Récemment, nous avons détecté des acteurs malveillants se faisant passer pour l'assistance client BingX et pour des notifications système. Ces attaquants usurpent des adresses d'expéditeur et envoient des e-mails d'hameçonnage conçus pour inciter les utilisateurs à cliquer sur des liens malveillants ou à autoriser des actions sensibles telles que des retraits. Ces e-mails peuvent sembler provenir d'une « adresse e-mail officielle BingX », mais ils sont frauduleux. Nous vous recommandons vivement de suivre les étapes de cet article pour vérifier la source de l'e-mail.

I. Vérifier l'adresse e-mail via les canaux officiels

Commencez par consulter BingX Verify pour confirmer si l'adresse e-mail de l'expéditeur appartient à un domaine officiellement enregistré.

  • Si le résultat de la vérification indique que l'adresse e-mail appartient à un [domaine non officiel], considérez qu'il s'agit d'une arnaque. Ne cliquez sur aucun lien et n'effectuez aucune action.
  • Si la vérification est concluante, passez à la deuxième étape pour vérifier plus en détail la source de l'e-mail.

II. Même si l'adresse e-mail est vérifiée comme officielle, vérifiez tout de même le fichier EML

Un fichier EML est le fichier brut de l'e-mail. Il contient la source complète de l'e-mail, y compris les en-têtes, le chemin d'acheminement, les signatures numériques et les métadonnées.

Même si l'adresse de l'expéditeur passe la vérification officielle, le risque de fraude n'est pas totalement éliminé. Les escrocs peuvent usurper des domaines officiels. Si l'e-mail vous demande d'effectuer des actions sensibles telles que des retraits, scanner un code QR ou cliquer sur un lien, nous vous recommandons vivement de vérifier les champs techniques du fichier EML (par exemple : spf, dkim et dmarc) afin de confirmer si l'e-mail provient des serveurs officiels de BingX. Procédure détaillée étape par étape :

  1. Téléchargez et ouvrez le fichier EML

  • Téléchargez le fichier EML

Sur un ordinateur, connectez-vous à votre compte e-mail (par exemple, Gmail ou Outlook). Recherchez l'e-mail, puis exportez-le ou enregistrez-le au format .eml. Exemple avec Gmail : ouvrez l'e-mail, cliquez sur le menu « ⋮ » en haut à droite, puis sélectionnez « Télécharger message » pour enregistrer l'e-mail au format .eml.

*Remarque : cette manipulation est uniquement disponible sur un ordinateur.

Vérification officielle 1.pngVérification officielle 2.png

  • Ouvrez le fichier EML

Sur votre ordinateur, localisez le fichier .eml téléchargé et faites un clic droit dessus. Sélectionnez « Ouvrir avec » et choisissez un éditeur de texte (Notepad, TextEdit, VS Code, etc.). Le fichier s'ouvre en texte brut et affiche l'intégralité des informations techniques de l'e-mail.

  1. Effectuez une vérification technique à l'aide du contenu EML

Ouvrez le fichier et utilisez la fonction de recherche (Ctrl+F ou Cmd+F). Recherchez les trois champs suivants : spf, dkim et dmarc.

Déterminez l'authenticité de l'e-mail en fonction des résultats de recherche :

⚠️ Scénario 1 : l'un des champs affiche « fail »

Si l'un des éléments suivants apparaît, l'e-mail a échoué à l'authentification et provient probablement d'une source non autorisée.

  • spf=fail
  • dkim=fail
  • dmarc=fail

Exemple : dans le champ de recherche du fichier EML téléchargé, saisissez « dmarc ». Si les résultats affichent « dmarc=fail » ou « dmarc:fail », l'e-mail a échoué à l'authentification.

verity-en-3.PNG

✅ Scénario 2 : les trois champs affichent « pass »

Si tous les éléments suivants apparaissent, l'e-mail a très probablement été envoyé par les Canaux officiels de BingX et la source est fiable. Si vous avez encore des questions concernant l'e-mail, contactez le service client de BingX pour confirmation.

  • spf=pass
  • dkim=pass
  • dmarc=pass

verity-en-4.PNG

 

III. Résumé et recommandations de sécurité

  • Si un résultat d'authentification spf, dkim ou dmarc indique « fail », soyez extrêmement vigilant.
  • Ne cliquez sur aucun lien suspect et ne téléchargez aucune pièce jointe.
  • Si vous ne pouvez pas déterminer cela vous-même, envoyez le fichier EML au service client pour authentification.
 

Ⅳ. FAQ

  1. Pourquoi un domaine d'e-mail peut-il être usurpé ?

Le protocole Simple Mail Transfer Protocol (SMTP) ne vérifie pas l'identité de l'expéditeur. Des cybercriminels peuvent facilement falsifier l'« adresse e-mail de l'expéditeur » et faire croire qu'un message provient des Canaux officiels de BingX.

  1. Pourquoi un e‑mail frauduleux peut-il quand même arriver dans une boîte de réception ?

Que l’email soit reçu ou non dépend de la sécurité de votre boîte mail :

  • Les boîtes mail à sécurité renforcée, telles que Gmail et Outlook, vérifient automatiquement l'identité de l'expéditeur à l'aide de spf, dkim et dmarc. En cas d'échec de l'authentification, l'e-mail est généralement bloqué, déplacé dans les courriers indésirables ou marqué comme « e-mail suspect ».
  • Boîtes mail à sécurité plus faible (telles que QQ Mail ou certaines boîtes professionnelles) : même si l'authentification échoue, l'e-mail peut tout de même être reçu sans afficher d'avertissement de risque apparent. Cela permet de tromper les utilisateurs plus facilement.