Petites et moyennes entreprisesOpérations

Comment protéger votre entreprise des tentatives d'hameçonnage et d'usurpation d'identité ?

Il n'est pas toujours facile de repérer les escrocs, surtout lorsqu'ils se camouflent derrière des personnes ou des partenaires de confiance.

Les fraudeurs tentent d'accéder à votre argent ou à des informations financières par le biais d'emails, de sites internet ou de SMS ou appels frauduleux, afin que leurs communications aient l'air totalement dignes de confiance. Et si leurs propos sont faux, l'argent qu'ils volent est bien réel. C'est pourquoi la protection de votre entreprise contre les attaques de phishing ou d'usurpation d'identité est l'une des mesures les plus importantes à adopter en matière de gestion des risques.

Qu'est-ce que le phishing ou hameçonnage ?

Le phishing est un type de fraude en ligne qui vous incite à révéler des informations sensibles comme vos identifiants de connexion, vos informations de carte bancaire ou d'autres données sensibles.

Par exemple, une attaque par hameçonnage peut exploiter des tactiques d'ingénierie sociale en créant un sentiment d'urgence pour pousser quelqu'un à agir, notamment en cliquant sur un lien qui renvoie à un site frauduleux ou au téléchargement d'un logiciel malveillant.

Pour vous défendre contre le phishing, méfiez-vous des messages qui demandent des informations personnelles telles que des numéros de carte bancaire, des informations de compte bancaire, un numéro de permis de conduire, des mots de passe ou votre nom complet. Si vous pensez qu'un email est frauduleux, ne l'ouvrez pas, n'y répondez pas, ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe.

Conseil : faites preuve de prudence si vous recevez une notification de paiement inattendu par email de la part de PayPal. PayPal ne vous demandera jamais de communiquer des informations sensibles par email. Vérifiez toujours chaque notification de paiement en vous connectant à votre compte et en localisant la transaction correspondante. Toutes les transactions (même celles en attente) que vous avez initiées ou reçues apparaîtront dans votre historique de transactions.

Qu'est-ce que le spoofing ou usurpation d'identité ?

On parle de "spoofing" ou d'usurpation d'identité lorsqu'un fraudeur dissimule son adresse électronique, son nom, son numéro de téléphone, son URL ou d'autres informations d'identification pour donner l'impression que vous êtes en train d'interagir avec quelqu'un d'autre.

Les attaques par hameçonnage utilisent souvent la technique de l'usurpation d'identité pour faire croire qu'elles proviennent d'une organisation légitime. Elles se présentent généralement sous la forme d'une adresse email ou d'un SMS provenant d'une personne ou d'un organisme de confiance, comme votre banque. On vous demande ensuite de cliquer sur un lien pour exécuter une action. Par exemple, on peut vous demander de mettre à jour des informations ou de vérifier une transaction. Cependant, le lien renvoie à un faux site web qui recueille vos informations de connexion, que les fraudeurs utilisent ensuite pour accéder à votre compte.

Qu'est-ce que le spear phishing ou hameçonnage ciblé ?

Le spear phishing est une forme ciblée d'hameçonnage. Plutôt que d'envoyer des emails de phishing à l'ensemble de votre personnel, le fraudeur se concentre sur des personnes spécifiques de l'entreprise afin de personnaliser son approche.

Par exemple, une attaque de spear phishing peut consister à envoyer à votre comptable un faux email semblant provenir d’un dirigeant de l’entreprise. L'email peut inviter à saisir un mot de passe de connexion, ou inclure une facture avec des instructions pour un paiement immédiat. Puisqu'il semble provenir du patron, le service comptable peut être plus enclin à tomber dans le panneau, surtout si la demande contient des informations personnalisées pouvant être recueillies sur les réseaux sociaux ou sur internet.

Qu'est-ce que le whaling ?

Le whaling est un type de spear phishing qui vise les personnes de haut niveau de votre organisation comme le chef d'entreprise, le PDG, le directeur financier ou d'autres cadres supérieurs.

Quelqu'un se faisant passer pour le PDG demande au directeur financier des informations de connexion sensibles ou des informations commerciales secrètes. Les cadres étant très occupés, ils répondent souvent aux emails sur leur téléphone entre deux réunions et risquent de ne pas accorder à l'email toute l'attention qu'il mérite.

Pour vous défendre contre les attaques de spear phishing et de whaling, apprenez aux équipes ayant accès à des informations sensibles à être particulièrement vigilantes. Toute demande urgente ou inhabituelle doit faire l'objet d'un suivi avec la personne qui a demandé l'information.

Qu'est-ce que le smishing ?

Les attaques par smishing se déroulent par SMS. Par exemple, un message de votre banque vous demande de vérifier une transaction en cliquant sur un lien qui vous envoie sur un site factice destiné à recueillir vos informations de connexion.

Pour vous défendre contre le smishing, ne cliquez pas sur un lien provenant d'une source ou d'un numéro non identifié. Même si un lien semble provenir de votre banque ou d'une autre source fiable, ne cliquez pas dessus. Si vous pensez que la demande est légitime, contactez l'expéditeur présumé directement par un numéro de téléphone connu pour confirmer.

Qu'est-ce que le vishing ?

Les messages vocaux frauduleux, aussi connus sous le nom de "vishing" sont des tentatives d'escroquerie par le biais de systèmes automatiques de messages vocaux. Généralement, l'appel mentionne un "problème de compte urgent" et vous demande d'indiquer vos informations de compte pour le résoudre.

