Les associations sont également victimes des e-mails de phishing
À la lumière de l'actualité récente, au cours de laquelle un organisme de réglementation de l'Alberta a été victime d'un courriel de phishing ayant entraîné une violation de données, nous souhaitions fournir des informations sur ce qu'est le phishing et certaines mesures que vous et vos membres pouvez prendre pour garantir votre sécurité. que possible. Bien que nous ayons mentionné le phishing très brièvement dans notre «Protégez votre association contre une atteinte à la vie privée" et "L'homme dans les pirates du cloud", nous n'avons jamais expliqué comment procéder ni quoi faire lorsque vous recevez un e-mail de phishing. Vous trouverez ci-dessous une description détaillée de leur fonctionnement, de la façon de les détecter, et les indices clés sont en gras.
Définition simple du phishing
Le phishing, c'est quand quelqu'un (le pirate informatique potentiel) vous envoie un courriel qui semble officiel (par exemple, de la Society of Regulators of Alberta), essayant de vous inciter à accéder à un site Web qu'il a également rendu réaliste (comme le page de connexion de la Society of Regulators of Alberta). À partir de là, vous saisissez naïvement votre nom d’utilisateur et votre mot de passe, donnant ainsi accès à votre compte.
Signes pour détecter un e-mail de phishing
Les e-mails de phishing sont conçus pour voler des informations et de l'argent. Ils se déguisent en e-mails légitimes provenant d'organisations avec lesquelles vous avez un compte, ou parfois d'une organisation avec laquelle vous disposez d'un compte. ne le faites pas même avoir un compte avec, et astuce vous à remettre votre nom d'utilisateur et votre mot de passe.
La salutation
Premièrement, les e-mails de phishing ont tendance à être génériques, car ils ont tendance à être envoyés en masse. Les e-mails officiels de l'entreprise sont envoyés à partir d'une base de données dans laquelle sont généralement stockés votre prénom et votre nom, les e-mails de phishing ne contiennent que des adresses e-mail volées, leurs salutations seront donc quelque chose d'impersonnel, comme :
“Cher client,"
« Cher membre »,
"Bonjour utilisateur de Facebook,"
Le message
L'e-mail aura également généralement un urgent et message menaçant tel que:
"Si vous ne vous connectez pas et ne réinitialisez pas votre mot de passe, votre compte sera définitivement désactivé."
"Quelqu'un a piraté votre compte, pour récupérer votre compte, veuillez vous connecter via le lien ci-dessous."
"Veuillez confirmer votre dépôt Paypal de $500 en vous connectant immédiatement à votre compte Paypal."
Les erreurs
Ces e-mails sont également généralement rédigés avec un erreur mineure, comme des fautes d'orthographe, des noms ou des fonctions mal orthographiés de la personne sous laquelle ils écrivent, ou même en le signant avec le nom d'une personne qui ne travaille même pas dans l'entreprise.
L'adresse e-mail
Le "de l'adresse est garanti de pas correspondre au domaine de messagerie officiel de l'entreprise. Par exemple, si le pirate informatique imitait Paypal, il aurait probablement un e-mail tel que :
- mot de passe@paypalinfo.com,
- Info@paypal-inc.com,
- ou même quelque chose d'aussi officieux que Pay Palaide@gmail.com Les adresses e-mail (@gmail.com peuvent être créées par n'importe qui),
au lieu de @paypal.com (qui est leur véritable domaine de messagerie).
Le lien
En parlant de domaines, l'e-mail de phishing fournira un lien, ce lien conduira le destinataire vers un fausse page de connexion. La page de connexion ressemblera parfois au site Web légitime, mais tout comme un domaine de messagerie, elle aura une URL suspecte qui présentera des différences mineures par rapport à l'URL réelle. La page peut également contenir des fautes d'orthographe, éventuellement des liens authentiques vers la politique de confidentialité ou la page d'accueil de l'entreprise pour paraître plus réaliste, et un formulaire à remplir (au point où le destinataire se transforme en victime). Parfois, ils vous demanderont simplement votre adresse e-mail et votre mot de passe, et parfois plus. S’ils demandent des informations sur votre compte de messagerie, cela peut être très dommageable, car à partir de là, ils peuvent pirater n’importe quel compte que vous avez lié à cette adresse e-mail, et la plupart des gens utilisent une seule adresse e-mail pour tout.
