Vous recevez un e-mail de banqueDefrance@c0mpte.com vous informant qu’une activité suspecte a été détectée sur votre relevé de carte de crédit et vous demandant de vérifier vos informations financières.

Que faire ? Bien qu’il soit tentant de cliquer sur un lien pour résoudre immédiatement le problème, il s’agit probablement de l’œuvre d’un cybercriminel.

Le phishing est une escroquerie qui vous incite à communiquer volontairement des données personnelles importantes. Protégez-vous contre le phishing en parcourant quelques exemples d’e-mails de phishing et en en apprenant davantage sur cette escroquerie en ligne courante.

Qu’est-ce que le phishing ?

Le phishing est un cybercrime qui vise à dérober vos informations sensibles. Les escrocs se font passer pour de grandes entreprises ou d’autres entités de confiance pour vous inciter à fournir volontairement des informations telles que vos identifiants de connexion à un site Web ou, pire encore, votre numéro de carte de crédit.

Qu’est-ce qu’un e-mail ou un SMS de phishing ?

Un e-mail ou un SMS de phishing (également connu sous le nom de SMiShing) est un message frauduleux d’apparence légitime, qui vous demande généralement de fournir des informations personnelles sensibles de diverses manières. Si vous n’examinez pas attentivement les e-mails ou les SMS, vous risquez de ne pas distinguer un message légitime d’un message de phishing. Les escrocs s’efforcent de faire en sorte que leurs messages de phishing ressemblent à s’y méprendre à des e-mails et des SMS envoyés par des entreprises de confiance. C’est pourquoi vous devez redoubler de vigilance lorsque vous ouvrez ces messages et cliquez sur les liens qu’ils contiennent.

Comment repérer un message de phishing ?

Les auteurs de phishing échouent souvent à mener leurs plans à bien car ils commettent des erreurs simples, qui sont faciles à repérer une fois que vous savez comment faire. Chaque fois que vous ouvrez un e-mail ou un SMS, recherchez la présence des signes suivants, qui sont révélateurs d’une attaque de phishing :

Le texte est mal rédigé

Même les plus grandes entreprises commettent parfois des erreurs mineures dans leurs communications. Les messages de phishing contiennent souvent des erreurs grammaticales, des fautes d’orthographe et d’autres erreurs flagrantes que les grandes entreprises ne feraient pas. Si un e-mail ou un SMS vous demandant des informations personnelles contient plusieurs erreurs grammaticales manifestes, vous êtes peut-être la cible d’une attaque de phishing.

Le logo présente des défauts visuels

Pour renforcer leur crédibilité, les escrocs utilisent souvent les logos des entreprises dont ils usurpent l’identité. Cependant, les logos volés présentent souvent des erreurs évidentes. Ainsi, le logo intégré à un e-mail ou un SMS de phishing peut ne pas avoir le bon rapport hauteur/largeur ou présenter une faible résolution. Si vous devez plisser les yeux pour distinguer le logo dans un message, il y a de fortes chances qu’il s’agisse d’une attaque de phishing.

L’URL ne correspond pas

Le phishing repose toujours sur des liens sur lesquels vous êtes censé cliquer. Voici quelques moyens de vérifier si un lien est légitime :

  • Passez la souris sur le lien dans l’e-mail pour afficher son URL. Souvent, les URL de phishing contiennent des fautes d’orthographe, ce qui est un signe courant de phishing. En passant le curseur sur le lien, vous pouvez voir un aperçu du lien. Si l’URL vous semble suspecte, ne cliquez pas dessus et supprimez le message.
  • Cliquez avec le bouton droit de la souris sur le lien, copiez-le et collez-le dans un traitement de texte. Cela vous permettra d’examiner attentivement le lien à la recherche de fautes de grammaire ou d’orthographe sans être dirigé vers la page Web potentiellement malveillante.
  • Sur les appareils mobiles, vérifiez l’URL d’un lien en appuyant dessus et en maintenant votre doigt enfoncé.

Si l’URL qui s’affiche ne correspond pas à l’entité qui est censée vous avoir envoyé le message, vous avez probablement reçu un e-mail de phishing.

Types d’e-mails et de SMS de phishing

Les messages de phishing se présentent sous toutes les formes et tailles, mais certains types sont plus courants que d’autres. Passons en revue quelques exemples d’attaques de phishing parmi les plus fréquentes :

Escroquerie au compte suspendu

Certains e-mails de phishing vous informent que votre banque a temporairement suspendu votre compte en raison d’une activité inhabituelle. Si vous recevez un message de suspension de compte d’une banque auprès de laquelle vous n’avez pas ouvert de compte, supprimez-le immédiatement. Les e-mails de phishing concernant la suspension d’un compte provenant d’une banque avec laquelle vous travaillez sont en revanche plus difficiles à repérer. Utilisez les méthodes énumérées ci-dessus pour vérifier l’intégrité du message et, si vous n’obtenez pas de résultat, contactez directement votre banque au lieu d’ouvrir les liens contenus dans l’e-mail reçu.