Par exemple, si vous recevez un appel au sujet d'une éventuelle transaction frauduleuse sur votre compte et que l'on vous demande de saisir votre code PIN pour connaître les détails de la transaction, il s'agit d'une tentative de vishing.

Pour vous défendre contre le vishing, ne fournissez jamais d'informations de compte, sauf si c'est vous qui avez initié l'appel. Les identifiants des appelants sont facilement masqués, ne comptez donc pas sur cela pour vérifier l'authenticité de l'appel.

Qu'est-ce que l'hameçonnage par moteur de recherche ?

Avec cette attaque de phishing, les fraudeurs créent de faux sites web qui copient une institution financière ou une enseigne, puis utilisent l'optimisation des moteurs de recherche pour inciter un moteur de recherche à afficher le faux site au lieu du vrai site dans ses résultats de recherche.

Par exemple, un employé qui cherche la banque de l'entreprise peut tomber sur un faux site. Lorsqu'un internaute essaie de saisir ses informations de connexion sur le faux site, les scammers s'emparent de ces informations et les utilisent pour se connecter à son vrai compte.

Protégez-vous contre l'hameçonnage par moteur de recherche en invitant vos équipes à taper directement l'URL du site web au lieu de cliquer sur un résultat de recherche.

Comment vous protéger contre le phishing et le spoofing ?

Si vous pensez avoir cliqué sur un lien malveillant, fermez-le immédiatement, exécutez une vérification antivirus, puis modifiez votre mot de passe et vos questions de sécurité. N'oubliez pas d'exécuter une vérification antivirus au préalable, car si un logiciel malveillant a été téléchargé à l'ouverture du lien, il pourra toujours récupérer votre nouveau mot de passe.

Contactez ensuite votre banque ou l'émetteur de votre carte et expliquez la situation. Examinez votre historique de transactions régulièrement au cours des semaines suivantes pour vous assurer qu'il n'y a pas de transactions non autorisées. Si c'est le cas, signalez-les immédiatement.

Quelque chose vous paraît suspect ?

Si vous recevez un email de la part de PayPal que vous suspectez être une tentative d'hameçonnage, ne cliquez sur aucun lien, n'ouvrez aucune pièce jointe et n'y répondez en aucun cas. Par contre, transférez cet email à spoof@paypal.com. Afin d'enquêter sur l'email tel que vous l'avez reçu, ne changez surtout pas son objet, et ne l'envoyez pas sous forme de pièce jointe. Après nous l'avoir transféré, supprimez l'email de votre compte pour éliminer toute menace.

Comment savoir que le message que vous avez reçu a bien été envoyé par PayPal ?

PayPal ne vous demandera jamais d'envoyer des informations via email. Nous demandons aux titulaires des comptes de se connecter à leur compte et de se rendre sur le Gestionnaire de litiges. Vous savez que vous êtes sur le véritable site de PayPal lorsque l'URL est https://www.paypal.com.

Autres outils de prévention de la fraude

Pour empêcher un cybercriminel d'utiliser des informations hameçonnées lors d'une transaction avec votre entreprise, les outils suivants sont disponibles sur PayPal et d'autres fournisseurs de services de gestion des fraudes :

  • Système de vérification d'adresse: Utilisez le système de vérification d'adresse pour vérifier si l'adresse de facturation correspond à celle que l'émetteur de la carte a enregistrée.
  • Code de vérification de la carte (CVV): Le CVV est le numéro à trois ou quatre chiffres situé au dos de la carte qui confirme que le client est en possession de la carte.
  • Numéro d'identification de l'émetteur (IIN) ou numéro d'identification de la banque (BIN): Les six premiers chiffres figurant sur une carte sont appelés IIN ou BIN et identifient l'institution financière qui a émis la carte.
  • Géolocalisation IP: La géolocalisation IP permet d'identifier la position de l'ordinateur au moment de la transaction. Elle sert à comparer les adresses de facturation et de livraison fournies par votre client et à repérer des transactions potentiellement frauduleuses.

Quel que soit votre niveau de vigilance, il est toujours possible que vous baissiez votre garde et que vous envisagiez de cliquer sur un lien non sécurisé. Pour vous protéger pendant votre navigation (et retrouver votre sérénité), il existe plusieurs outils de cote de sécurité des sites internet1 :

  • MyWOT.com
  • Safeweb.Norton.com

Ces services réunissent des rapports sur les sites suspects et les classent en conséquence. Même s'ils ne peuvent pas capturer tous les mauvais liens, ils peuvent être une bonne première ligne de défense.

Si vous gérez une entreprise en ligne, sachez qu'il existe d'autres types de fraude dont vous devez vous méfier. Découvrez d'autres services de gestion des risques.

Ce contenu vous a-t-il été utile ?

Contenu associé

Bénéficiez de plus d'informations et de conseils.

Remplissez simplement le formulaire pour recevoir des informations et des conseils utiles adaptés à votre entreprise. De plus, vous aurez accès à des témoignages de marchands qui utilisent PayPal pour les aider à atteindre leurs objectifs.

*Tous les champs doivent être renseignés

Si vous acceptez les cookies, nous les utiliserons pour améliorer votre expérience et permettre à nos partenaires de vous présenter des publicités PayPal personnalisées lorsque vous visitez d'autres sites. En savoir plus et gérer les cookies