Pour qu’un phishing email réussisse, il faut que l’utilisateur clique dessus. Mais pourquoi une précaution aussi simple ne peut-elle pas être mise en pratique ?
La réponse est simple : les gens cliquent sur des liens malveillants et tombent dans le piège des courriels de phishing parce qu’ils ne font pas attention.
Grâce à des méthodes de falsification de plus en plus sophistiquées, les criminels créent des courriels esthétiquement identiques à ceux de l’entreprise expéditrice, mais il existe une différence (parfois peu subtile) qui pourrait constituer l’avertissement dont l’utilisateur a besoin : le contenu de l’article.
En d’autres termes, des offres avec des avantages inhabituels, des appels à l’action qui privilégient fortement le déclenchement de l’urgence, parmi une foule d’autres détails, sont utilisés dans le but d'”enchanter” le destinataire de l’email de phishing.
En d’autres termes, cet enchantement crée la distraction (et l’urgence) nécessaire pour l’amener à cliquer sur le lien ou le bouton qui exécutera l’escroquerie.
Il n’y a pas d’autre solution : on clique et on s’en va !
Table des matières
Comment le phishing email nuit au marketing par email
En plus de porter préjudice aux utilisateurs de la messagerie électronique, le phishing peut ruiner le marketing par courrier électronique d’une entreprise. C’est une autre raison pour laquelle les mesures de protection des filtres anti-spam sont si strictes.
Nombreux sont ceux qui pensent qu’il est plus rapide (et plus pratique) d’acheter des listes de diffusion que de constituer une base de prospects réels.
C’est typiquement la solution la moins chère, car les listes achetées, en plus d’être illégales, contiennent beaucoup de spam, qui est à son tour une excellente source d’hameçonnage.
La constitution d’une base d’adresses électroniques solide nécessite du temps, du dévouement et la vérification des adresses électroniques. C’est ce service qui déterminera la création de prospects.
Que diriez-vous d’apprendre à construire une liste d’adresses électroniques de la bonne manière ? Regardez notre webinaire et profitez des conseils !
Tous les utilisateurs de courrier électronique devraient apprendre à prévenir ces délits. Lisez donc attentivement les conseils suivants !
Les escroqueries par phishing email les plus courantes
Remboursement de l’impôt sur le revenu
La période de remboursement de l’impôt sur le revenu est l’une des préférées des criminels. En effet, les techniques font appel à l'”enchantement” que nous avons évoqué plus haut.
À la réception d’un courriel prétendant avoir reçu une somme inattendue, l’utilisateur a tendance à être au moins curieux de cette révélation.
Cette distraction l’amène à cliquer sur le faux lien du site de la Receita Federal. Ce type de fraude cause des dommages extrêmement graves, car les victimes peuvent perdre leurs CPF ainsi que leurs coordonnées bancaires.
Phishing email et demandes d’entreprises
Les pirates utilisent la créativité comme alliée. Un exemple est l’escroquerie par courrier électronique d’entreprise, qui contient des messages de supérieurs demandant des transferts d’argent à des clients ou à des départements spécifiques. Ces transferts sont effectués au profit des criminels.
Confirmation des coordonnées bancaires
Vous recevez un courriel de votre banque vous informant qu’il y a une activité suspecte sur votre compte. Et que, pour des raisons de sécurité, l’institution vous demande d’introduire des données de confirmation. Ne répondez jamais à une telle demande.
Méfiez-vous de l’authentification à deux facteurs
L’authentification à deux facteurs a été créée pour protéger les personnes contre la cybercriminalité, mais les pirates peuvent contourner ce système en envoyant un email de phishing demandant à l’utilisateur de saisir ses données sur un autre appareil, comme un SMS de téléphone portable.
Pour éviter cela, il faut être capable de reconnaître si l’e-mail est authentique ou non. Plus d’informations ci-dessous.
Comment reconnaître un faux courriel
Il n’existe pas de phishing email parfait. Il y aura toujours une trace de falsification, et c’est là que votre capacité à la reconnaître doit entrer en jeu.
Regardez l’URL et identifiez un phishing email
Lorsque vous passez votre souris (sans cliquer) sur l’URL, vous verrez la page. Attention aux fautes d’orthographe. Par exemple : Netflik au lieu de Netflix.
Recherchez l’entreprise qui est censée avoir envoyé l’e-mail et vérifiez l’URL sur Google. Un phishing email crée souvent des URL très similaires à l’original, et c’est particulièrement vrai pour les sites web gouvernementaux, qui ont l’extension .org.
Par exemple : capital_sp.gov.br est différent de capital.sp.gov.br. La deuxième option est la vraie. Notez que le soulignement est ce qui différencie une URL d’une autre. Ouvrez l’œil !
Utilisateurs de Gmail
Lorsque vous ouvrez le message, localisez les 3 points sur le côté droit. Cliquez sur “afficher l’original”.
Vous y trouverez l’en-tête du courriel, qui est extrêmement important pour vérifier l’authenticité d’un courriel.
Examinez le champ “From :” et vérifiez si l’origine de l’e-mail correspond à la personne que l’expéditeur prétend être.
La date d’envoi est également importante, afin que vous puissiez identifier un ancien email de phishing (qui se trouve généralement parmi les emails en masse).
Vérifiez les certifications SPF, DKIM et DMARC. Ces certifications existent pour prouver que le domaine est le véritable expéditeur du message, et non quelqu’un qui essaie de se faire passer pour lui.
L’absence de ces certifications révèle les courriels de phishing et assure également au fournisseur de messagerie (dans ce cas, Gmail) que le message est authentique, c’est-à-dire qu’il ne s’agit pas d’un spam.
Voici ce que signifie chaque certification :
- SPF – Sender Policy Framework : il s’agit de la liste de tous les serveurs appartenant au domaine.
- DKIM – DomainKeys Identified Mail : il s’agit de la signature du domaine sur tous les messages électroniques qu’il envoie.
- DMARC – Domain-based Message Authentication Reporting and Conformance : si SPF ou DKIM ne correspondent pas aux paramètres du domaine, DMARC vous indiquera si le message doit être mis en quarantaine ou renvoyé au domaine expéditeur.
Important : un domaine peut configurer uniquement l’authentification SPF, ou uniquement l’authentification DKIM, ou les deux à la fois. L’important est qu’il y ait une forme de certification dans l’en-tête du courriel.
FAQ
Les phishing emails contiennent une série de techniques pour charmer et distraire l’utilisateur avec un contenu captivant et des offres miraculeuses. De cette manière, les gens sont attirés et finissent par cliquer sur des liens et des boutons malveillants, ce qui permet aux escroqueries de se concrétiser.
Les emails de phishing nuisent à la réputation des entreprises sérieuses qui utilisent l’email marketing comme canal de communication. Un spam de phishing viole le GDPR et peut également entraîner le blocage de toute la liste par les filtres anti-spam des fournisseurs d’accès. La communication étant interrompue, les investissements des entreprises s’effondrent.
Faux courriels de remboursement d’impôts, courriels d’entreprises demandant des transferts d’argent, demandes de mise à jour des coordonnées bancaires et d’authentification à deux facteurs. Bien qu’il s’agisse d’une mesure de sécurité, les utilisateurs doivent être en mesure de reconnaître l’authenticité d’un courriel en examinant l’URL et les en-têtes du message.