Les attaques de phishing sont monnaie courante.
Des millions d’e-mails de phishing atterrissent chaque jour dans des millions de boîtes de réception avec un seul objectif : escroquer le destinataire. Qu’il s’agisse de pirater votre compte bancaire, de voler des informations personnelles ou les deux, vous pouvez apprendre à repérer les e-mails de phishing et à vous en prémunir.
Pour ne rien arranger, les e-mails de phishing sont de plus en plus difficiles à repérer.
Ils semblent provenir d’entreprises que vous connaissez et en lesquelles vous avez confiance, comme votre banque ou des services tels que Netflix, PayPal et Amazon. Et certains d’entre eux sont convaincants. L’écriture et la mise en page sont soignées et la présentation générale est professionnelle. Pourtant, il y a toujours quelque chose qui cloche.
Il est évident que quelque chose ne va pas dans cet e-mail. Il a été rédigé par un escroc. Les e-mails de phishing utilisent une tactique d’appât et d’hameçon. Un message urgent ou séduisant représente l’appât, tandis qu’un malware ou un lien vers une page de connexion frauduleuse fait office d’hameçon.
Une fois l’hameçon en place, plusieurs choses peuvent se produire. Cette page de connexion frauduleuse peut voler des informations personnelles et de compte, ou ce malware peut installer des enregistreurs de frappe qui volent des informations, des virus qui ouvrent une porte dérobée par laquelle les données peuvent être détournées, ou des ransomwares qui prennent en otage un appareil et ses données jusqu’à ce qu’une somme d’argent soit versée.
Une fois encore, vous pouvez éviter ces attaques si vous savez les repérer. Il y a des signes qui ne trompent pas.
Voyons à quel point ces attaques sont prolifiques, analysons quelques exemples et passons en revue les éléments que vous devez rechercher.
Statistiques sur les attaques de phishing — on dénombre des millions de tentatives effectuées chaque année
Rien qu’aux États-Unis, plus de 300 000 victimes ont signalé une attaque de phishing au FBI en 2022. Les attaques de phishing sont en tête de la liste des plaintes enregistrées. Elles sont environ six fois plus nombreuses que le deuxième type de plaintes, à savoir les violations de données personnelles. Le chiffre réel est sans doute plus élevé, étant donné que toutes les attaques ne sont pas signalées.
Une étude suggère que plus de 255 millions de tentatives de phishing ont été effectuées à l’échelle mondiale au cours du seul second semestre 2022, soit une augmentation de 61 % par rapport à l’année précédente. Une autre étude a conclu qu’un e-mail sur 99 contenait une attaque de phishing.
Pourtant, les escrocs ne ratissent pas toujours aussi large. Les statistiques indiquent une hausse du spear phishing ciblé, où l’attaquant s’en prend à une personne en particulier. Les cybercriminels s’attaquent souvent aux membres du personnel qui sont habilités à transférer des fonds ou à effectuer des paiements. Les autres cibles comprennent les personnes ayant accès à des informations sensibles telles que des mots de passe, des données propriétaires et des informations de compte.
Ces attaques peuvent donc s’avérer coûteuses. En 2022, le FBI a reçu 21 832 plaintes d’entreprises se disant victimes d’une attaque de spear phishing. Les pertes ajustées s’élevaient à plus de 2,7 milliards de dollars, soit un coût moyen de 123 671 dollars par attaque.
Même si les statistiques exactes sur les attaques de phishing restent assez floues, il ne fait aucun doute que ces menaces sont prolifiques et coûteuses.
À quoi ressemble une attaque de phishing ?
Presque toutes les attaques de phishing envoient un message urgent pour vous inciter à agir.
Voici quelques exemples…
- « Vous avez gagné notre tirage au sort ! Envoyez-nous vos coordonnées bancaires pour que nous puissions vous verser vos gains ! »
- « Vous devez régler des arriérés d’impôts. Envoyez immédiatement votre paiement en utilisant ce lien ou nous transmettrons votre dossier aux autorités. »
- « Nous avons repéré ce qui pourrait être une activité inhabituelle sur votre carte de crédit. Suivez ce lien pour confirmer les informations de votre compte. »
- « Il y a eu une tentative non autorisée d’accès à votre compte de streaming. Cliquez ici pour vérifier votre identité. »
- « Votre colis n’a pas pu être livré. Cliquez sur le document ci-joint pour fournir des instructions de livraison. »
Lorsque ces e-mails sont joliment présentés et accompagnés de logos à l’apparence officielle, il est facile de comprendre pourquoi de nombreuses personnes cliquent sur le lien ou la pièce jointe qui accompagne ce type de message.
