Les attaques d’hameçonnage sont monnaie courante.
Des millions de courriels d’hameçonnage atterrissent chaque jour dans des millions de boîtes de réception avec un seul objectif : escroquer le destinataire. Qu’il s’agisse de pirater votre compte bancaire, de voler des renseignements personnels ou les deux, vous pouvez apprendre à repérer les courriels d’hameçonnage et à vous en prémunir.
Pour ne rien arranger, les courriels d’hameçonnage sont de plus en plus difficiles à repérer.
Ils semblent provenir d’entreprises que vous connaissez et en lesquelles vous avez confiance, comme votre banque ou des services tels que Netflix, PayPal et Amazon. Et certains d’entre eux sont convaincants. L’écriture et la mise en page sont soignées et la présentation générale est professionnelle. Pourtant, il y a toujours quelque chose qui cloche.
Il est évident que quelque chose ne va pas dans ce courriel. Il a été rédigé par un escroc. Les courriels d’hameçonnage utilisent une tactique d’appât et d’hameçon. Un message urgent ou séduisant représente l’appât, tandis qu’un logiciel malveillant ou un lien vers une page de connexion frauduleuse fait office d’hameçon.
Une fois l’hameçon en place, plusieurs choses peuvent se produire. Cette page de connexion frauduleuse peut voler des renseignements personnels et de compte, ou ce logiciel malveillant peut installer des enregistreurs de frappe qui volent des données, des virus qui ouvrent une porte dérobée par laquelle les données peuvent être détournées, ou des rançongiciels qui prennent en otage un appareil et ses données jusqu’à ce qu’une somme d’argent soit versée.
Une fois encore, vous pouvez éviter ces attaques si vous savez les repérer. Il y a des signes qui ne trompent pas.
Voyons à quel point ces attaques sont prolifiques, analysons quelques exemples et passons en revue les éléments que vous devez rechercher.
Statistiques sur les attaques d’hameçonnage — on dénombre des millions de tentatives effectuées chaque année
Rien qu’aux États-Unis, plus de 300 000 victimes ont signalé une attaque d’hameçonnage au FBI en 2022. Les attaques d’hameçonnage sont en tête de la liste des plaintes enregistrées. Elles sont environ six fois plus nombreuses que le deuxième type de plaintes, à savoir les violations de renseignements personnels. Le chiffre réel est sans doute plus élevé, étant donné que toutes les attaques ne sont pas signalées.
Une étude suggère que plus de 255 millions de tentatives d’hameçonnage ont été effectuées à l’échelle mondiale au cours du seul second semestre 2022, soit une augmentation de 61 % par rapport à l’année précédente. Une autre étude a conclu qu’un courriel sur 99 contenait une attaque d’hameçonnage.
Pourtant, les escrocs ne ratissent pas toujours aussi large. Les statistiques indiquent une hausse du harponnage ciblé, où l’attaquant s’en prend à une personne en particulier. Les cybercriminels s’attaquent souvent aux membres du personnel qui sont habilités à transférer des fonds ou à effectuer des paiements. Les autres cibles comprennent les personnes ayant accès à des données sensibles telles que des mots de passe, des données propriétaires et des données de compte.
Ces attaques peuvent donc s’avérer coûteuses. En 2022, le FBI a reçu 21 832 plaintes d’entreprises se disant victimes d’une attaque d’harponnage. Les pertes ajustées s’élevaient à plus de 2,7 milliards de dollars, soit un coût moyen de 123 671 dollars par attaque.
Même si les statistiques exactes sur les attaques d’hameçonnage restent assez floues, il ne fait aucun doute que ces menaces sont prolifiques et coûteuses.
À quoi ressemble une attaque d’hameçonnage?
Presque toutes les attaques d’hameçonnage envoient un message urgent pour vous inciter à agir.
Voici quelques exemples…
- « Vous avez gagné notre tirage au sort! Envoyez-nous vos coordonnées bancaires pour que nous puissions vous verser vos gains! »
- « Vous devez régler des arriérés d’impôts. Envoyez immédiatement votre paiement en utilisant ce lien ou nous transmettrons votre dossier aux autorités. »
- « Nous avons repéré ce qui pourrait être une activité inhabituelle sur votre carte de crédit. Suivez ce lien pour confirmer les données de votre compte. »
- « Il y a eu une tentative non autorisée d’accès à votre compte de diffusion en direct. Cliquez ici pour vérifier votre identité. »
- « Votre colis n’a pas pu être livré. Cliquez sur le document ci-joint pour fournir des instructions de livraison. »
Lorsque ces courriels sont joliment présentés et accompagnés de logos à l’apparence officielle, il est facile de comprendre pourquoi de nombreuses personnes cliquent sur le lien ou la pièce jointe qui accompagne ce type de message.
