Protégez votre compte contre le hameçonnage

Le terme hameçonnage désigne les tentatives d'escroquerie et de vol d'identité impliquant des sites web, e-mails ou autres messages bidon. L'objectif de telles attaques consiste à accéder à votre compte et à vos informations sensibles. Un escroc peut créer son propre site web qui imite celui d'un site réputé, ou vous envoyer un message qui semble issu d'une source fiable. Les messages de hameçonnage peuvent provenir d'un faux compte ou d'un compte piraté.

L'auteur d'un message de hameçonnage peut vous demander d'effectuer les tâches suivantes :

  • Cliquer sur un lien
  • Télécharger un fichier
  • Ouvrir une pièce jointe

Les logiciels malveillants (comme les vers, chevaux de Troie, bots et virus) peuvent infecter votre ordinateur ou votre appareil mobile si vous effectuez l'une de ces tâches. Une fois votre appareil infecté, un intrus peut accéder à vos informations personnelles.

Les arnaques par hameçonnage peuvent également prendre la forme de demandes directes d'informations personnelles, telles que les données de votre compte bancaire.

Il est possible que l'on vous demande de fournir des informations personnelles par les canaux suivants :

  • un e-mail (ou autre système de messagerie)
  • un formulaire
  • un numéro de téléphone frauduleux
  • une adresse physique bidon

Même un message vous demandant d'entrer votre adresse e-mail et de réinitialiser votre mot de passe peut être dangereux.

Connaître les signes avant-coureurs

Vous pouvez vous protéger du hameçonnage si vous en connaissez les signes avant-coureurs. Lisez attentivement les messages quel que soit l'expéditeur, et étudiez scrupuleusement les sites web, même s'ils vous semblent familiers.

Un langage trop général

Bien qu'il arrive que le message frauduleux soit bien documenté et adapté à vos besoins et à ceux de votre entreprise, l'utilisation d'un langage général est une caractéristique des escroqueries par hameçonnage. Méfiez-vous des messages qui semblent provenir d'une organisation en laquelle vous avez confiance, mais qui commencent par des déclarations vagues, comme :

Cher titulaire de compte,

De même, si l'on vous fait une proposition commerciale ou financière alléchante, sans toutefois inclure suffisamment de détails pour vous permettre de confirmer que l'expéditeur vous connaît, il peut s'agir d'une escroquerie :

Je m'appelle Frédéric, je suis banquier. Veuillez me contacter dès que possible concernant l'héritage éventuel d'un défunt parent. Je ne peux pas vous en dire plus par SMS. Envoyez-moi un e-mail à l'adresse ci-dessous.

Des messages professionnels provenant de comptes personnels

À partir des informations disponibles en ligne vous concernant, les pirates sophistiqués sont capables de réunir suffisamment d'informations pour créer un message semblant provenir d'un contact réel :

Mise à jour des prix de gros

Bonjour Stéphanie, je voulais simplement vous informer de nos prix de gros actuels, que vous trouverez dans la feuille de calcul suivante : tissu-prix-2018-janv.xls

J'espère que le dernier lot de chemises vous a donné satisfaction ! N'hésitez pas à me contacter pour toute question.

--

Julie Leroy

Responsable de comptes

Tissus Exemple

Pour envoyer un message frauduleux, les escrocs peuvent pirater le compte professionnel de votre contact ou créer un faux compte personnel. Par exemple, si le nom d'utilisateur correspondant à l'adresse e-mail personnelle de Julie, votre contact, est juliachan3857, un cyberdélinquant pourra envoyer un e-mail à partir d'un compte dont le nom d'utilisateur est juliachan9665. Cette forme d'attaque s'appuie sur deux facteurs :

  • Les gens envoient des e-mails du mauvais compte par erreur.
  • Même si vous connaissez l'adresse e-mail personnelle de Julie, il se peut que vous n'y regardiez pas de trop près.

Des fautes d'orthographe, une grammaire médiocre et des variations stylistiques

Les criminels ne suivent pas les codes de rédaction aussi scrupuleusement que les rédacteurs de contenu web professionnels. En plus des fautes de frappe et de grammaire, des variations dans les catégories suivantes sur une même page peuvent indiquer qu'un site web est frauduleux :

  • orthographe
  • emploi des majuscules
  • nombres
  • ponctuation
  • formatage

Un ton alarmiste ou exalté

Surveillez les demandes urgentes qui tentent de vous faire peur et de vous pousser à agir sans réfléchir. Par exemple, Shopify ne vous enverra jamais de message formulé comme suit :

Nous avons eu une panne de serveur catastrophique. Vous avez 24 heures pour envoyer votre nom d'utilisateur et votre mot de passe sous peine de perdre l'accès à votre boutique de façon permanente.

De même, surveillez les messages d'offres qui semblent trop belles pour être vraies, comme une réduction de 90 % dans une agence de voyage si vous agissez immédiatement.

Les adresses URL suspectes

Les tentatives de hameçonnage peuvent comporter des URL qui semblent légitimes si vous ne les regardez pas de trop près. Celles-ci sont délibérément choisies pour ressembler à une URL que vous connaissez déjà. Comme vous le verrez dans le tableau ci-dessous, si vous achetez normalement votre équipement de natation chez Boutique Exemple à l'adresse URL légitime du magasin, et que vous recevez un e-mail comportant un lien menant à la fausse URL, il s'agit bien d'une tentative de hameçonnage.

La véritable URL vous dirige vers un site du domaine example-apparel.com, qui appartient à Boutique Exemple, tandis que l'URL bidon vous achemine vers un site malveillant sur le domaine com-aquatic.net, qui est probablement détenu par des criminels.