Et c’est là tout le problème des attaques de phishing. Ces dernières années, les escrocs ont perfectionné leurs tactiques. Leurs e-mails de phishing peuvent paraître convaincants. Il n’y a pas si longtemps, vous pouviez repérer des fautes d’orthographe, des erreurs de grammaire, une présentation bancale et des logos qui semblaient étirés ou qui n’utilisaient pas les bonnes couleurs. Des attaques de phishing mal exécutées comme celle-là continuent de se propager dans le monde. Cependant, il est de plus en plus fréquent de voir des attaques beaucoup plus sophistiquées, qui ressemblent à s’y méprendre à un message authentique.
Exemple : 
Imaginons que vous recevez un e-mail vous informant que votre compte PayPal a un problème. Saisiriez-vous vos informations de compte si vous vous retrouviez sur cette page ? Si oui, vous transmettriez vos informations à un escroc.
Nous avons pris la capture d’écran ci-dessus en suivant une attaque de phishing jusqu’à son terme — sans saisir d’informations légitimes, bien entendu. En fait, nous avons saisi une adresse e-mail et un mot de passe bidons, et le système nous a quand même permis de nous connecter. En effet, les escrocs recherchaient d’autres informations, comme vous le verrez bientôt.
Lorsque nous avons exploré davantage le site, nous avons constaté qu’il semblait tout à fait légitime. Le design reflétait le style de PayPal et les liens en bas de page semblaient officiels. Mais en y regardant de plus près…
Notez les erreurs subtiles, comme « donnée de carte » et « Configuration des mon activité ». S’il arrive que des entreprises commettent des erreurs de grammaire, le fait de les repérer dans une interface devrait éveiller votre méfiance. De plus, le site demande des informations de carte de crédit à un stade très précoce du processus. Tout cela est bien suspect.
C’est ici que les attaquants se sont montrés très audacieux.
Ils demandent des « donnée » bancaires, qui comprennent non seulement les numéros de routage et de compte, mais aussi le mot de passe du compte. Audacieux, et 100 % frauduleux.
Si l’on combine les erreurs subtiles et la demande ostensible d’informations de compte, on comprend qu’il s’agit clairement d’une escroquerie.
Prenons un peu de recul. Qui a envoyé l’e-mail de phishing qui nous a redirigés vers ce site malveillant ? Il s’agit de « paypal@inc.com ».
Il s’agit manifestement d’un e-mail frauduleux, et d’un cas typique de phishing où un attaquant insère un nom familier dans une adresse e-mail sans rapport, en l’occurrence « inc.com ». Les cybercriminels peuvent également créer de fausses adresses qui imitent des adresses officielles, comme « paypalcustsv.com ». Ils font tout pour vous piéger.
Le site malveillant vers lequel l’e-mail de phishing nous redirigeait utilisait également une adresse usurpée. Il n’y avait aucune association officielle avec PayPal, ce qui prouve qu’il s’agit d’une attaque de phishing.
Notez que les entreprises n’envoient des e-mails qu’à partir de leurs noms de domaine officiels, tout comme leurs sites n’utilisent que leurs noms de domaine officiels. Plusieurs entreprises et organisations répertorient ces domaines officiels sur leur site Web afin de lutter contre les attaques de phishing.
Par exemple, PayPal dispose d’une page qui indique clairement comment il vous contactera ou non. Chez McAfee, une page entière est consacrée à la prévention des attaques de phishing. Elle répertorie également les adresses e-mail officielles que nous utilisons.
Autres exemples d’attaques de phishing
Tous les escrocs ne sont pas aussi sophistiqués, du moins dans la manière dont ils conçoivent leurs e-mails de phishing. Nous pouvons citer en exemple quelques e-mails de phishing qui se faisaient passer pour des communications légitimes de McAfee.
Il y a beaucoup à dire sur ce premier exemple d’e-mail. Les escrocs tentent d’imiter la marque McAfee, mais n’y parviennent pas. Néanmoins, ils utilisent plusieurs tactiques pour essayer de se montrer convaincants.
Notez l’utilisation de la photographie et de la boîte de notre logiciel, associées à un titre proéminent « Agissez maintenant ». Ce n’est pas le style de photographie que nous utilisons, non pas que les gens le sachent forcément. Cependant, certains pourraient avoir une pensée passagère du type : « Mmh. Cela ne ressemble pas vraiment à ce que McAfee m’envoie habituellement ».
En outre, il y a quelques erreurs d’emploi des majuscules, des signes de ponctuation mal positionnés, et les icônes « Commander maintenant » et « 60 % de réduction » ont l’air d’avoir été placées un peu n’importe comment. Notez également la petite touche de peur qu’il apporte en mentionnant « Il y a (42) virus sur votre ordinateur… »
Il suffit d’y regarder de plus près pour se rendre compte qu’il s’agit d’une escroquerie.
