Vous avez reçu cet email intitulé "Action requise : dernière étape pour éviter la suppression de votre profil" Google My Business ? Découvrez pourquoi c'est une tentative de phishing !
Mercredi matin, j'ouvre mon logiciel de message et je vois que je viens de recevoir cet email avec l'objet "Action requise : dernière étape pour éviter la suppression de votre profil".

A première vue, l'email semble légitime et je suis tenté de suivre le lien demandé, car pour mon référéncement SEO local je ne peux me passer de Google My Business.
Cependant, depuis plus de 15 ans maintenant j'ai appris à me méfier de chaque email reçu... ci-dessous je vous livre 7 indicateurs et conseils pour reconnaître un email frauduleux.

 

Comment s'assurer qu'un email reçu n'est pas une tentative de piratage ?

Voici le contenu de l'email reçu que je vais prendre comme exemple :

Avez-vous exploré les dernières mises à jour de Google My Business ? Ces nouveautés sont conçues pour vous aider à améliorer la visibilité de votre établissement en ligne, à interagir plus efficacement avec vos clients, et à gérer plus facilement les informations de votre entreprise.

Dans le cadre de l'amélioration continue de nos services, nous avons remarqué que la validation de votre établissement sur Google Maps n'est pas encore terminée. Pour vous assurer que votre profil reste actif et continue de bénéficier des avantages de Google My Business, nous vous encourageons à finaliser cette validation.

Il vous suffit de suivre le lien ci-dessous pour terminer cette étape et garantir la présence continue de votre établissement en ligne
Compléter la Validation

Cet e-mail vous a été envoyé afin de vous informer de changements importants concernant votre fiche d'établissement.

 

1. Vérifier si l'expéditeur est suspect

A chaque email reçu, s'il ne fait pas partie de vos contacts réguliers, vérifiez l'adresse email de l'expéditeur:

• Souvent, même si c'est moins le cas aujourd'hui, sont utilisées des adresses email génériques comme gmail.com, yahoo.com, alors qu'une entreprise officielle utiliserait son propre domaine.
• Les emails de phishing utilisent souvent des adresses qui ressemblent à celles d'entreprises légitimes mais comportent des différences subtiles.

✔ C'est le cas dans cet exemple : l'email expéditeur est support@gmaps-support.com alors que logiquement on doit s'attendre à un email du genre "support@google.com".
IMPORTANT : attention toutefois, si les mesures de sécurité de votre serveur email ou votre nom de domaine ne sont pas en place, il est possible qu'un email usurpe un nom de domaine et se fasse passer pour un email légitime. C'est la raison pour laquelle un seul des indicateurs énoncés sur cet article n'est pas suffisant pour identifier un email frauduleux !

 

2. Vérifier si l'adresse email de réception est suspecte

• Si vous avez plusieurs adresses email, vérifiez que le lien entre le service décrit et votre boite email est plausible.
• La logique veut que si vous être inscrit sur Amazon avec votre email @yahoo.fr, vous ne devez pas recevoir d'email relatif à votre compte Amazon sur votre adresse @free.fr

✔ Dans cet exemple, je reçois ce message sur une de mes adresses email @dginteractive.fr alors que mon compte Google My Business n'est aucunement relié à cette adresse email. J'aurai du recevoir cet email sur une de mes adresses email @gmail.com

 

3. Vérifier si l'objet ou le contenu est alarmant

• Les emails de phishing cherchent souvent à provoquer un sentiment d'urgence ou de peur : "Votre compte sera fermé", "Action immédiate requise", etc.
• Soyez méfiant si l’email insiste pour que vous cliquiez sur un lien immédiatement ou fournissez des informations personnelles.

✔ Cet exemple correspond parfaitement à ce point précis : ma première impression disons "instinctive" a été de croire à ce sentiment d'urgence, à la lecture de "Pour vous assurer que votre profil reste actif" ou "continuer de bénéficier des avantages de Google My Business".

 

4. Vérifier les salutations impersonnelles

• Les emails frauduleux commencent souvent par des salutations génériques comme "Cher client" au lieu de votre nom personnel. Les entreprises légitimes utilisent généralement votre nom.

✔ Dans cet exemple, la salutation est faite sur "Bonjour DGinteractive - création site internet Béziers" alors que mon nom et prénom sont renseignés sur Google. Un email réel de Google commencera donc, entre autres, par "Bonjour Greg" ou "Bonjour M. Deschamps".

 

5. Vérifier les fautes d’orthographe et de grammaire

• Les emails de phishing contiennent encore souvent, mais la tendance est à la baisse, des fautes d'orthographe, de grammaire ou de syntaxe.
• Les entreprises légitimes font généralement attention à leur communication, même s'il faut le reconnaître : ce n'est pas toujours le cas.

✔ Dans cet exemple, il n'y aucune faute d'orthographe, hormis le V majuscule à "Compléter la Validation" . Mais la syntaxe et la répétition du mot continue ("que votre profil reste actif et continue" et "garantir la présence continue de votre établissement") est supecte et doit donc alerter.

 

6. Vérifier les liens contenus dans l'email

• Placez votre curseur sur le ou les liens contenus dans l'email mais sans cliquer dessus. Dans la plupart des cas, l'URL s'affiche en bas de l’écran et doit correspondre au site officiel. Comme pour l'étape 1. de cet article, l'URL doit être légitime et ne pas contenir des variations subtiles ou des noms de domaine inhabituels.
• Sur mobile, selon votre application de messagerie, il est possible que l'URL ne s'affiche pas. Faites alors un copier du lien et coller le dans une application de Notes ou de Texte afin de découvrir l'URL de destination du lien.
• Méfiez-vous enfin des liens raccourcis ou des URL qui ne correspondent pas au contenu annoncé. Les URL raccourcies tels que "bit.ly/abcd1234" par exemple.

✔ Dans cet exemple, le lien redirige vers la page d'accueil de gmaps-support.com. Se poser la question de pourquoi il ne redirige pas vers la page de connexion Google (vu que le service concerné est Google My Business) est totalement logique et doit donc alerter.

 

7. Vérifier si le contenu demande des informations sensibles

• Les entreprises légitimes ne vous demanderont jamais d'envoyer vos informations sensibles (mot de passe, numéro de carte bancaire) par email.
• Soyez vigilant si on vous demande de "vérifier" vos informations ou de confirmer votre identité en envoyant des détails personnels.

✔ C'est le cas dans cet exemple : on me demande de vérifier mes informations. Ajouté aux autres indicateurs, il est clair que cet email est frauduleux et tente de faire du phishing !

 

Vous avez désormais en main les outils pour détecter si un email est envoyé pour pirater vos données ou votre ordinateur. La vigilance est et restera la meilleure défense contre le phishing, même avec l'utilisation d'outils spécialisés.