Restez en sécurité en ligne et prévenez le phishing et la fraude !
Nouvelles sur les produits / 16.10.2020
Le phishing et la fraude font inévitablement partie de notre vie personnelle et professionnelle.
Ces activités frauduleuses peuvent causer de sérieux problèmes à une organisation ou à une entreprise, qu’il s’agisse de comptes piratés ou de l’acquisition de données sensibles.
Aucune entreprise ne souhaite être exposée à ce type de fraude, surtout lorsque les pertes potentielles peuvent être considérables.
C’est pourquoi nous avons préparé cet article pour vous aider et pour vous informer sur les moyens d’assurer votre sécurité en ligne.
Qu’est-ce que le phishing ?
En bref, le phishing est une méthode permettant d’obtenir de manière illicite des informations sensibles telles que des codes PIN, des données de cartes bancaire, des mots de passe ou des numéros de téléphone ; principalement par le biais de courriers électroniques de masse ou ciblés contenant des informations trompeuses ou des liens ou des boutons frauduleux qui peuvent vous conduire à des sites web truqués.
Le phishing est un énorme problème dans le cybermonde et a de graves ramifications pour les personnes qui en sont victimes. Dans la plupart des cas, ces conséquences sont de nature financière.
C’est pourquoi il est important de reconnaître les différents types d’attaques de phishing qui existent et de savoir comment vous protéger, ainsi que vos employés et votre entreprise/organisation contre de telles attaques.
Voici plusieurs façons dont un attaquant pourrait vous cibler, vous ou votre entreprise, bien qu’il ne s’agisse pas d’une liste exhaustive :
1. L’hameçonnage au « harpon »
Alors que le phishing consiste à envoyer des courriers électroniques en masse à une multitude de personnes, cette méthode de phishing est exceptionnellement ciblée – en se concentrant sur des personnes ou des organisations spécifiques. L’attaque est personnalisée, en fonction des données que les fraudeurs acquièrent sur vous ou votre entreprise.
2. Injection de contenu
Comme son nom l’indique, l’injection de contenu fait référence au processus d'”injection” de contenu sur une page légitime. Son but est de confondre l’utilisateur et de l’amener sur une page illégitime, où il lui est demandé d’entrer ses coordonnées d’utilisateur, donnant ainsi aux pirates toutes les informations nécessaires pour accéder à leur compte.
3. Hameçonnage par les moteurs de recherche
Dans ce scénario, un utilisateur peut être dirigé vers des sites web qui offrent des produits ou des services à bas prix. Lorsqu’il tente d’effectuer un achat en saisissant ses coordonnées, ces informations sont recueillies par le site de phishing. N’oubliez pas qu’il existe de nombreux faux sites Web bancaires qui proposent des produits financiers à des taux extrêmement bas. Ce sont des sites de phishing et vous devez en être conscient.
4. Voice phishing/Vishing
Le voice phishing consiste à passer des appels téléphoniques qui demandent à l’utilisateur de composer un numéro. L’objectif est d’obtenir des informations personnelles par téléphone et se fait principalement au moyen d’une fausse (ou d’une “usurpation”) identification de l’appelant.
5. Détournement de session
Dans ce type d’attaque, le phisher “exploite le mécanisme de contrôle des sessions web” afin de vous voler des informations. Cette procédure de piratage de session est connue sous le nom de “reniflage de session”, ce qui signifie que le phisher utilise un renifleur pour intercepter vos informations. Cela lui permet en fin de compte d’accéder illégalement au serveur web de l’organisation.
6. Manipulation des liens
Grâce à cette technique, un utilisateur reçoit un courrier électronique contenant un lien qui, au lieu de l’amener au site légitime d’origine, le conduit à un site de phishing. Pour éviter cette situation, passez votre souris sur le lien pour voir l’adresse à laquelle il vous mènera. Les attaquants utilisent souvent des raccourcisseurs d’URL ou de liens pour masquer l’adresse web malveillante réelle. C’est une méthode pour empêcher la manipulation des liens.
7. Courrier électronique et/ou spam
Un message électronique est envoyé à des millions d’utilisateurs. Un tel message demande généralement à l’utilisateur de remplir des données personnelles, qui sont ensuite utilisées par les hameçonneurs pour les exploiter. Ces courriels contiennent souvent un sentiment d’urgence et peuvent vous demander de remplir des formulaires en cliquant sur des liens dans le courriel. Par exemple, il peut vous être demandé de mettre à jour les informations relatives à votre compte, de modifier vos coordonnées ou de vérifier votre compte.
8. Keyloggers
Un keylogger est un type de logiciel malveillant qui intercepte les mots de passe, les numéros de compte et d’autres informations sensibles saisies sur votre clavier. C’est pourquoi la plupart des banques et des institutions financières vous proposent un clavier virtuel sur lequel vous pouvez sélectionner les bonnes informations à l’aide de votre souris pour cliquer dessus.