La publicité suivante appartient à la catégorie des attaques moins sophistiquées. Elle n’est pratiquement constituée que de texte et utilise beaucoup la couleur rouge. Là encore, on observe de nombreuses erreurs d’utilisation des majuscules, ainsi que quelques fautes de grammaire. La lecture n’est pas fluide. Le message n’est pas non plus agréable à regarder, comme devrait l’être un e-mail légitime concernant votre compte.
Ce qui distingue cet exemple des autres, c’est la mention « publicité » ci-dessous, qui tente de conférer une certaine légitimité à l’attaque. Notez également le lien de désabonnement frauduleux, ainsi que l’adresse postale et le numéro de téléphone (rayés), qui ont tous le même objectif.
Dans ce dernier exemple, la police de caractères n’est pas correcte et le symbole de marque déposée est placé à un drôle d’endroit. On retrouve les habituelles fautes de grammaire et d’utilisation des majuscules, mais cette menace de phishing adopte une approche légèrement différente.
Les escrocs ont ajouté un petit compte à rebours au bas de l’e-mail, ce qui est plutôt original. Ils veulent vous faire croire que vous disposez d’environ une demi-heure avant de ne plus pouvoir activer votre protection. C’est faux, bien sûr.
Vous observez des thèmes récurrents ? Il y en a quelques-uns, c’est certain. Maintenant que nous avons étudié ces exemples, voyons comment repérer les attaques de phishing et les éviter complètement.
Comment repérer et prévenir les attaques de phishing
Comme nous l’avons vu, certaines attaques de phishing semblent en effet suspectes dès le départ. Pourtant, il faut parfois un peu de temps et un œil particulièrement critique pour les repérer.
Et c’est sur cela que comptent les escrocs. Ils espèrent que vous êtes pressé ou un peu préoccupé lorsque vous parcourez vos e-mails ou vos messages. Êtes-vous suffisamment distrait pour ne pas prendre le temps de vous demander si ce message est vraiment légitime ?
L’un des meilleurs moyens de déjouer les attaques est de prendre le temps d’examiner attentivement ce message tout en gardant à l’esprit les points suivants…
Elles jouent sur vos émotions
La peur, surtout. Il s’agit peut-être d’un e-mail d’une agence gouvernementale vous informant que vous avez des arriérés d’impôts à régler. Ou peut-être est-ce un membre de votre famille qui vous demande de l’argent pour une urgence. Quoi qu’il en soit, les escrocs s’appuient fortement sur la peur pour vous motiver.
Si vous recevez un tel message, réfléchissez-y à deux fois. Demandez-vous s’il est authentique. Prenons l’exemple de l’e-mail fiscal. Aux États-Unis, l’Internal Revenue Service (IRS) dispose de directives spécifiques concernant la manière et le moment où il vous contacte. Il vous contacte généralement par le biais d’un courrier physique distribué par le service postal américain. (Il ne vous téléphone pas et n’utilise pas de moyens de pression — seuls les escrocs le font.) D’autres pays ont des normes similaires.
Elles vous demandent d’agir MAINTENANT
Les escrocs aiment aussi l’urgence. Les attaques de phishing commencent par éveiller des émotions et vous poussent à agir rapidement. Les escrocs peuvent utiliser des menaces ou un langage trop insistant pour susciter un sentiment d’urgence, deux signes évidents d’une escroquerie potentielle.
Il est vrai que des entreprises et des organisations légitimes peuvent vous contacter pour vous informer d’un retard de paiement ou d’une éventuelle activité illicite sur l’un de vos comptes, mais elles adopteront un ton beaucoup plus professionnel et neutre que ne le ferait un escroc. Par exemple, il est très peu probable que votre compagnie d’électricité locale coupe rageusement votre service si vous ne payez pas immédiatement votre facture en souffrance.
Elles veulent que vous payiez d’une certaine manière
Cartes-cadeaux, cryptomonnaie, mandats… Ces modes de paiement sont un autre signe que vous êtes peut-être en présence d’une attaque de phishing. Les escrocs préfèrent ces modes de paiement parce qu’ils sont difficiles à tracer. En outre, les consommateurs n’ont que peu ou pas de moyens de récupérer les fonds perdus grâce à ces modes de paiement.
Les entreprises et organisations légitimes n’exigent pas l’utilisation de ces modes de paiement. Si vous recevez un message demandant un tel paiement, il y a fort à parier qu’il s’agit d’une escroquerie.