Escroquerie à l’authentification à deux facteurs

L’authentification à deux facteurs (2FA) est désormais monnaie courante, si bien que vous avez probablement l’habitude de recevoir des e-mails vous demandant de confirmer vos informations de connexion à l’aide de codes numériques à six chiffres. Les auteurs de phishing savent également que la 2FA est devenue la norme, et pourraient tirer parti de ce service censé protéger votre identité. Si vous recevez un e-mail vous demandant de vous connecter à un compte pour confirmer votre identité, utilisez les critères énumérés ci-dessus pour vérifier l’authenticité du message. Soyez particulièrement vigilant si quelqu’un vous demande de vous soumettre à la 2FA pour un compte auquel vous n’avez pas accédé depuis un certain temps.

Escroquerie à la confirmation de commande

Parfois, les cybercriminels tentent de vous piéger en envoyant des e-mails contenant de fausses confirmations de commande. Ces messages contiennent souvent des « reçus » en pièce jointe ou des liens prétendant fournir davantage d’informations sur votre commande. Cependant, les criminels utilisent souvent ces pièces jointes et ces liens pour distribuer un malware sur l’appareil de la victime.

Le phishing au travail

Méfiez-vous également du phishing lorsque vous utilisez votre messagerie professionnelle. L’une des escroqueries les plus répandues consiste à envoyer des e-mails conçus pour vous faire croire qu’ils émanent d’un membre de la direction de votre entreprise. Ces messages demandent aux employés de transférer des fonds à de prétendus clients, derrière lesquels se cachent en réalité des escrocs. Utilisez les conseils ci-dessus pour repérer ces faux e-mails.

Quand le phishing échappe à la détection

Souvent, les pirates informatiques tentent de mettre à jour d’anciens stratagèmes afin de tromper les utilisateurs déjà sensibilisés à certaines cybermenaces. Tel est le cas d’une technique de contournement récente utilisée par le phishing, qui détecte les machines virtuelles dans le but de les éviter et de passer sous le radar. Les entreprises de cybersécurité utilisent souvent des systèmes « headless » (littéralement, « sans tête ») ou des machines virtuelles (fichiers informatiques qui se comportent comme de véritables ordinateurs) pour déterminer si un site Web est en fait une page de phishing. Mais aujourd’hui, certains kits de phishing intègrent JavaScript (un langage de programmation qui vous permet d’exécuter des fonctions complexes sur des pages Web) afin de vérifier si une machine virtuelle analyse la page. Dès lors qu’il détecte une tentative d’analyse, le kit de phishing affiche une page blanche au lieu de la page de phishing, ce qui permet à l’escroquerie d’échapper à la détection. Pour être certain de ne pas tomber dans le piège des dernières escroqueries par phishing, tenez-vous informé des techniques de phishing les plus récentes afin de garder une longueur d’avance sur les cybercriminels.

Que se passe-t-il si vous cliquez sur un lien dans un e-mail de phishing ?

Ne cliquez jamais sur les liens contenus dans des e-mails suspects. Si vous cliquez sur un lien de phishing, celui-ci vous conduira sur une page Web contenant un formulaire dans lequel vous pouvez saisir des données sensibles telles que votre numéro de sécurité sociale, vos informations de carte de crédit ou vos identifiants de connexion. Ne saisissez aucune donnée sur cette page.

Que faire si vous pensez avoir été victime d’une attaque de phishing ?

Si vous saisissez accidentellement des données sur une page Web ouverte depuis un e-mail suspect, lancez une analyse antimalware complète sur votre appareil. Une fois l’analyse terminée, sauvegardez tous vos fichiers et modifiez vos mots de passe. Même si vous n’avez fourni à un escroc que les données d’un seul compte, vous avez peut-être ouvert la porte au vol d’autres données personnelles. Il est donc important de modifier tous les mots de passe que vous utilisez en ligne en cas de suspicion d’attaque de phishing.

Quelques conseils simples pour reconnaître un e-mail de phishing

Terminons en résumant quelques conseils sur la manière d’éviter les e-mails de phishing :

  • En cas de doute, contactez directement l’entreprise qui est censée vous avoir envoyé un e-mail plutôt que d’ouvrir les liens contenus dans les messages suspects.
  • Examinez attentivement les e-mails suspects afin de détecter les signes révélateurs d’une attaque de phishing, tels qu’une grammaire déficiente, des logos de mauvaise qualité ou des liens factices.
  • Si vous cliquez accidentellement sur un lien de phishing, ne saisissez aucune donnée et fermez la page.
  • Si vous pensez être la cible d’une attaque de phishing, effectuez une analyse antivirus, sauvegardez vos fichiers et modifiez tous vos mots de passe.

Restez protégé

Les e-mails de phishing ne fonctionnent qu’avec les personnes qui n’ont pas conscience de leur existence. Maintenant que vous savez comment repérer les e-mails de phishing et que vous connaissez la marche à suivre si vous pensez être la cible d’escrocs, il y a moins de risques que vous tombiez dans le piège. Prenez garde à vos informations personnelles lorsque vous utilisez Internet et soyez prudent lorsque quelqu’un vous demande de divulguer des détails sensibles sur votre identité, vos finances ou vos informations de connexion.