Phishing : tout ce qu’il faut connaître pour éviter de tomber dans le panneau

par

hameçonnage : homme arnaqué en ligne

Une notification arrive alors que vous êtes en plein travail : vous avez un nouvel e-mail. C’est votre assurance maladie. Vous parcourez le message en diagonale et vous constatez que c’est une histoire de mise à jour de vos coordonnées pour un remboursement à venir. En plus, cela semble plutôt urgent. Vous cliquez sur le lien, puis renseignez vos coordonnées personnelles machinalement. Plus vite ce sera fait, plus vite vous pourrez retourner à vos impératifs professionnels. Malheureusement, ce que vous ne savez pas, c’est que vous venez d’être victime d’un courriel d’hameçonnage.

Comment détecter un phishing sans être un expert de la cybersécurité ? Comment se protéger des escroqueries par courriel et comment réagir face à celles-ci ?
Découvrez aujourd’hui tout ce que vous avez toujours voulu savoir sur l’hameçonnage et apprenez comment appliquer quelques méthodes faciles et efficaces pour ne plus vous faire avoir.

Qu’est-ce que le phishing et comment le repérer ?

L’hameçonnage, qu’est-ce que c’est ?

L’hameçonnage (ou phishing, en anglais) est une technique d’arnaque visant à vous délester de vos informations personnelles, mots de passe ou coordonnées bancaires. L’escroquerie (ou scam) prend, le plus souvent, la forme d’un e-mail semblant émaner d’un expéditeur de confiance (banque, assurance, Pôle emploi, Netflix, un transporteur de colis, etc.). Ce message va vous inciter à cliquer sur un lien, télécharger une pièce jointe contenant un logiciel espion ou directement envoyer vos données personnelles ou bancaires. Si vous mordez à l’hameçon, l’arnaqueur peut récupérer :

  • votre identité ;
  • les mots de passe de vos différents comptes ;
  • les identifiants de votre propre site web ;
  • l’accès à votre ordinateur et à ce que vous tapez sur votre clavier ;
  • la capacité à parler à votre place sur les réseaux et à communiquer avec la communauté attirée par votre contenu ;
  • la possibilité de piocher dans votre compte en banque.

Notez que si le mail frauduleux est la méthode de scam la plus commune, il est également possible de recevoir des tentatives de phishing par SMS ou par appel vocal. Dans tous les cas, il est important d’apprendre à les reconnaître.

Comment détecter une tentative d’arnaque ?

Tirer parti du « mouseover » : la base pour éviter les mails frauduleux

L’e-mail qui vient de tomber dans votre boîte de réception semble provenir de votre assurance. Mais êtes-vous certain que c’est bien le cas ? Pour vous en assurer, passez la souris sur le nom de l’expéditeur. Vous verrez alors s’afficher sur votre écran sa véritable adresse de messagerie. Si cela ne correspond pas à l’organisme supposé vous écrire, cela veut dire que vous êtes confronté à une tentative d’hameçonnage.

Cela fonctionne exactement de la même manière pour les images cliquables et les liens hypertextes présents dans le message. Passez le curseur de la souris dessus et découvrez à qui vous vous apprêtiez à envoyer le fichier scanné de votre pièce d’identité.

Cette technique s’appelle le mouseover et constitue votre meilleur outil pour détecter les tentatives d’hameçonnage. Il arrive que, pour rendre l’arnaque plus crédible, les adeptes du phishing glissent des liens légitimes dans leurs courriers. Du coup, répétez cette méthode sur tous les liens présents, jusqu’à en trouver un frauduleux. Vous maximisez alors vos chances d’éviter les pièges des pros de l’arnaque en ligne.

mouseover sur un email de phishing

L’utilisation du mouseover peut vous permettre d’éviter bien des arnaques. Méfiance toutefois, les adresses e-mail des escrocs sont parfois plus compliquées à remarquer que celle-ci !

Inspecter l’orthographe et la cohérence du texte en cas de courriel suspect

Le message comporte des fautes ? Il est rédigé en anglais tandis que l’organisme est niçois ? Les phrases sont écrites dans un français bancal ? Alors vous avez probablement sous les yeux une tentative d’hameçonnage. Et ce pour une de ces trois raisons :

  • Tous les génies de l’arnaque ne sont pas des virtuoses de l’orthographe.
  • Bien des messages sont des traductions automatiques de textes en anglais destinés à flouer des victimes du monde entier.
  • Certains escrocs ne prennent pas la peine de traduire et envoient un courriel écrit dans la langue de Shakespeare.

L’arnaqueur compte souvent sur le fait que bien des gens se contentent de survoler les courriers électroniques avant de cliquer sur les liens. Une lecture attentive d’un e-mail louche vous permettra de découvrir rapidement la supercherie.

Vérifier à la source les affirmations contenues dans le message suspicieux

Beaucoup de messages de phishing laissent entendre aux victimes qu’il y a urgence à suivre leurs injonctions. Ne vous précipitez surtout pas et ne cliquez sur aucun lien présent dans l’e-mail.