Elles utilisent des adresses non concordantes
Voici un autre moyen de repérer une attaque de phishing. Examinez attentivement les adresses utilisées par le message. S’il s’agit d’un e-mail, examinez l’adresse e-mail. L’adresse ne correspond peut-être pas du tout à l’entreprise ou à l’organisation. Elle peut également être similaire, mais ajouter quelques lettres ou mots au nom de l’entreprise ou de l’organisation. Il s’agit là d’un autre signe indiquant que vous êtes peut-être victime d’une attaque de phishing.
De même, si le message contient un lien Web, examinez-le de près. Si le nom ne vous semble pas du tout familier ou s’il est différent de ce que vous avez vu auparavant, cela peut également signifier qu’il s’agit d’une tentative de phishing.
Protégez-vous contre les attaques de phishing
- Allez directement à la source. Certaines attaques de phishing peuvent paraître convaincantes. À tel point que vous voudrez y donner suite, par exemple si votre banque signale une activité irrégulière sur votre compte ou si une facture semble en souffrance. Dans ces situations, ne cliquez pas sur le lien contenu dans le message. Allez directement sur le site Web de l’entreprise ou de l’organisation en question et accédez à votre compte à partir de là. De même, si vous avez des questions, vous pouvez toujours vous adresser au numéro de leur service client ou consulter la page Web dédiée.
- Contactez l’expéditeur. Restez à l’affût des e-mails qui pourraient être des attaques de spear phishing. Si un e-mail semble provenir d’un membre de votre famille, d’un ami ou d’un associé, contactez cette personne pour vérifier que c’est bien elle qui l’a envoyé, en particulier s’il demande de l’argent, contient une pièce jointe ou un lien douteux, ou ne lui ressemble tout simplement pas. Envoyez-lui un SMS, téléphonez-lui ou allez la voir en personne. Ne répondez pas à l’e-mail, car il peut avoir été compromis.
- Ne téléchargez pas de pièces jointes. Certaines attaques de phishing envoient des pièces jointes contenant des malwares tels que les ransomwares, les virus et les enregistreurs de frappe que nous avons mentionnés précédemment. Les escrocs peuvent les faire passer pour une facture, un rapport ou même des coupons de réduction. Si vous recevez un message contenant une telle pièce jointe, supprimez-le. Et surtout, ne l’ouvrez pas. Même si vous recevez un e-mail avec une pièce jointe de la part d’une personne que vous connaissez, assurez-vous d’abord de la légitimité du message auprès de cette personne, en particulier si vous n’attendiez pas de pièce jointe de sa part. Les escrocs détournent ou usurpent souvent les comptes de messagerie de personnes ordinaires pour distribuer des malwares.
- Survolez les liens pour vérifier l’URL. Sur les ordinateurs portables et de bureau, vous pouvez passer votre curseur sur les liens sans cliquer dessus pour voir l’adresse Web. Si l’URL vous semble suspecte de l’une des manières mentionnées ci-dessus, supprimez le message et ne cliquez jamais dessus.
Protégez-vous davantage contre les attaques par e-mail
Un logiciel de protection en ligne peut vous protéger contre les attaques de phishing de plusieurs façons.
Pour commencer, il offre une protection Web qui vous avertit lorsque des liens mènent vers des sites Web malveillants, tels que ceux utilisés dans les attaques de phishing. De la même manière, un logiciel de protection en ligne peut vous avertir des téléchargements malveillants et des pièces jointes dangereuses afin que vous ne vous retrouviez pas avec des malwares sur votre appareil. Et si le pire se produit, l’antivirus peut bloquer et supprimer les malwares.
Un logiciel de protection en ligne comme le nôtre peut également s’attaquer à la racine du problème. Les escrocs doivent bien obtenir votre adresse e-mail quelque part. Souvent, ils l’obtiennent auprès de courtiers en données en ligne, des sites qui rassemblent et vendent des informations personnelles à toutes sortes d’acheteurs — y compris des escrocs.
Les courtiers en données puisent ces informations dans les registres publics et auprès de tiers et les vendent en masse, fournissant ainsi aux escrocs d’énormes listes de diffusion qui peuvent cibler des milliers de victimes potentielles. Vous pouvez supprimer vos données personnelles de certains des sites de courtiers en données les plus risqués grâce à notre outil de nettoyage de données personnelles, qui peut réduire votre exposition aux escrocs en gardant votre adresse e-mail hors de leur portée.
Dans l’ensemble, les e-mails de phishing présentent des signes révélateurs, dont certains sont plus difficiles à déceler que d’autres. Pourtant, vous pouvez les repérer si vous savez à quoi vous attendre et si vous prenez le temps de les chercher. Compte tenu de la prévalence et de l’essor de ces attaques, il est aujourd’hui indispensable d’examiner vos e-mails d’un œil critique.
Restez informé
Suivez-nous pour rester au courant des actualités de McAfee et des dernières menaces pour la sécurité mobile et grand public.