9. Ingénierie sociale
Les techniques d’ingénierie sociale comme le phishing, le vishing et le smishing sont utilisées pour inciter les utilisateurs à cliquer sur un lien ou à ouvrir une pièce jointe parce qu’elle semble légitime, mais ne l’est pas en réalité.
Comment prévenir l’hameçonnage et la fraude
Bien que la pléthore de façons dont une attaque d’hameçonnage peut se dérouler puisse sembler écrasante, il existe plusieurs mesures que vous pouvez prendre pour éviter d’être exposé à une telle attaque ou d’en être victime.
En voici quelques-unes :
- Activer l’authentification à deux/multiples facteurs ou biométrique
- Maintenez votre navigateur et ses plugins à jour, et videz régulièrement le cache de votre navigateur
- Utilisez un logiciel antivirus et assurez-vous qu’il est mis à jour avec la dernière version et les signatures de logiciels malveillants
- Ne donnez jamais vos informations personnelles
- Utilisez un pare-feu sur votre routeur domestique ou votre ordinateur personnel
- Tenez vos coordonnées à jour
- Créez des mots de passe solides et utilisez un gestionnaire de mots de passe si vous avez du mal à vous en souvenir
- Autoriser les alertes push sur vos applications bancaires mobiles
- Maintenez votre système d’exploitation et vos autres logiciels à jour
- Ne partagez pas vos informations personnelles et ne les utilisez pas dans vos mots de passe
- Ne donnez pas d’informations personnelles, méfiez-vous des astuces d’ingénierie sociale
- Réfléchissez avant de télécharger des applications et ne les téléchargez qu’à partir de sources fiables comme le Play Store officiel de Google et l’App Store d’Apple
- Évitez de conserver des informations sensibles sur votre téléphone
- Sécurisez votre smartphone avec un logiciel antivirus
- Faites attention à ce sur quoi vous cliquez et surtout aux pop-ups ; réfléchissez avant de cliquer
- Regardez ce que vous partagez en ligne, notamment sur les médias sociaux
- N’ouvrez jamais les pièces jointes d’un courriel avant d’avoir vérifié l’expéditeur si vous ne vous attendiez pas à recevoir le courriel
- Soyez à l’affût des courriels étranges ; supprimez immédiatement les courriels suspects sans les ouvrir
- Vérifiez régulièrement vos comptes en ligne
- Désactivez le Wi-Fi et le Bluetooth lorsque vous ne les utilisez pas, et ne vous connectez qu’à des réseaux correctement sécurisés (WPA2)
- Évitez d’envoyer des informations sensibles par Wi-Fi ; utilisez un VPN lorsque vous vous connectez à d’autres réseaux que le vôtre
- Ne sauvegardez pas vos informations de connexion lorsque vous utilisez un navigateur web
Les mesures de sécurité que nous prenons chez myPOS
Si vous avez l’impression qu’une personne de myPOS vous contacte, vous devez le vérifier avant de communiquer vos coordonnées à la personne qui vous appelle.
Par exemple, nous ne vous demanderons jamais votre code PIN, votre numéro de carte, votre numéro de compte ou votre adresse électronique, en dehors de votre compte.
En outre, si nous détectons une activité inhabituelle sur votre carte myPOS, nous ferons :
- Bloquer temporairement votre carte.
- Vous recevrez une notification par SMS et par courrier électronique avec une liste de toutes les transactions suspectes, et il vous sera demandé de confirmer si les transactions ont été effectuées et autorisées par vous.
- Si vous confirmez que les transactions sont authentiques, votre carte myPOS sera immédiatement débloquée et prête à être utilisée à nouveau.
- Si vous ne reconnaissez pas une ou plusieurs des transactions et que votre carte a été compromise, vous pourrez soumettre un litige. La carte compromise restera bloquée et vous pourrez en commander une nouvelle.
- Veuillez noter que les achats effectués dans certains pays autres que votre propre pays peuvent être considérés comme un indice de fraude. Nous vous recommandons donc de nous le faire savoir avant de vous rendre à l’étranger.
Conclusion
S’il est peu probable que les tentatives d’hameçonnage diminuent dans un avenir proche, votre exposition à ces tentatives peut certainement être réduite si vous prenez les bonnes mesures pour vous protéger.
Les trois mots que vous devriez toujours avoir à l’esprit sont “arrêtez, regardez et réfléchissez”.
Ne prenez pas de mesures hâtives, examinez de plus près le site web ou le courrier électronique que vous avez reçu et analysez les menaces potentielles avant de cliquer sur un lien, un bouton ou une pièce jointe nuisible.
Chez myPOS, nous prenons votre sécurité au sérieux et ne vous demanderons jamais d’informations sensibles en dehors de votre compte. Nous espérons vous avoir informés, par cet article, des types de tentatives d’hameçonnage les plus courants et des mesures que vous pouvez prendre pour éviter d’être victime d’une telle attaque.
Restez en sécurité en ligne !