Arrêtez-moi si vous avez déjà entendu cette histoire : un prince nigérian se retrouve dans une situation difficile : son père lui a laissé une somme colossale, environ 32 millions de dollars, sur un compte à l'étranger, qu'il doit récupérer dans un délai d'un mois.
Le problème est qu'il doit payer des frais de signature et des honoraires d'avocat avant de pouvoir virer l'argent légalement. Il vous contacte donc par e-mail pour parvenir à un accord : si vous lui envoyez l'argent dont il a besoin (autour de 20 à 30 000 dollars) et cosignez le virement bancaire, il vous enverra 30 % de la fortune de son père, soit la modique somme de 9,6 millions de dollars.
Il n'est pas surprenant de savoir que si vous acceptiez son offre, il serait heureux de prendre votre argent et de disparaître du jour au lendemain. On parle alors d'une arnaque 419. Il s'agit de l'une des versions les plus connues d'une arnaque par hameçonnage.
...ce qui explique qu'on ne la voie presque plus.
En plus d'être un mot idéal pour faire des jeux de mots basés sur la pêche, le hameçonnage désigne toute tentative visant à tromper quelqu'un par e-mail. Les objectifs sont vastes : essayer d'extorquer de l'argent aux gens, récupérer des informations sensibles, voire télécharger involontairement un malware, et les auteurs de ces attaques feront appel aux mensonges, à la tromperie, à la contrefaçon, voire à la manipulation pour parvenir à leurs fins. Pour cette raison, le hameçonnage est également appelé ingénierie sociale : un type d'attaque qui se base sur la vulnérabilité humaine et non sur un défaut matériel ou logiciel pour fonctionner.
Le hameçonnage désigne une tentative visant à tromper quelqu'un par e-mail.
Cela étant, puisque la majorité des attaques de phishing vous demandent de cliquer sur des liens douteux pour télécharger des malwares ou vous envoyer vers des sites Web frauduleux, un bon antivirus vous protègera même des contrefaçons les plus sophistiquées.
Depuis que le langage existe, les êtres humains n'ont cessé de se mentir et de s'arnaquer. De bien des façons, le phishing est la plus ancienne cybermenace au monde. Mais la première mention du terme « phishing » remonte au 2 janvier 1996, dans un groupe de discussion Usenet nommé AOHell, qui parlait du nombre grandissant de fraudeurs et de menteurs chez America Online. Le terme est bien évidemment inspiré du terme anglais « fishing » (pêche), car la méthode implique d'attirer quelqu'un dans un piège, mais remplacer le « f » par « ph » fait référence à un autre terme employé en argot : le « phreaking », qui désigne l'étude, l'exploration et la dissection des systèmes de télécommunications. Le « ph » a été emprunté pour lier les arnaques avec la sordide face cachée de la communauté du phreaking (appelée warez à l'époque) dont elles étaient originaires.
Les premières attaques de phishing se résumaient à des personnes se faisant passer pour des employés d'AOL demandant aux abonnés de confirmer leur adresse de facturation avec la société. Étant donné qu'elles précèdent la démocratisation du phishing et que les sociétés n'étaient pas aussi strictes qu'aujourd'hui, les abonnés étaient souvent trompés par ce type d'arnaques. AOL finit par devenir la première société à prévenir ses abonnés qu'elle ne demanderait jamais ce type d'informations par e-mail, mais le mal était déjà fait. La viabilité des attaques de phishing avait été avérée et il était impossible de revenir en arrière.
Bien que l'on puisse parler de ransomware aux infos, les attaques de phishing constituent le type de menace en ligne le plus courant et le plus souvent couronné de succès. Leur prévalence s'explique surtout par leur polyvalence : le phishing peut être une fin en soi comme il peut être un moyen d'orchestrer d'autres attaques. Ajoutez à cela le fait que des personnes tombent dans le panneau tous les jours et vous comprendrez que les pirates n'ont pas de raison de changer une équipe qui gagne.
Voici quelques données pour vous :
L'e-mail est le mode de distribution numéro 1 pour les malwares.
La fréquence du spam a été multipliée par 4 depuis 2016, et plus de la moitié d'entre eux sont malveillants.
76 % des organisations ont signalé avoir été victime d'une attaque de phishing en 2016.
Une étude mondiale réalisée l'an dernier indique que deux personnes sur trois ont vécu une arnaque à l'assistance technique au cours des 12 derniers mois, selon la Digital Crimes Unit (service des crimes numériques) de Microsoft.
En moyenne, les cybercriminels créent environ 1,4 million de sites de phishing chaque mois avec des pages frauduleuses conçues pour imiter la société pour laquelle ils se font passer.
