Comment reconnaître le phishing et protéger vos données ?

Chez Kinamo, la sécurité de vos données est une priorité absolue. Malheureusement, nous constatons que des e-mails de phishing circulent parfois, envoyés par des cybercriminels se faisant passer pour Kinamo. Ces messages frauduleux peuvent parfois sembler légitimes.

Dans cet article, vous découvrirez :

• Comment vous connecter en toute sécurité à l’espace client MyKinamo
• Comment reconnaître les tentatives de phishing
• Ce que vous devez faire si vous pensez avoir été victime d'un phishing de ce genre

Voici un exemple d’e-mail qui pourrait sembler provenir de Kinamo :

Vous voyez bien ‘De : Kinamo NV’, mais en regardant de plus près, vous remarquerez une adresse e-mail qui n’est clairement pas liée à notre nom de domaine, kinamo.be.

Se connecter à MyKinamo

Via le portail client MyKinamo vous pouvez gérer de vos services. Pour vous y connecter vous serez redirigé vers https://auth.kinamo.be

Vérifiez toujours l'URL (adresse web) dans la barre d'adresse avant de vous connecter.

Comme vous pouvez le voir dans les exemples de fausses URL ci-dessous, certains cybercriminels font preuve d’une ingéniosité surprenante pour tenter de vous piéger.

Il est tout à fait possible que la page de connexion proposée via une fausse URL ressemble parfaitement à la nôtre. Il est donc essentiel de vérifier attentivement, avant de vous connecter, que vous êtes bien sur notre domaine, kinamo.be.

Si vous voyez une autre URL, il s’agit d’une page frauduleuse. Ne poursuivez pas et contactez-nous immédiatement.

À quoi ressemble un e-mail de phishing ?

Les e-mails de phishing tentent de vous inciter à cliquer sur un faux lien ou à saisir vos informations. Ils contiennent souvent:

• un appel urgent au paiement, faute de quoi votre service "expirera"
• une demande de confirmation immédiate de votre compte ou de votre adresse électronique
• un lien vers une page de connexion frauduleuse

Ce genre de mail ne proviennent pas de Kinamo. Vérifiez toujours l'expéditeur (l'adresse e-mail), s'il ne s'agit pas d'un domaine @kinamo.be, ce n'est pas nous.

À quoi devez-vous faire attention avant de cliquer?

Les messages de phishing sont malheureusement de plus en plus convaincants. Fini le temps où l’on pouvait les repérer facilement grâce à des phrases bancales ou des fautes flagrantes. Les cybercriminels deviennent de plus en plus "sophistiqués" dans leur approche.

Voici une checklist pour être plus sûr avant de cliquer :

• Vérifiez l'adresse de l'expéditeur, et pas seulement son nom.
  Un courriel de Kinamo provient toujours d'une adresse @kinamo.be.
  L'adresse électronique semble différente ?
  Dans ce cas, il ne s'agit pas d'un email légitime de notre part.
  En cas de doute, contactez notre support.
• Passez la souris sur les liens sans cliquer.
  En survolant un lien, vous verrez l’URL complète.
  Si celle-ci ne pointe pas clairement vers un domaine kinamo.be, ne cliquez pas.

• Attendez-vous cet e-mail ?
  Pour les noms de domaine, nous vous enverrons deux courriels distincts :

  • Un rappel concernant le renouvellement, environ deux mois à l'avance.
  • Un autre courriel contenant l'invitation à payer.

  Les deux courriels proviennent d'adresses @kinamo.be différentes.
  

• Vérifiez l'adresse de support :
  L'e-mail contient-il une adresse e-mail de support ? Assurez-vous qu'elle renvoie bien à support@kinamo.be.

Vous avez des doutes ?

Ne cliquez pas !

Envoyez-nous un courriel à l'adresse support@kinamo.be pour nous demander si nous vous avons envoyé un message, ou appelez-nous. Nous nous ferons un plaisir de vous aider.
N'hésitez pas à nous avertir si vous avez reçu un message de phishing semblant provenir de Kinamo, en le transférant à l'adresse abuse@kinamo.be.

Conformément à nos procédures ISO, nous contacterons alors les autorités et le fournisseur d'hébergement du spammeur pour déposer une plainte.

