Le phishing est une des méthodes frauduleuses qui fait le plus de mal aux TPE/PME. Protégées par un antivirus, les entreprises se croient en sécurité. C’est malheureusement sans compter sur l’ingéniosité et l’opportunisme des fraudeurs qui hameçonnent les entreprises de toute taille.
Phishing, mode d’emploi
Les fraudeurs usurpent l’identité, les codes couleur des institutions qui vous sont familières : la CPAM, le centre des impôts, les fournisseurs d’énergie, les sociétés de téléphonie, etc.
Sous prétexte de vous faire profiter d’offres exceptionnelles, d’acquitter des frais de douane ou de finaliser le remboursement d’un trop-perçu, les escrocs s’efforcent à soutirer des informations personnelles et bancaires.
Ils utilisent la même mise en forme, la même police de caractères que les organismes référents.
Comble de l’ironie, le fraudeur vous indique parfois que vous avez été victime d’une tentative d’extorsion et que vous devez réinitialiser votre compte à l’aide d’un lien joint ou d’un bouton d’action.
Ils envoient des messages à un très grand nombre de personnes en espérant faire le plus de victimes. Cette activité lucrative est facile à mettre en œuvre et peu coûteuse pour les cybercriminels.
Se protéger contre le phishing
Vous devez contrôler l’adresse de l’expéditeur qui est souvent une pâle imitation de l’officielle. L’objet du mail est couramment une alerte avant la suspension d’un service, la fermeture d’un compte. Cette notion d’urgence a pour but de vous mettre sous pression et de faire en sorte que vous répondiez vite, sans réfléchir.
Vous ne devez pas ouvrir de pièce jointe ni cliquer sur aucun des liens fournis, car au-delà de l’extorsion, vous pourriez malencontreusement charger un virus.
Toutefois, vous avez cliqué sur un premier lien. Vous constaterez que vous n’êtes pas sur un site HTTPS. De plus, il n’est pas rare de simuler un incident technique pour vous inviter à saisir à nouveau votre identifiant et mot de passe. Histoire de bien capter vos données.
Vous arrivez sur un formulaire calqué sur celui utilisé par le site officiel. Ainsi, vous enregistrez toutes les informations habituellement demandées : adresse de facturation, code NAF, SIRET, IBAN.
Le pire, c’est qu‘une fois la saisie terminée et validée, vous retombez sur le site officiel du compte usurpé, comme si de rien était.
Malheureusement pour vous, il n’est pas possible de se prémunir contre l’erreur humaine si ce n’est à travers des sessions de sensibilisation à la cybersécurité.
N’hésitez pas à nous contacter pour que nous puissions vous accompagner.