Même si le hameçonnage et le spam sont souvent similaires, ces deux pratiques sont des monstres bien distincts. Le spam désigne les e-mails de masse ou indésirables ayant pour seul but d'encombrer votre messagerie, tandis que le hameçonnage a un objectif très spécifique et surtout très illégal. Les e-mails de hameçonnage peuvent être du spam et, pour le commun des mortels, c'est généralement vrai. Mais si, par le plus grand des hasards, vous êtes PDG, entrepreneur ou, disons, un directeur de campagne, il est alors tout à fait possible que des pirates aient fabriqué une arnaque unique qui vous est spécialement destinée, auquel cas on ne peut pas parler de spam. 
De même, le spam est agaçant, mais n'a rien d'illégal ou de malveillant à proprement parler. Comme beaucoup de choses dans la vie, le spam est un reflet de la personne qui l'envoie, et ce peu importe que vous soyez une entreprise locale qui essaie de mettre en avant ses prix défiant toute concurrence ou un pirate qui essaie de propager son virus ultime. Comme nous l'avons vu, il s'agit d'un outil populaire pour les escrocs, mais ces deux termes ne sont toujours pas interchangeables.
Les effets d'une arnaque via un e-mail de hameçonnage dépendent de ce que l'escroc veut vous prendre. Dans l'exemple cité au début de l'article, l'objectif est plutôt simple : ils veulent votre argent. Cela dit, certaines de ces arnaques vous demanderont une « preuve d'authenticité » en vous demandant de numériser et de leur envoyer votre passeport, votre permis de conduire et bien plus encore, ce qui signifie qu'ils pourraient voler ou vendre votre identité. Mais étant donné que ces types d'arnaques sont moins populaires ces temps-ci, il est peu probable que quelqu'un tombe dans le panneau.
Le type d'attaque de hameçonnage le plus courant est celui qui essaie de vous leurrer pour donner un nom d'utilisateur ou de mot de passe, soit en vous donnant un lien vers une fausse version d'un site de confiance et en vous demandant de vous connecter, soit en vous demandant de les envoyer par e-mail (voir ci-dessous). Dans ces cas-là, non seulement vous compromettez ce compte en particulier, mais si vous faites partie des quelque 84 % qui réutilisent leurs mots de passe, vous risquez de compromettre également tous vos autres comptes.
Enfin, si vous tombez dans le piège d'une attaque de hameçonnage qui vous demande de télécharger une pièce jointe malveillante et si votre antivirus ne fait rien pour empêcher cela, félicitations, votre ordinateur est infecté. La suite dépend grandement de ce que le malware est censé faire, mais il peut voler vos données, les prendre en otage, tout supprimer ou simplement « emprunter » votre puissance de traitement pour miner des bitcoins.
Il existe de nombreux types d'attaques de phishing, mais toutes reposent sur le même mécanisme de base : exploiter la confiance, l'ignorance ou l'apathie humaine pour nous faire faire quelque chose que nous ne devrions pas faire.
Certains escrocs sont satisfaits de voler l'argent, les données et la sécurité de leurs proies. Mais d'autres ont des objectifs plus ambitieux : ils décident de cibler des personnes spécifiques de haut rang pour des raisons personnelles, politiques ou financières. On parle alors de harponnage, car il s'agit d'une attaque précise qui cible souvent des « baleines », c'est-à-dire des politiciens de haut rang, des célébrités ou des PDG, et tous ont accès à des données précieuses (et ont énormément d'argent).
Le harponnage est une attaque précise sur une cible spécifique de haut rang, comme un PDG, alias une « baleine »
En imitant un contact connu, comme un employé, un ami, un associé voire une autre organisation, les harponneurs envoient des e-mails soigneusement rédigés, bien documentés et souvent très spécifiques à leurs cibles. En règle générale, l'objectif final consiste à leur faire télécharger un malware qui leur donnera accès au système, mais un nom d'utilisateur et un mot de passe pourrait également leur donner les privilèges d'administrateur sur le réseau, ce qui serait tout aussi catastrophique.
Si des pirates veulent harponner une société ou une organisation toute entière, ils tenteront probablement une attaque de point d'eau, par laquelle les pirates suivent l'organisation sur un site qu'elle utilise souvent (généralement Whatsapp, Facebook ou Slack) et lui envoie des liens de hameçonnage par ce biais. Tout comme les e-mails personnalisés envoyés aux individus, ces liens ont tendance à être bien documentés et difficiles à distinguer des messages authentiques.
En raison de leur caractère personnalisé, ces attaques ont autant de succès que les anciennes attaques AOL de l'époque et représentent la cause de 91 % des piratages réussis contre les organisations.
Nous recevons tous des e-mails officiels de nos prestataires de services, y compris les pirates. Et tandis que nous y voyons une tâche pénible ou une corvée, ils y voient une opportunité. On parle de clone phishing lorsqu'un pirate copie un e-mail légitime envoyé par une organisation fiable, mais remplace ou ajoute un lien menant vers un site Internet malveillant. Ils envoient ensuite cet e-mail en masse pour voir qui va cliquer.