Tapez sur Google le nom de l’organisation supposée vous contacter. Rendez-vous depuis la page des résultats du moteur de recherche sur le site en question.

Comparez ensuite ce qui est écrit sur le site avec les propos de votre interlocuteur. Vous pourrez alors facilement voir si vous avez affaire à un scam. Le doute subsiste ? Contactez directement l’organisme par messagerie ou par téléphone.

Que faire en cas de phishing ?

Activer la double authentification

De nombreux services en ligne (comme votre banque, certaines boutiques, ou votre plateforme de jeux vidéo préférée) vous proposent d’activer la double authentification. Cette vérification en deux étapes ajoute, en plus du mot de passe, une seconde couche de sécurité. Le plus souvent, vous devrez saisir sur le site un code à usage unique que l’on vous enverra par SMS.

Dénoncer les messages malveillants

Utiliser l’option de signalement sur Gmail

Si une tentative d’arnaque atterrit dans votre boîte Gmail et que vous la consultez depuis votre ordinateur, cliquez sur les trois petits points en haut à droite de l’e-mail. Puis sélectionnez « signaler comme hameçonnage ».

Ajouter l’adresse frauduleuse sur le site Phishing initiative

Vous avez repéré l’adresse d’un site malveillant qui usurpe l’identité d’un autre ? Signalez-le via Phishing Initiative. Placez le curseur de la souris sur le lien frauduleux, faites un clic droit, puis sélectionnez « copier l’adresse du lien ». Enfin, collez l’adresse sur la page principale de Phishing Initiative.

Alerter les autorités à l’aide de la plateforme Pharos

Vous désirez passer aux choses sérieuses ? Pharos est une plateforme en ligne affiliée au gouvernement. Elle permet de signaler directement les arnaques et autres contenus illégaux.

Ne pas réagir

Si vous ne suivez aucun lien et ne téléchargez aucune pièce jointe, l’arnaqueur ne peut rien contre vous. Vous ne désirez pas signaler le message ? Jetez directement celui-ci à la corbeille et reprenez le cours de votre vie.

attaque de logiciels malveillants

Quand vous détectez une tentative de phishing, gardez votre calme quoi qu’il arrive. Crédit Photo : Freepik

Au secours ! J’ai cliqué sur un lien d’hameçonnage : que faire ?

Garder son calme : la situation n’est pas forcément catastrophique

Beaucoup de liens de phishing ont pour but de vous amener à entrer sur une page Internet semblant digne de confiance, des informations sensibles. Si vous découvrez le pot aux roses après avoir cliqué sur le lien, mais avant d’avoir envoyé quoi que ce soit, il est probable que vous ne risquiez rien.

De la même façon, si vous avez téléchargé un fichier, mais que vous ne l’avez pas ouvert, vous avez certainement évité le pire. Précipitez le fichier dans les tréfonds de la corbeille de votre ordinateur.

Utiliser un antivirus et un antimalware

Vérifiez que votre machine est « propre ». Si vous avez un antivirus installé, assurez-vous que sa base de données virale soit à jour. Lancez alors une vérification des fichiers de votre disque dur.

Réalisez le même type de manipulation avec un logiciel antimalware comme Malwarebytes.

Changer ses mots de passe

Servez-vous de préférence d’un autre appareil que celui avec lequel vous avez cliqué sur le lien (téléphone portable, tablette, autre ordinateur) et changez vos mots de passe en commençant par ceux de vos adresses e-mail. Pour rappel, il est primordial de varier ses mots de passe pour ses différents comptes. Peur d’oublier tous vos passwords pleins de caractères compliqués ? Utilisez un gestionnaire de mots de passe, ou optez pour un outil extrêmement avant-gardiste : un carnet de notes papier !

Contacter sa banque

Si vous avez communiqué les numéros de votre carte bleue, prenez immédiatement contact avec votre banque pour faire opposition à vos moyens de paiement. Vous couperez ainsi l’herbe sous le pied des escrocs.

Au fil des ans, les entreprises et logiciels de sécurité informatique sont devenus de plus en plus efficaces. Cependant, il est vain d’espérer qu’un jour l’hameçonnage disparaisse. Les avancées technologiques profitent également aux escrocs. Les techniques d’arnaque s’affinent de jour en jour et deviennent toujours plus compliquées à repérer.

Consultez régulièrement les actualités liées au phishing pour protéger vos données. En matière de cybersécurité comme dans la vie, il vaut mieux prévenir que guérir.

Julien Pillay, pour La Rédac Du Web

Article rédigé lors du cursus de formation en rédaction web chez FRW.

Article relu par Élodie, tutrice de formation chez FRW.

Sources

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing

https://www.service-public.fr/particuliers/vosdroits/F34800

https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/Phishing-hameconnage

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

J’accepte les conditions et la politique de confidentialité

%d blogueurs aiment cette page :