Et c’est là tout le problème des attaques d’hameçonnage. Ces dernières années, les escrocs ont perfectionné leurs tactiques. Leurs courriels d’hameçonnage peuvent paraître convaincants. Il n’y a pas si longtemps, vous pouviez repérer des fautes d’orthographe, des erreurs de grammaire, une présentation bancale et des logos qui semblaient étirés ou qui n’utilisaient pas les bonnes couleurs. Des attaques d’hameçonnage mal exécutées comme celle-là continuent de se propager dans le monde. Cependant, il est de plus en plus fréquent de voir des attaques beaucoup plus sophistiquées, qui ressemblent à s’y méprendre à un message authentique.
Exemple :
Imaginons que vous recevez un courriel vous informant que votre compte PayPal a un problème. Saisiriez-vous vos données de compte si vous vous retrouviez sur cette page? Si oui, vous transmettriez vos renseignements à un escroc.
Nous avons pris la capture d’écran ci-dessus en suivant une attaque d’hameçonnage jusqu’à son terme — sans saisir de renseignements légitimes, bien entendu. En fait, nous avons saisi une adresse courriel et un mot de passe bidons, et le système nous a quand même permis de nous connecter. En effet, les escrocs recherchaient d’autres renseignements, comme vous le verrez bientôt.
Lorsque nous avons exploré davantage le site, nous avons constaté qu’il semblait tout à fait légitime. Le design reflétait le style de PayPal et les liens en bas de page semblaient officiels. Mais en y regardant de plus près…
Notez les erreurs subtiles, comme « donnée de carte » et « Configuration des mon activité ». S’il arrive que des entreprises commettent des erreurs de grammaire, le fait de les repérer dans une interface devrait éveiller votre méfiance. De plus, le site demande des données de carte de crédit à un stade très précoce du processus. Tout cela est bien suspect.
C’est ici que les attaquants se sont montrés très audacieux.
Ils demandent des « donnée » bancaires, qui comprennent non seulement les numéros de routage et de compte, mais aussi le mot de passe du compte. Audacieux, et 100 % frauduleux.
Si l’on combine les erreurs subtiles et la demande ostensible de données de compte, on comprend qu’il s’agit clairement d’une escroquerie.
Prenons un peu de recul. Qui a envoyé le courriel d’hameçonnage qui nous a redirigés vers ce site malveillant? Il s’agit de « paypal@inc.com ».
Il s’agit manifestement d’un courriel frauduleux, et d’un cas typique d’hameçonnage où un attaquant insère un nom familier dans une adresse courriel sans rapport, en l’occurrence « inc.com ». Les cybercriminels peuvent également créer de fausses adresses qui imitent des adresses officielles, comme « paypalcustsv.com ». Ils font tout pour vous piéger.
Le site malveillant vers lequel le courriel d’hameçonnage nous redirigeait utilisait également une adresse usurpée. Il n’y avait aucune association officielle avec PayPal, ce qui prouve qu’il s’agit d’une attaque d’hameçonnage.
Notez que les entreprises n’envoient des courriels qu’à partir de leurs noms de domaine officiels, tout comme leurs sites n’utilisent que leurs noms de domaine officiels. Plusieurs entreprises et organisations répertorient ces domaines officiels sur leur site Web afin de lutter contre les attaques d’hameçonnage.
Par exemple, PayPal dispose d’une page qui indique clairement comment il vous contactera ou non. Chez McAfee, une page entière est consacrée à la prévention des attaques d’hameçonnage. Elle répertorie également les adresses courriel officielles que nous utilisons.
Autres exemples d’attaques d’hameçonnage
Tous les escrocs ne sont pas aussi sophistiqués, du moins dans la manière dont ils conçoivent leurs courriels d’hameçonnage. Nous pouvons citer en exemple quelques courriels d’hameçonnage qui se faisaient passer pour des communications légitimes de McAfee.
Il y a beaucoup à dire sur ce premier exemple de courriel. Les escrocs tentent d’imiter la marque McAfee, mais n’y parviennent pas. Néanmoins, ils utilisent plusieurs tactiques pour essayer de se montrer convaincants.
Notez l’utilisation de la photographie et de la boîte de notre logiciel, associées à un titre proéminent « Agissez maintenant ». Ce n’est pas le style de photographie que nous utilisons, non pas que les gens le sachent forcément. Cependant, certains pourraient avoir une pensée passagère du type : « Mmh. Cela ne ressemble pas vraiment à ce que McAfee m’envoie habituellement ».
En outre, il y a quelques erreurs d’emploi des majuscules, des signes de ponctuation mal positionnés, et les icônes « Commander maintenant » et « 60 % de réduction » ont l’air d’avoir été placées un peu n’importe comment. Notez également la petite touche de peur qu’il apporte en mentionnant « Il y a (42) virus sur votre ordinateur… »
Il suffit d’y regarder de plus près pour se rendre compte qu’il s’agit d’une escroquerie.