Le lien mènera parfois vers un site infecté mais de nos jours, il est plus courant de dérober votre nom d'utilisateur et votre mot de passe à l'aide d'un écran de connexion frauduleux. Ainsi, ils peuvent accéder au compte auquel vous essayiez de vous connecter… et à tout autre compte utilisant le même mot de passe (voilà pourquoi vous ne devriez jamais utiliser deux fois le même mot de passe).
Si un malware sur votre PC ou votre routeur vous redirige vers un faux site, on parle de pharming. Le nom est similaire, mais hormis l'objectif visant à voler les informations de connexion (et le « Ph » dans le nom), ces deux attaques n'ont pas grand-chose en commun.
Même si son nom vient de l'article du code pénal nigérian relatif aux fraudes, une arnaque 419 peut provenir des quatre coins du monde. Traditionnelle et bien connue au point de ne plus avoir de valeur, ces arnaques utilisent des histoires complexes pour essayer de vous extorquer de l'argent, ainsi que vos informations personnelles pour une usurpation d'identité à l'ancienne.
Aujourd'hui, les escrocs commencent par être des correspondants ou des partenaires à distance avant qu'un « malheur » ne leur tombe dessus et qu'ils aient soudainement besoin d'argent.
Par le passé, ces arnaques étaient bien plus courantes et les histoires promettaient généralement de plus grandes récompenses si vous versiez une petite somme. Aujourd'hui, ils ont tendance à gagner la confiance des cibles en tant que correspondants ou partenaires à distance, avant qu'un « malheur » ne leur tombe dessus et qu'ils aient soudainement besoin d'argent, exploitant ainsi la nature charitable de leur victime. Ces nouvelles arnaques sont certes similaires au phishing mais, techniquement, elles se rapprochent plus du catfishing ou de l'usurpation, que nous ne détaillerons pas plus ici. Mais elles méritaient au moins une mention.
La plupart des attaques de hameçonnage ont lieu dans votre messagerie. Toutes ? Non. Parfois, les escrocs vous appelleront ou vous enverront un SMS en se faisant passer pour votre banque ou la police, et prétexteront un problème qu'ils doivent corriger sur votre compte. Une fois que vous leur transmettez vos numéros de compte et votre code PIN, ils vident votre compte, ce qui est l'exact opposé du problème que vous vouliez résoudre. On parle de hameçonnage téléphonique ou de Vishing, pour « voice phishing ».
Le hameçonnage peut aussi avoir lieu au téléphone
Même s'il n'a pas autant de succès que le hameçonnage par e-mail, le hameçonnage téléphonique est en hausse. En plus de se faire passer pour votre banque, les imposteurs peuvent également se faire passer pour le Trésor public, un service d'assistance technique ou un service public. Rien n'est exclu.
Non contents d'essayer de voler vos données comme nous venons de le voir, presque tous les types de phishing peuvent servir à faire pénétrer un malware sur le système d'un utilisateur. Un lien peut mener vers un site compromis, une pièce jointe peut renfermer un malware. Même un document Google ou une feuille de calcul peut contenir un malware aujourd'hui, grâce à la démocratisation des attaques sans fichier, qui transforment les logiciels fiables et sécurisés en logiciels malveillants en reprogrammant ses mécanismes internes.
Les ruses utilisées par les pirates n'ont cessé de progresser en raison de l'omniprésence des appareils et des services dans nos vies. Certains ont utilisé des invitations Google Docs trompeuses, le partage Dropbox, de faux devis, factures et fax... Tout ce qui leur passe par la tête pour vous inciter à cliquer sur le fichier et à le télécharger. Comme nous l'avons déjà mentionné, cette méthode est si courante et si efficace qu'elle est rapidement devenue la méthode privilégiée pour transmettre des malwares aux millions de personnes qui se font piéger chaque année dans le monde.
Bonne nouvelle : le malware ne peut pas exploiter l'ingénierie sociale pour passer outre un bon antivirus. Alors même si le phishing peut amener un malware dans votre messagerie, AVG peut l'empêcher de nuire. Mais ne nous avançons pas.
Le problème des attaques de phishing réside dans le fait qu'elles sont à la fois courantes et uniques selon le moment et les circonstances que chaque exemple individuel peut vite devenir banal. Nous allons disséquer un e-mail de phishing courant ci-dessous, mais avant cela, notons que le phishing a fait la une des journaux de nombreuses fois. Et si nous y jetions un œil ?
