Reconnaître un e-mail de phishing peut paraître difficile dans certains cas.
👉🏼 L’e-mail est une copie conforme d’un e-mail légitime
👉🏼 Il arrive à un moment cohérent
Mais il y a tout de même des éléments qui permettent de s’en assurer.
Déjà, très fréquemment, le phishing reprend des e-mails d’organisations connues :
👉🏼 Sociétés de transports : La poste / colissimo / UPS / DHL…
👉🏼 Des organisations publiques : La CAF / Ameli / Les impôts… 👉🏼 Société de transport : SNCF / Air France / EasyJet…
👉🏼 E-commerce : HM / Zara / Ebay…
👉🏼 Les banques et assurances : Crédit Agricole / BNP / Groupama…
👉🏼 Etc…
Évidemment il peut également en avoir d’autres reprenant des entités moins connues.
Mais globalement le principe du phishing est de toucher le plus de monde possible, donc l’utilisation de “modèle” reconnu simplifie la tâche des pirates.
Il s’agit déjà d’un premier élément de détection.
À partir du moment où il s’agit d’entité de ce type, la première question à se poser est : Est-ce que c’était attendu ? 🤔
Ensuite, il y a d’autres éléments permettant de valider :
👉🏼 Est-ce que c’est bien une adresse e-mail expéditeur “cohérente” avec le contenu ?
Certains phishings utilisent des e-mails qui n’ont rien à voir avec le contenu. Assez simple dans ce cas de savoir que c’est faux.
👉🏼 Quel est le sujet ? : À partir du moment où ils annoncent un problème sur le compte ou qu’ils se sont trompé en votre faveur, attention, c’est louche. 🧐
👉🏼 Faut-il cliquer sur un lien ? Le lien, s’il n’est pas masqué par du texte, peut aider à savoir si c’est du phishing. clique-ici-tinquiete (.)info/votredossier n’est pas tellement une URL de la CAF ou de l’URSSAF.
L’association de plusieurs de ces éléments augmente la probabilité que ce soit du phishing à un niveau proche de 100%.
En cas de doute, si l’e-mail peut tout de même paraître légitime ;
👉🏼 Ouvrez votre navigateur,
👉🏼 Allez sur le site en question pour vous connecter à votre compte pour vérifier ce qui est dit dans l’e-mail.
Mais surtout :
❌🚫 Ne cliquez pas sur les liens ! 🚫❌
Cela vaut dans le domaine personnel, comme dans le domaine professionnel. Les organismes usurpés seront un peu différents mais les structures et contenus sont similaires.
En entreprise, n’hésitez pas à alerter le service informatique en cas de réception de ce type d’e-mail. Ils sauront vous confirmer s’il s’agit d’un phishing ou non.