Reconnaître et éviter les tentatives d'hameçonnage

Les tentatives d’hameçonnage ne datent pas d’hier, mais les tactiques utilisées ne cessent d’évoluer.

Au cours de la dernière année, on a constaté une hausse des messages frauduleux conçus pour ressembler à des communications légitimes de WHC. Ces messages cherchent souvent à créer un sentiment d’urgence, à inciter les utilisateurs à cliquer sur un lien et, au final, à voler des identifiants de connexion ou des renseignements sensibles.

Même si certaines campagnes d’hameçonnage apparaissent et disparaissent, la menace sous-jacente demeure. C’est pourquoi il est important de comprendre comment fonctionne l’hameçonnage aujourd’hui et comment vous en protéger.

Ce qui se passe

Les courriels d’hameçonnage cherchent souvent à susciter un sentiment d’urgence ou de peur afin de vous pousser à agir rapidement. Certains clients nous ont signalé avoir reçu de faux avis de vérification de domaine provenant d’adresses suspectes prétendant être affiliées à notre entreprise.

Ces courriels ne proviennent pas de WHC. Leur objectif est de tromper les utilisateurs pour qu’ils divulguent des renseignements sensibles, comme leurs identifiants de connexion, en les redirigeant vers un faux site web conçu pour ressembler étroitement au nôtre.

Par exemple : [email protected] ou [email protected]. Même si notre nom apparaît dans ces adresses, il s’agit de messages frauduleux. WHC communiquera uniquement avec vous à partir d’adresses officielles se terminant par « @whc.ca ».

• Liens suspects: Passez toujours votre curseur sur les liens (sans cliquer) pour confirmer que l’URL vous dirige vers notre site officiel. Dans l’exemple ci-dessus, nous pouvons voir que l’URL ne pointe pas vers whc.ca.
• Expéditeur inconnu: Les courriels qui ne proviennent pas de notre domaine officiel (@whc.ca) sont probablement frauduleux.
• Demandes d'informations sensibles: WHC ne vous demandera jamais de mots de passe ou de renseignements confidentiels par courriel.

Pour confirmer la légitimité, tapez l’URL directement dans votre navigateur. Voici quelques exemples :

✅ whc.ca – LÉGITIME

✅ clients.whc.ca – LÉGITIME

❌ clients-whc.ca – ARNAQUE

❌ billing-whc.ca – ARNAQUE

L’évolution de l’hameçonnage

Les tentatives d’hameçonnage sont de plus en plus difficiles à repérer, d’où l’importance de rester vigilant. Parmi les tendances courantes, on retrouve :

• Un langage plus convaincant, souvent rédigé de façon professionnelle et naturelle. Notez toutefois que plusieurs tentatives d’hameçonnage contiennent encore des fautes d’orthographe et de grammaire évidentes, ce qui peut aider à les démasquer.

• L’usurpation de marque, avec l’utilisation de logos copiés, de mises en page similaires et d’un vocabulaire familier.

• Des attaques ciblées, basées sur des informations accessibles publiquement.

• Des messages urgents ou menaçants, conçus pour vous pousser à agir sans réfléchir.

Même les utilisateurs expérimentés peuvent se laisser surprendre lorsqu’un message semble familier ou paraît provenir d’une source de confiance.

Ce que vous pouvez faire dès maintenant

• Activez l’authentification à deux facteurs (2FA) : Si ce n’est pas déjà fait, activez la 2FA pour une protection accrue. Cette mesure de sécurité garantit que vous seul pouvez accéder à votre compte, même si votre mot de passe est compromis.

• Vérifiez l’authenticité du site Web : Assurez-vous toujours d’être sur notre site officiel, whc.ca, avant de vous connecter. Vérifiez la présence du cadenas de sécurité à côté de l’URL et confirmez que l’adresse est exacte.

• Méfiez-vous des faux certificats SSL : Bien que des fraudeurs puissent utiliser des sites sécurisés par SSL, vous pouvez consulter le certificat du site pour en vérifier la validité. Cliquez sur l’icône du cadenas et assurez-vous que notre nom apparaît dans le champ de l’organisation.

Que faire si vous avez été ciblé

Si vous pensez avoir été victime d'une tentative d'hameçonnage, ne paniquez pas. Agir rapidement peut aider à limiter les dommages potentiels :

1. 1. Changez vos mots de passe : Mettez à jour les mots de passe de votre Espace Client, de vos courriels, de vos connexions WordPress et de tout autre service que vous utilisez.
      Optez toujours pour des mots de passe forts et uniques et utilisez les méthodes officielles de réinitialisation de mot de passe.
   2. Activez la 2FA : Comme mentionné ci-dessus, l’ajout de l’authentification à deux facteurs à vos comptes rendra l’accès non autorisé beaucoup plus difficile.
   3. Vérifiez toute activité suspecte : Examinez vos comptes pour détecter toute action ou tout fichier inhabituel. Les attaques d'hameçonnage peuvent parfois inclure des téléchargements de logiciels malveillants. Si vous détectez quelque chose d’anormal, contactez immédiatement notre équipe de support.
   4. Signalez la fraude : Si vous pensez que votre site ou votre organisation a été ciblé, utilisez le guide de signalement du Bureau de la concurrence du Canada pour déposer un rapport officiel.

Restez protégé

Si vous recevez un courriel suspect, ne cliquez sur aucun lien et ne fournissez aucune information. Au lieu de cela, signalez-le immédiatement à notre équipe de support et marquez-le comme spam. Nous vous recommandons également de vérifier régulièrement vos comptes et de mettre à jour vos mots de passe périodiquement à titre de précaution supplémentaire.