La publicité suivante appartient à la catégorie des attaques moins sophistiquées. Elle n’est pratiquement constituée que de texte et utilise beaucoup la couleur rouge. Là encore, on observe de nombreuses erreurs d’utilisation des majuscules, ainsi que quelques fautes de grammaire. La lecture n’est pas fluide. Le message n’est pas non plus agréable à regarder, comme devrait l’être un courriel légitime concernant votre compte.
Ce qui distingue cet exemple des autres, c’est la mention « publicité » ci-dessous, qui tente de conférer une certaine légitimité à l’attaque. Notez également le lien de désabonnement frauduleux, ainsi que l’adresse postale et le numéro de téléphone (rayés), qui ont tous le même objectif.
Dans ce dernier exemple, la police de caractères n’est pas correcte et le symbole de marque déposée est placé à un drôle d’endroit. On retrouve les habituelles fautes de grammaire et d’utilisation des majuscules, mais cette menace d’hameçonnage adopte une approche légèrement différente.
Les escrocs ont ajouté un petit compte à rebours au bas de l’e-mail, ce qui est plutôt original. Ils veulent vous faire croire que vous disposez d’environ une demi-heure avant de ne plus pouvoir activer votre protection. C’est faux, bien sûr.
Vous observez des thèmes récurrents? Il y en a quelques-uns, c’est certain. Maintenant que nous avons étudié ces exemples, voyons comment repérer les attaques d’hameçonnage et les éviter complètement.
Comment repérer et prévenir les attaques d’hameçonnage
Comme nous l’avons vu, certaines attaques d’hameçonnage semblent en effet suspectes dès le départ. Pourtant, il faut parfois un peu de temps et un œil particulièrement critique pour les repérer.
Et c’est sur cela que comptent les escrocs. Ils espèrent que vous êtes pressé ou un peu préoccupé lorsque vous parcourez vos courriels ou vos messages. Êtes-vous suffisamment distrait pour ne pas prendre le temps de vous demander si ce message est vraiment légitime?
L’un des meilleurs moyens de déjouer les attaques est de prendre le temps d’examiner attentivement ce message tout en gardant à l’esprit les points suivants…
Elles jouent sur vos émotions
La peur, surtout. Il s’agit peut-être d’un courriel d’une agence gouvernementale vous informant que vous avez des arriérés d’impôts à régler. Ou peut-être est-ce un membre de votre famille qui vous demande de l’argent pour une urgence. Quoi qu’il en soit, les escrocs s’appuient fortement sur la peur pour vous motiver.
Si vous recevez un tel message, réfléchissez-y à deux fois. Demandez-vous s’il est authentique. Prenons l’exemple du courriel fiscal. Aux États-Unis, l’Internal Revenue Service (IRS) dispose de directives spécifiques concernant la manière et le moment où il vous contacte. Il vous contacte généralement par le biais d’un courrier physique distribué par le service postal américain. (Il ne vous téléphone pas et n’utilise pas de moyens de pression — seuls les escrocs le font.) D’autres pays ont des normes similaires.
Elles vous demandent d’agir MAINTENANT
Les escrocs aiment aussi l’urgence. Les attaques d’hameçonnage commencent par éveiller des émotions et vous poussent à agir rapidement. Les escrocs peuvent utiliser des menaces ou un langage trop insistant pour susciter un sentiment d’urgence, deux signes évidents d’une escroquerie potentielle.
Il est vrai que des entreprises et des organisations légitimes peuvent vous contacter pour vous informer d’un retard de paiement ou d’une éventuelle activité illicite sur l’un de vos comptes, mais elles adopteront un ton beaucoup plus professionnel et neutre que ne le ferait un escroc. Par exemple, il est très peu probable que votre compagnie d’électricité locale coupe rageusement votre service si vous ne payez pas immédiatement votre facture en souffrance.
Elles veulent que vous payiez d’une certaine manière
Cartes-cadeaux, cryptomonnaie, mandats… Ces modes de paiement sont un autre signe que vous êtes peut-être en présence d’une attaque d’hameçonnage. Les escrocs préfèrent ces modes de paiement parce qu’ils sont difficiles à tracer. En outre, les consommateurs n’ont que peu ou pas de moyens de récupérer les fonds perdus grâce à ces modes de paiement.
Les entreprises et organisations légitimes n’exigent pas l’utilisation de ces modes de paiement. Si vous recevez un message demandant un tel paiement, il y a fort à parier qu’il s’agit d’une escroquerie.
Elles utilisent des adresses non concordantes
Voici un autre moyen de repérer une attaque d’hameçonnage. Examinez attentivement les adresses utilisées par le message. S’il s’agit d’un courriel, examinez l’adresse courriel. L’adresse ne correspond peut-être pas du tout à l’entreprise ou à l’organisation. Elle peut également être similaire, mais ajouter quelques lettres ou mots au nom de l’entreprise ou de l’organisation. Il s’agit là d’un autre signe indiquant que vous êtes peut-être victime d’une attaque d’hameçonnage.