URL légitime URL bidon
boutique-exemple.com/aquatique/natation boutique-exemple.com-aquatique.net/natation

Exprimez votre inquiétude en utilisant un autre mode de communication

Adressez-vous à l'expéditeur supposé d'un message suspect en personne ou par téléphone et apaisez les craintes que suscite une page web en parlant à un membre du personnel de l'entreprise.

Si vous contactez l'expéditeur par téléphone, utilisez un numéro que vous avez dans vos dossiers ou que l'on trouve sur le site de plusieurs sources fiables. Par exemple, si vous recevez par e-mail une demande de renseignements suspecte de la part de votre administration fiscale, appelez celle-ci au numéro indiqué dans votre déclaration de revenus de l'année précédente. N'appelez pas un numéro indiqué sur un site web ou un e-mail suspect.

Vérifiez que le protocole du site web est HTTPS

Lorsque vous vous connectez à un site web susceptible de vous demander un nom d'utilisateur et un mot de passe ou d'autres données sensibles, vérifiez qu'une icône de verrouillage apparaît bien à côté de l'URL dans votre navigateur :

Cette icône vous indique que la connexion au site est cryptée à l'aide du protocole HTTPS. Les URL des connexions cryptées commencent par https:// plutôt que http://. Les connexions qui utilisent http:// envoient des données en texte brut, ce qui signifie qu'elles peuvent être interceptées en cours de route et lues.

Avant de cliquer sur un lien menant à la page où vous prévoyez de saisir des informations, vérifiez que l'URL commence par https://.

N'ouvrez que les pièces jointes et les liens auxquels vous vous attendez

Ne touchez à aucun(e) pièce jointe, lien ou formulaire, sauf si vous les attendez et savez ce qu'ils contiennent. Non seulement ils peuvent vous rediriger vers un site malveillant conçu pour voler vos informations, mais ils peuvent également infecter votre appareil avec des logiciels malveillants.

Lorsque le texte du lien est une URL, assurez-vous qu'il correspond à l'URL dans le lien lui-même. Par exemple, un lien comme https://help.shopify.com dans le corps d'un e-mail peut vous diriger vers une page d'hameçonnage sur une autre URL :

De nombreuses attaques d'hameçonnage visent des services bancaires en ligne. Si vous recevez un e-mail suspect de votre banque contenant une offre spéciale pour une ligne de crédit, ne cliquez pas sur le lien. Entrez plutôt l'URL de votre banque manuellement dans une nouvelle fenêtre et vérifiez si l'offre s'affiche dans le tableau de bord de votre compte.

Utilisez le Wi-Fi public avec prudence

Le Wi-Fi public est pratique lorsque vous êtes en déplacement, mais il offre de nombreuses façons aux criminels d'accéder à vos informations. Vous pouvez réduire vos risques en prenant des mesures pour vous protéger et protéger vos données.

Vérifiez les noms des point d'accès

Un attaquant peut créer son propre point d'accès Wi-Fi non crypté, qui porte le nom d'un point d'accès de bonne réputation dans la même zone, comme le réseau d'un café. Si vous vous connectez au point d'accès d'hameçonnage, l'attaquant peut vous diriger vers sa propre page, où vous pouvez être exposé(e) à des logiciels malveillants ou être invité(e) à saisir des informations privées.

Avant de vous connecter, assurez-vous que le point d'accès que vous prévoyez d'utiliser est légitime. Si vous ne pouvez pas voir le nom du point d'accès affiché dans un endroit évident, demandez à un employé.

Désactivez les points d'accès à votre appareil

Même si vous vous êtes connecté(e) à un point d'accès Wi-Fi public légitime, vous pouvez toujours courir des risques en étant sur le même réseau qu'un attaquant. Les réseaux Wi-Fi publics sont beaucoup moins sécurisés que les réseaux privés comme celui de votre domicile ou de votre bureau :

Protégez-vous en désactivant le partage de fichiers sur votre réseau et en activant votre pare-feu avant de vous connecter. Même avec ces précautions, ce n'est toujours pas une bonne idée d'envoyer ou de recevoir du contenu sensible en utilisant un réseau public Wi-Fi.

Envoyez et recevez des données sensibles via un VPN

Un réseau privé virtuel établit une connexion sécurisée entre votre appareil et les serveurs d'une entreprise VPN. De là, les serveurs VPN relaient vos informations sur Internet. Si un attaquant accède aux données que vous transmettez et recevez via un point d'accès Wi-Fi public, ces données sont cryptées et ne leur sont pas utiles :

Techradar et PC Mag sont de bons points de départ pour apprendre à choisir un VPN.

Sans VPN, l'option la plus sûre est d'éviter de transmettre des informations sensibles sur un réseau Wi-Fi public.

Suivez les directives du gouvernement en cas de compromission d'informations personnelles

Les informations personnelles identifiables (IPI) sont des données qui pourraient être utilisées pour identifier une personne en particulier, voire même usurper son identité. Les différentes IPI incluent les éléments suivants :

  • Nom complet
  • Adresse e-mail
  • Rue
  • Numéro de téléphone
  • Numéro de carte de crédit
  • Numéro d'identité nationale (tel que NAS, numéro de sécurité sociale ou passeport)
  • Permis de conduire
  • Date de naissance

Si vous avez fourni des informations personnellement identifiables via un canal suspect, ou si votre compte Shopify a été compromis, reportez-vous aux directives de votre gouvernement, telles que les informations fournies par les gouvernements du Canada et des États-Unis :

Canada

Que faire ?

Déposer un rapport :

États-Unis

Que faire ?

Déposer un rapport :

Prêt(e) à commencer à vendre avec Shopify ?

Essayez gratuitement