Le PHISHING : sachez le reconnaître en un coup d’œil
Merci à Christian Ferreol
Le phishing est un véritable fléau informatique de nos jours. Il s’agit d’une technique utilisée par des fraudeurs pour vous soutirer des informations confidentielles, mot de passe, identifiants, voire coordonnées bancaires. Voici quelques exemples de phishing et des pistes pour les déceler.
Le Phishing, qu’est-ce que c’est ?
Pour faire simple, le phishing (hameçonnage en français) est une escroquerie courante sur le web, qui consiste pour son auteur à vous envoyer un message en se faisant passer pour votre banque, votre fournisseur internet, d’électricité, votre organisme de sécurité sociale, etc., afin de vous amener à saisir des données confidentielles ou à vous rendre sur un site malveillant.
L’escroc utilise alors les données collectées pour pirater votre compte bancaire, installer un logiciel malveillant sur votre poste de travail, voire procéder à un vol d’identité, une escroquerie difficile à contrecarrer et aux conséquences graves. Voici quelques exemples emblématiques de tentatives de phishing. Pour chaque cas, nous tenterons de faire ressortir les aspects qui vous aideront à l’identifier comme malveillant.
On peut résumer en 4 points les conseils incontournables pour se protéger du phishing :
1- Toujours se méfier des demandes d’informations confidentielles par mail.
2- Fautes d’orthographe et grammaire douteuse = alerte !
3- Faire très attention aux liens externes et aux pièces jointes.
4- Attention aux cadeaux et tirages au sort miraculeux.
1- Infos confidentielles ? Elles doivent le rester !
On vous demande de communiquer -par mail ou en cliquant sur un bouton- des informations personnelles comme vos coordonnées bancaires ? Surtout ne le faites pas ! A titre d’exemple, notre enseigne fnac.com ne vous demandera jamais de lui indiquer vos coordonnées bancaires pour annuler une commande.
Si vous n’avez pas passé de commande d’un iPhone -mais cela peut être un ordinateur, des cartes cadeaux, etc.- il n’y a aucune raison pour qu’on vous demande de l’annuler. La plus grande vigilance est donc de mise ! En cas de doute, vous pouvez d’ailleurs vérifier directement dans votre compte qu’aucune commande de ce type n’a été enregistrée.
Voici un autre exemple de phishing extrêmement dangereux. Il est bien écrit, sans faute d’orthographe et avec le logo authentique de la Société Générale. Un utilisateur peu méfiant peut donc aisément s’y laisser prendre. A un détail près : jamais, au grand jamais, votre banque ne vous demandera de confirmer vos informations bancaires. C’est elle qui vous les fournit, pourquoi aurait-elle besoin que vous les confirmiez ?!
De la même façon que vous ne devez jamais donner le code confidentiel de votre carte bancaire à un site, jamais vous ne devez communiquer vos informations bancaires en réponse à un mail soi-disant en provenance de votre banque.
2- Français approximatif = méfiance !
Comme dans l’exemple ci-dessous, plutôt réussi d’ailleurs, certains oublis, approximations et autres tournures de phrases doivent vous faire tiquer, comme « Veillez cher client suivre la procédure ci-dessous ». Par ailleurs, retenez qu’il faut toujours contacter directement son fournisseur lorsqu’on reçoit ce genre de relance.
Un coup de téléphone, c’est vite fait, et cela peut vous éviter de lourdes conséquences. A plus forte raison si vous estimez être à jour dans vos paiements.
A noter: avec Chat GPT, les mails de Phishing sont de plus en qualitatifs et crédibles !
3- Fautes d’orthographe et liens externes, fuyez !
Cet exemple est un cas d’école du mail qui devrait immédiatement vous alerter. D’abord parce qu’il est truffé de fautes d’orthographe. Ensuite parce qu’il vous demande d’utiliser un lien externe pour télécharger un fichier, soit-disant de sécurité. Et enfin parce que vous devez ouvrir ce fichier dans votre navigateur.
Surtout, si vous recevez ce genre de message, ne vous posez pas de questions, envoyez le dans la boite de spams, signalez le comme phishing ou supprimez le mais par pitié ne suivez pas le lien « pour voir », comme cela arrive trop souvent.
4- Trop beau pour être vrai !
On ne le répétera jamais assez, quand ça parait trop beau pour être vrai, c’est que cela ne l’est pas ! Dans cet exemple, vous êtes l’heureux gagnant d’un concours… auquel vous n’avez pas participé ! Tirage au sort miraculeux, gain qui tombe du ciel de manière inespérée, chance unique de remporter un lot de grande valeur, voilà autant de raisons de se montrer méfiant.
Surtout avec un mail comme celui-ci, visuellement très crédible mais qui mêle faute d’orthographe et formulation peu professionnelle (« votre adresse mail a été tiré« ).
Que faire pour se protéger ?
Nous pouvons tous être acteurs de la lutte contre le phishing. Comment ? Par un geste simple, dès que vous avez identifié une tentative frauduleuse, vous pouvez la signaler via le site gouvernemental dédié à l’adresse https://phishing-initiative.fr/contrib. Tous ensemble, nous pouvons réduire la portée et le pouvoir de nuisance des escrocs qui se cachent derrière ces tentatives.
Reste que la meilleure défense demeure le simple bon sens de l’utilisateur. Il faut éviter de cliquer sur des liens dans les mails dont vous n’êtes pas sûr, d’ouvrir des fichiers joints si vous ne connaissez pas l’expéditeur, de renseigner des informations sensibles en réponse à une relance, etc. Et méfiez-vous des messages à l’accentuation douteuse, aux liaisons grammaticales incertaines ou truffés de fautes, ce sont les premiers indicateurs de phishing.
Soyez vigilants sur les mails des expéditeurs. Des adresses privées (en .gmail, .yahoo et autres .orange.fr par exemple) doivent vous alerter. Vérifiez aussi systématiquement l’url du site vers laquelle on tente de vous envoyer. Voici quelques exemples d’URL frauduleuses, dont certaines sont très convaincantes hélas :
Et on ne le répètera jamais assez, tout ce qui brille n’est pas or. Quand un pseudo investisseur génial vous propose un rendement miracle de 250 % en 1 an, vous pensez tout de suite à une escroquerie. Eh bien vous devez avoir le même état d’esprit quand un organisme, quel qu’il soit, vous propose un remboursement par mail.
Il existe certains moyens de se prémunir contre ces escroqueries :
- De plus en plus de suites antivirus qui intègrent un module antiphishing. C’est par exemple le cas de « Ma Protection », solution de sécurité incluse dans Fnac Vie Digitale.
- Les navigateurs internet vous avertissent aussi lorsque vous essayez de vous rendre sur un site « vérolé ».
- Un autre axe de protection est la collaboration. Nous l’avons vu plus haut avec le site gouvernemental Phishing Initiative, mais ce n’est pas tout. Ainsi, grâce aux retours d’expérience des internautes, couplés à son algorithme, Gmail (le gestionnaire de mail de Google) vous prévient quand vous recevez un message classé par d’autres internautes dans la catégorie spam, ou quand des messages similaires ont été utilisés pour voler les informations personnelles de leur destinataire.
La technique des escrocs consiste à acheter par centaines de milliers sur le darknet (réseau internet parallèle) des fichiers contenant des infos personnelles (mail + adresse physique). Puis ils diffusent des mails frauduleux en tablant sur la probabilité statistique que nombre d’entre eux seront aussi des clients d'une enseigne.