Vous avez quand même cliqué ?

Que pouvez-vous faire si vous avez saisi des informations sur un site de phishing se faisant passer pour Kinamo ?

Ne paniquez pas, mais agissez immédiatement :

• Changez votre mot de passe
  Allez sur auth.kinamo.be et procédez à une réinitialisation de votre mot de passe.
  Choisissez un mot de passe fort et unique que vous n'avez jamais utilisé auparavant.
  

• Contactez notre support
  Envoyez-nous un e-mail dès que possible à support@kinamo.be ou utilisez le formulaire de contact sur notre site web.
  Veuillez inclure si possible

  • L'URL de la page frauduleuse
  • Une capture d'écran du message ou du site de phishing
  • L'heure à laquelle vous avez saisi vos informations

  Notre équipe sera heureuse de vous aider à sécuriser votre compte et à suivre les risques éventuels.

Que fait Kinamo pour prévenir le phishing ?

Chez Kinamo, nous faisons tout notre possible pour prévenir le phishing et protéger vos données. Nous prenons notamment les mesures suivantes :

• Sécurité de nos domaines :
  Nos domaines sont équipés d'enregistrements SPF/DKIM/DMARC. Cela empêche les criminels d'envoyer des courriels au nom de Kinamo.
• Surveillance des activités suspectes :
  Nous surveillons les tentatives de connexion suspectes. En cas de doute, nous vous contactons de manière proactive.
• Sensibilisation et information:
  Nous informons régulièrement sur la sécurité en ligne par d'articles tels que celui-ci sur notre site web.
• Vérification en deux étapes (2FA) :
  Vous pouvez en outre sécuriser votre compte grâce à la vérification en deux étapes. Ceci ajoute une couche de sécurité supplémentaire à votre mot de passe, via un code texte ou une application d'authentification telle que Google Authenticator ou Microsoft Authenticator.
  Nous comprenons qu'il s'agit d'une étape supplémentaire dans le processus de connexion, mais la sécurité de vos données est de la plus haute importance pour nous.
  Avec 2FA, vous rendez l'accès à votre compte beaucoup plus difficile pour les criminels, même si votre mot de passe tombe entre de mauvaises mains.

Comment les criminels obtiennent-ils votre adresse électronique ?

Les hameçonneurs utilisent plusieurs techniques pour collecter des adresses électroniques :

• Via les données WHOIS publiques :
  Lors de l'enregistrement d'un nom de domaine, des informations de contact telles que le nom, l'adresse électronique et le numéro de téléphone sont transmises au registre (comme DNS Belgium pour les domaines .be).
  La publication WHOIS est une procédure standard dans la gestion des noms de domaine, conçue pour vérifier la propriété et la responsabilité technique.
  Toutefois, depuis l'introduction du GDPR et de la directive NIS2, ces données ne sont plus simplement visibles par le public.

  • Pour les titulaires privés, DNS Belgique n'indique que la province et le pays, et un formulaire de contact est utilisé au lieu d'une adresse électronique.
  • Pour les personnes enregistrées à titre professionnel, davantage de données peuvent être visibles publiquement.

  Avez-vous des questions sur ce qui est visible ou vous souhaitez que des données supplémentaires soient protégées ? Prenez contact, nous serons ravis de vous aider.
  

• Outils de collecte automatisée :
  Il existe des outils automatisés qui parcourent l'internet à la recherche d'adresses électroniques sur les sites web, les forums et les médias sociaux.
  
• Fuites de données sur d'autres services :
  Il arrive aussi que des données telles que des adresses e-mail et des mots de passe proviennent de fuites sur des plateformes externes.
  
• Réutilisation d'utilisateurs et de mots de passe :
  N'utilisez pas la même adresse électronique et le même mot de passe partout.
  Nous comprenons qu'il est difficile d'utiliser des mots de passe forts et que la sécurité en ligne n'est pas facile.
  Utilisez un ‘coffre-fort numérique' / un gestionnaire de mots de passe comme Bitwarden, qui vous permet de combiner sécurité et facilité d’utilisation. Vous trouverez plus d'informations à ce sujet ici.