Le phishing est une arnaque qui consiste à récupérer des données pour les utiliser par la suite pour monter une arnaque ou un piratage (usurpation d’identité…) C’est l’attaque la plus commune sur le numérique et la plus difficile à combattre car il faut avoir un doute sur tout. L’opérationnel s’en trouve donc automatiquement impacté avec des procédures légèrement plus longues.
Comprendre le phishing
Le phishing n’est pas né avec le numérique. L’objectif est de récupérer des données ciblées ou non pour les utiliser à mauvais escient.
Plusieurs exemples existent dans le secteur HCR :
- Un mail d’un client provenant souvent d’une plateforme de réservation, vous explique qu’il a une demande spécifique et vous demande de cliquer sur un lien pour vérifier que tout se passera bien. Il peut s’agir de vérifier un itinéraire pour rejoindre l’établissement, une liste d’allergies, une liste de demandes…
- Un appel téléphonique avec une usurpation d’identité : la personne se fait passer pour un salarié d’une plateforme de réservation, ou votre comptable, pour obtenir des informations qui semblent anodines mais qui vont lui permettre de monter une arnaque financière.
Astuce GHR ! Suivez le GHR sur ses réseaux sociaux ! En cas de cyberattaque le GHR communique immédiatement le type d’attaque en cours pour les reconnaître, les modalités de l’attaque, que faire pour l’éviter et/ou si c’est déjà trop tard…
Les conséquences sont la récupération de données (noms, prénoms, coordonnées, voire informations bancaires…) qui peut s’étendre à la transmission d’un virus et/ou un cheval de Troie qui va aller contaminer soit un site précis (ex. L’extranet Booking.com), l’ordinateur qui a servi à cliquer ou encore l’intégralité des serveurs les ordinateurs étant généralement conçus en réseau.
Outre le risque de tomber ensuite dans l’arnaque financière (Ex. double paiement de commissions…), il peut également s’agir de vols de données personnelles de vos clients ou salariés. Or en cas de vol de données personnelles, vous êtes tenus de prévenir massivement toutes les personnes potentiellement concernées, ce qui impacte votre image commerciale.
Cela peut à l’extrême également conduire à une demande de rançon… à noter que le paiement de cette rançon ne vous garantit ni de la restitution des données ni de l’absence de copie de ces données !
Comment se prémunir du phishing
Il est fondamental de ne jamais agir trop vite !
- Ne pas donner d’informations au téléphone
- Ne pas ouvrir de PJ sans scan par un anti-virus
- Ne pas cliquer sur un lien sans en vérifier le contenu via plusieurs sites dédiés
Astuce GHR ! Pour réellement vérifier un lien, il faut le passer dans 3 à 5 sites de scan d’URL.
Exemple : Sucuri, URLVoid, VirusTotal, Should I click etc.
En cas de mini URL, il faut également d’abord récupérer le lien complet via CheckShortURL.
Enregistrez ces différents liens en favoris sur votre navigateur web et créer une fiche de procédure pour que chaque salarié prenne le bon réflexe !
Vous avez été piégé ? Consultez vite notre article !