou de l’antivirus
La plupart des antivirus intègrent les protections nécessaires pour se protéger du spam. En cas de réception d’un email douteux, pensez à effectuer une analyse antivirus.
2. Un email d’un service ou d’une société dont vous n’êtes pas client
Vous recevez le mail d’une banque dont vous n’êtes pas client, vous demandant de fournir votre mot de passe pour des raisons diverses ? C’est tout simplement une tentative de phishing. Si certains emails peuvent induire en erreur car ils semblent provenir d’un interlocuteur connu, d’autres sont faciles à détecter car ils émanent d’une entreprise ou d’un service dont vous n’êtes pas client.
3. Mail phishing : un nom d’expéditeur inhabituel
Vous recevez un mail dont vous ne connaissez pas l’expéditeur ? Cela ne signifie pas nécessairement qu’il s’agit d’un mail frauduleux, mais il est bon de faire preuve de prudence. Avant d’agir, n’hésitez pas à demander conseil à votre manager et/ou au service informatique de votre entreprise.
4. Une adresse d’expédition fantaisiste
La plupart des pirates utilisent des adresses mail qui ressemblent à des adresses existantes. C’est ce qu’on appelle le spoofing. Par exemple, si l’adresse e-mail de l’un de vos fournisseurs est martin@fournisseur.fr, les fraudeurs pourront créer une adresse qui s’en rapproche pour vous contacter, comme martin@fournisseur.com.
D’autres utiliseront des adresses qui ne ressemblent en rien à des adresses officielles. En cas de doute, vérifiez toujours soigneusement l’adresse de messagerie de l’expéditeur.
5. Un objet d’email trop alléchant ou alarmiste
L’objectif des fraudeurs est de capter votre attention. Pour cela, ils n’hésiteront pas à vous appâter avec un objet qui attire l’œil. Par exemple : “alerte sécurité !” ou “urgence : votre compte est en danger”.
6. Une apparence suspecte
Cela n’est pas toujours le cas, mais les mails de phishing se repèrent souvent à leur apparence suspecte. Design de mauvaise qualité, logo plagié, police d’écriture inappropriée… Un rapide coup d’œil suffit souvent à les démasquer.
Cependant, il convient de garder en tête que les fraudeurs ont tendance aujourd’hui à soigner l’esthétique de leurs emails et à faire preuve de sophistication. Les arnaques ne sont plus aussi évidentes qu’elles ne l’étaient à une époque et les emails frauduleux sont plus discrets.
7. Une absence de personnalisation
La plupart des fraudeurs envoient des milliers d’emails en même temps. Ils n’ont donc pas le temps de personnaliser leur message. Or, un email trop générique, qui ne fait pas mention de votre nom et/ou de votre qualité doit vous alerter. C’est généralement le signe que cet email est frauduleux.
8. Une demande inhabituelle
Une demande inhabituelle et un message suspect par email doit vous alerter. Aucun organisme crédible ne vous sollicitera jamais en vous demandant vos informations confidentielles ! Posez-vous comme règle de ne jamais transmettre vos données confidentielles, même lorsqu’il s’agit de quelque chose d’a priori anodin.
Dans le cadre d’une fraude au président, des escrocs peuvent se faire passer pour le dirigeant d’une entreprise et demander un paiement en urgence. Lorsque ce type de fraude réussit, les conséquences financières peuvent être terribles (deux entreprises françaises qui ont été arnaquées de plus de 38 millions d’euros en ont récemment fait les frais).
9. Une demande d’informations confidentielles
Les demandes d’informations confidentielles (mot de passe, identifiant de connexion, données bancaires, etc.) ne se font jamais par email. Aucune entreprise ni organisme sérieux ne procède de cette façon ! Dès que vous recevez une telle demande, considérez qu’il s’agit d’un courriel frauduleux et rangez-le dans vos spams.
Si cela se répète, signalez-le aux autorités compétentes dans votre entreprise : la direction informatique ou le directeur des systèmes d’information. La communication est clé pour éviter les tentatives de phishing.
10. Un message aguicheur ou inquiétant
Une menace urgente, un gain soudain, une offre commerciale à ne pas rater… Les cybercriminels rivalisent d’imagination pour attirer l’attention de leurs cibles. Un message trop aguicheur ou alarmiste doit cependant vous alerter, et ce d’autant plus que vous ne connaissez pas l’expéditeur : il est souvent synonyme de tentative de phishing.