Les dégâts d’un e-mail de phishing
Différents phishers ont des objectifs différents. Certains veulent juste des données, d’autres veulent effrayer les gens et beaucoup veulent de l’argent (qu’ils peuvent également obtenir en échange de vos données). Le phishing cible généralement des personnes individuelles dans une population générale, comme les utilisateurs de Facebook ou de Google, mais comme lors de l'événement récent avec l'APEGA, ils peuvent cibler tous les membres d'une organisation spécifique par phishing depuis le droite personnes.
Que faire lorsque vous recevez un e-mail de phishing
Lorsque vous vérifiez votre courrier électronique et voyez un courrier électronique suspect vous demandant de vous connecter à quelque chose, commencez par vérifier sur les zones mentionnées ci-dessus (c'est-à-dire message d'accueil, message, adresse « de », lien (avant de cliquer dessus)). S’il semble faux, supprimez-le et aucun dommage ne sera causé.
Si vous n'êtes pas sûr, même après avoir vérifié l'adresse e-mail d'origine, ouvrez votre navigateur Internet et accédez à site officiel du compte auquel l'e-mail vous demande de vous connecter. Si l'e-mail prétend que vous devez changer votre mot de passe afin de réparer quelque chose comme un "piratage", vous pouvez évidemment y parvenir en changeant votre mot de passe depuis le site Web direct lui-même (pas besoin de prendre de risque et de cliquer sur le lien fourni dans le courriel).
De nombreux sites Web populaires utilisés comme appâts de phishing, tels que Paypal, disposent d'un page officielle expliquant à quoi ressemblent les véritables e-mails envoyés aux utilisateurs et que faire si vous recevez un e-mail de phishing. Bien que toutes les organisations ne prennent pas ce niveau de précaution, vous pouvez toujours leur envoyer un e-mail ou les appeler directement et leur demander si l'e-mail est réel ou faux.
Pour être sûr, si vous avez des soupçons dès l'ouverture de l'e-mail, parce que vous savez qu'il semble légèrement « décalé » par rapport aux e-mails habituels, il est probablement faux et doit être supprimé immédiatement.
Associations et politiques de courrier électronique
À l’ère du phishing, les associations peuvent vouloir mettre en œuvre une politique pour se protéger ainsi que leurs membres contre une violation. Cette politique peut inclure que l'association ne fournira jamais de liens spécifiques dans ses e-mails (sauf la page d'accueil ou les articles de blog), en particulier ceux qui demandent à être utilisés comme portail de connexion ou pour confirmer un paiement. La politique peut également indiquer à quoi s'attendre dans leurs e-mails, par exemple, ils fourniront le prénom des membres, les instructions pour trouver le contenu avec lequel ils informent leurs membres et de qui il s'agit au sein de l'association.
- Voici un exemple d'e-mail NE respectant PAS cette politique :
Cher membre,
Vos frais de renouvellement sont dus aujourd’hui. Pour payer, veuillez cliquer ci-dessous :
www.officialassociationpagepayment.com/payus
Merci,
Administrateur de l'association
- Un exemple d'e-mail soumis à cette politique serait :
Chère Stéphanie,
Vos frais de renouvellement sont dus aujourd’hui. Pour finaliser le paiement, veuillez suivre les étapes ci-dessous :
1. Accédez à notre site Web www.officialassociationpage.com.
2. Connectez-vous et accédez à « Mon compte ».
3. Cliquez sur le bouton « Payer les frais » et vous trouverez l'écran de paiement pour terminer le processus.
Vous recevrez un reçu par e-mail dans les dix minutes. Si vous avez des questions, veuillez répondre à cet e-mail ou nous appeler.
Merci,
Lisa Kudrow
Administrateur de l'association
780-123-4567
L'e-mail du bas semble beaucoup plus sûr et, si les membres connaissent la politique de messagerie, ils seront en mesure de faire la différence entre un e-mail officiel et un e-mail de phishing. Si vous avez d'autres questions, commentaires ou suggestions sur les e-mails de phishing et sur la manière d'en assurer la sécurité, veuillez les laisser ci-dessous !
Si votre association ou organisme de réglementation recherche un nouveau logiciel, veuillez utiliser notre liste de contrôle pour l'approvisionnement en logiciels. Cette liste de contrôle peut être utilisée avec n’importe quel logiciel AMS ou de gestion de licences et vous aidera à tout comparer en un seul endroit. Cliquez sur l'image ci-dessous et téléchargez-la maintenant !