De même, si le message contient un lien Web, examinez-le de près. Si le nom ne vous semble pas du tout familier ou s’il est différent de ce que vous avez vu auparavant, cela peut également signifier qu’il s’agit d’une tentative d’hameçonnage.
Protégez-vous contre les attaques d’hameçonnage
- Allez directement à la source. Certaines attaques d’hameçonnage peuvent paraître convaincantes. À tel point que vous voudrez y donner suite, par exemple si votre banque signale une activité irrégulière sur votre compte ou si une facture semble en souffrance. Dans ces situations, ne cliquez pas sur le lien contenu dans le message. Allez directement sur le site Web de l’entreprise ou de l’organisation en question et accédez à votre compte à partir de là. De même, si vous avez des questions, vous pouvez toujours vous adresser au numéro de leur service client ou consulter la page Web dédiée.
- Contactez l’expéditeur. Restez à l’affût des courriels qui pourraient être des attaques d’harponnage. Si un courriel semble provenir d’un membre de votre famille, d’un ami ou d’un associé, contactez cette personne pour vérifier que c’est bien elle qui l’a envoyé, en particulier s’il demande de l’argent, contient une pièce jointe ou un lien douteux, ou ne lui ressemble tout simplement pas. Envoyez-lui un texto, téléphonez-lui ou allez la voir en personne. Ne répondez pas au courriel, car il peut avoir été compromis.
- Ne téléchargez pas de pièces jointes. Certaines attaques d’hameçonnage envoient des pièces jointes contenant des logiciels malveillants tels que les rançongiciels, les virus et les enregistreurs de frappe que nous avons mentionnés précédemment. Les escrocs peuvent les faire passer pour une facture, un rapport ou même des coupons de réduction. Si vous recevez un message contenant une telle pièce jointe, supprimez-le. Et surtout, ne l’ouvrez pas. Même si vous recevez un courriel avec une pièce jointe de la part d’une personne que vous connaissez, assurez-vous d’abord de la légitimité du message auprès de cette personne, en particulier si vous n’attendiez pas de pièce jointe de sa part. Les escrocs détournent ou usurpent souvent les comptes de messagerie de personnes ordinaires pour distribuer des logiciels malveillants.
- Survolez les liens pour vérifier l’URL. Sur les ordinateurs portables et de bureau, vous pouvez passer votre curseur sur les liens sans cliquer dessus pour voir l’adresse Web. Si l’URL vous semble suspecte de l’une des manières mentionnées ci-dessus, supprimez le message et ne cliquez jamais dessus.
Protégez-vous davantage contre les attaques par courriel
Un logiciel de protection en ligne peut vous protéger contre les attaques d’hameçonnage de plusieurs façons.
Pour commencer, il offre une protection Web qui vous avertit lorsque des liens mènent vers des sites Web malveillants, tels que ceux utilisés dans les attaques d’hameçonnage. De la même manière, un logiciel de protection en ligne peut vous avertir des téléchargements malveillants et des pièces jointes dangereuses afin que vous ne vous retrouviez pas avec des logiciels malveillants sur votre appareil. Et si le pire se produit, l’antivirus peut bloquer et supprimer les logiciels malveillants.
Un logiciel de protection en ligne comme le nôtre peut également s’attaquer à la racine du problème. Les escrocs doivent bien obtenir votre adresse courriel quelque part. Souvent, ils l’obtiennent auprès de courtiers en données en ligne, des sites qui rassemblent et vendent des renseignements personnels à toutes sortes d’acheteurs — y compris des escrocs.
Les courtiers en données puisent ces renseignements dans les registres publics et auprès de tiers et les vendent en masse, fournissant ainsi aux escrocs d’énormes listes de diffusion qui peuvent cibler des milliers de victimes potentielles. Vous pouvez supprimer vos renseignements personnels de certains des sites de courtiers en données les plus risqués grâce à notre outil de nettoyage de données personnelles, qui peut réduire votre exposition aux escrocs en gardant votre adresse courriel hors de leur portée.
Dans l’ensemble, les courriels d’hameçonnage présentent des signes révélateurs, dont certains sont plus difficiles à déceler que d’autres. Pourtant, vous pouvez les repérer si vous savez à quoi vous attendre et si vous prenez le temps de les chercher. Compte tenu de la prévalence et de l’essor de ces attaques, il est aujourd’hui indispensable d’examiner vos courriels d’un œil critique.
Restez à jour
Suivez-nous pour rester à jour sur tout ce qui concerne McAfee et pour être au courant des dernières menaces de sécurité pour les consommateurs et les mobiles.