Même lorsque l’expéditeur est connu, il est important de procéder à des vérifications, car un tiers peut avoir été hacké et ne pas être à l’origine du message. Les emails frauduleux peuvent parvenir d’un partenaire commercial qui ne sait pas qu’il est victime de fraude. C’est là tout le problème de l’usurpation d’identité : même si elle ne vous concerne pas vous, elle peut avoir un impact direct sur votre entreprise.
11. Mail phishing : des fautes de français surprenantes
C’est l’un des moyens les plus simples de reconnaître un e-mail frauduleux. S’il peut arriver à tout le monde de faire des fautes de français, les mails de phishing sont généralement rédigés dans une langue hésitante, voire parsemés de fautes de grammaire et de syntaxe. Cela doit vous alerter, car un message provenant d’une institution sérieuse est toujours soigneusement rédigé puis relu.
Néanmoins, un email bien rédigé et/ou sans fautes d’orthographe ne signifie pas nécessairement qu’il ne s’agit pas d’un email de phishing ! Comme nous l’avons dit précédemment, les tentatives d’escroquerie sont de plus en plus sophistiquées et difficiles à détecter.
12. Une incitation à cliquer sur un lien ou une pièce jointe
Les e-mails de phishing s’accompagnent généralement d’une incitation à ouvrir une pièce jointe ou à cliquer sur un lien. Ne le faites surtout pas : il s’agit d’une porte d’entrée vers un faux site Internet, ou vers un virus.
Par ailleurs, vous pouvez vérifier les liens contenus dans un email en laissant votre souris dessus. Le lien complet apparaîtra alors et vous permettra de vérifier s’il renvoie vers un site légitime ou s’il s’agit d’une escroquerie.
Vous voulez en savoir plus sur les fraudes en entreprise et comment s’en prémunir ? Téléchargez gratuitement notre livre blanc sur la fraude.
Quelles sont les formes les plus courantes d’emails frauduleux
Les attaques de phishing par e-mail les plus courantes sont :
- Des demandes de paiement en urgence (comme dans le cas de la fraude au président) ;
- Des problèmes de facturation qui nécessitent un virement rapide ;
- Des demandes de données personnelles (pour mettre à jour un compte ou se mettre en conformité avec le règlement RGPD, par exemple) ;
- Des demandes de confirmation des informations personnelles.
Le cas du spear phishing ou attaque par hameçonnage ciblé
Le spear phishing est une attaque informatique ciblée, qui vise une seule et unique personne. Les hackers prétendent vous connaître et utilisent les informations qu’ils ont trouvées à votre sujet pour vous inciter à réaliser un acte (effectuer un virement bancaire, par exemple). Faute de vigilance, il est facile de se faire avoir et d’être victime de fraude.
Pour éviter le spear phishing, il est recommandé de faire appel à des solutions digitales d’identification des tiers comme Trustpair, qui permettent de réaliser des contrôles automatisés et d’éviter les vulnérabilités des vérifications manuelles. Trustpair intervient au moment du paiement en identifiant automatiquement les coordonnées bancaires à risque, ou n’appartenant pas au titulaire du compte. Aucun paiement ne peut donc parvenir à un escroc.
1. Exemples d’ emails frauduleux qui doivent vous alerter
Voici un exemple de mail de phishing :
L’expéditeur est votremutuelle@coompte.fr, et le corps du message vous informe qu’une activité suspecte a été détectée sur votre compte personnel et vous demande de vérifier vos informations, faute de cas votre compte sera suspendu.
Ce message est frauduleux car il utilise une fausse adresse (qui peut toutefois ressembler à une vraie), et sollicite un envoi de données personnelles par retour d’e-mail. Il se montre en outre alarmiste et pressant pour vous inciter à réagir.
Pour conclure…
- Reconnaître un email de hameçonnage n’est pas toujours facile, car les pratiques frauduleuses des arnaqueurs sont de plus en plus sophistiquées. Les tentatives de fraudes sont de plus en plus difficiles à détecter.
- Cependant, certains signes doivent vous alerter : un message et/ou un design suspect, des fautes d’orthographe, une demande d’informations bancaires, la reproduction erronée de logos d’entreprises existantes… Les emails frauduleux utilisent des codes bien repérables.
- Il convient donc de rester vigilant à tout moment, et de signaler toute tentative d’escroquerie à la direction informatique de son entreprise.
Vous souhaitez protéger votre entreprise contre la fraude et bloquer l’impact des emails frauduleux ? Trustpair vous accompagne et éradique le risque de fraude. Contactez l’un de nos experts pour en savoir plus !