Nous avons déjà évoqué les premières attaques de phishing sur AOL, qui imitaient les membres du personnel pour obtenir les informations de paiement des abonnés. Mais AOL a connu une autre première dans le monde du phishing : en 2004, la Federal Trade Commission américaine a intenté le tout premier procès contre un escroc présumé : un adolescent californien qui aurait utilisé une fausse version du site AOL pour voler les informations de carte de paiement des abonnés. Un an plus tard, le sénateur Patrick Leahy a fait adopter la loi Anti-Phishing Act de 2005, qui a consolidé la loi quant à la criminalité des sites et e-mails frauduleux, et qui prévoit jusqu'à 250 000 $ d'amende et cinq ans d'emprisonnement pour les criminels.
Dans ce qui a été qualifié de « la plus grosse affaire gérée par l'unité anti-fraude de la Metropolitan Police de Londres », trois hommes ont été arrêtés en 2013 après avoir détourné 59 millions de livres Sterling de clients de banques dans plus de 14 pays et à l'aide de plus de 2 600 pages frauduleuses qui imitaient des sites de banques. Ils vivaient dans des hôtels de luxe au Royaume-Uni et ont fini par se faire attraper lorsqu'ils ont utilisé le réseau Wi-Fi de l'hôtel pour se connecter aux serveurs où étaient stockées les informations bancaires compromises. (Peut-être auraient-ils échappé à la police s'ils connaissaient les dangers des réseaux Wi-Fi ouverts. Hé les criminels, utilisez un VPN !). Chacun d'eux a été condamné à 20 ans de prison et les données de près de 70 millions de clients de banques ont été rapidement récupérées.
Non seulement ces deux années d'enquêtes menées par les autorités américaines et égyptiennes portent le meilleur nom de code au monde, mais elles ont aussi entraîné l'arrestation de 100 personnes ayant utilisé des arnaques de phishing pour voler les informations de comptes de milliers de personnes en 2009. Pendant qu'ils opéraient, les escrocs avaient réussi à dérober 1,5 million de dollars.
Au bout du compte, certaines des personnes inculpées passeront près de 20 ans en prison. D'autres écoperaient d'une peine moins lourde, mais tout le monde s'est félicité d'une opération menée à bien dans cette enquête de phishing internationale, qui a été qualifiée de plus grande affaire internationale jamais effectuée.
Et voici une petite anecdote : quel directeur du FBI a supervisé l'enquête ? Robert Muller. Oui, celui-là même.
En 2013, le piratage de Target a suscité l'attention internationale lorsqu'il a été révélé que les données de plus de 110 millions de clients avaient été compromises, obligeant ainsi la société à se dépêcher de sécuriser ses fonds et d'avertir les clients concernés. Mais saviez-vous que tout avait commencé par une attaque de phishing ? Mais pas contre l'entreprise Target elle-même : les pirates ont piégé un entrepreneur de Pittsburgh spécialisé dans le chauffage, la ventilation et la climatisation, qui était connecté au système de Target grâce à un partenariat étroit.
Le piratage de Target, l'une des fuites de données les plus importantes de l'histoire, a commencé par une attaque de phishing
Après avoir volé les identifiants réseau via une arnaque de phishing par e-mail, un malware a été injecté dans le système et s'est propagé jusqu'à Target, avant de dérober les informations de carte de paiement de milliers de caisses enregistreuses.
Il s'agit également de l'une des premières affaires où l'on peut directement attribuer l'incident à une mauvaise gestion de la part de la direction. Le directeur général et le directeur des services informatiques ont été licenciés pour avoir eu connaissance des failles de sécurité et pour ne pas les avoir corrigées. Il est bon d'assister à un retour de karma, mais ce réconfort fut minime pour les millions de victimes.
L'une des plus grosses arnaques de phishing de l'an dernier est venue du paysage politique américain lorsque John Podesta, le directeur de campagne d'Hillary Clinton, s'est fait piéger par un e-mail de phishing ayant provoqué la fuite de ses e-mails privés. Souvent cité comme l'un des tournants de l'élection de 2016, ce piratage a révélé des informations personnelles et professionnelles concernant l'ancienne candidate et a déclenché des débats sur la cybersécurité et une enquête sur le coupable. Toutefois, le côté opposé du spectre politique n'est pas exempt de problèmes de phishing : Gizmodo a démontré la vulnérabilité de la Maison Blanche de Donald Trump en hameçonnant tout son personnel et en montrant que huit personnes (dont le conseiller Newt Gingrich et le directeur du FBI, James Comey) s'étaient fait piéger par leur e-mail.
Étant donné que les objectifs des e-mails de hameçonnage sont différents, l'apparence de chaque e-mail s'avère aussi différente. Même si nous allons étudier plusieurs exemples, la plupart ont les mêmes caractéristiques de base :
Mauvaise orthographe/grammaire
Manque de précision
Liens/pièces jointes étranges
Adresses de retour inhabituelles ou mal écrites
Malheureusement, ces caractéristiques ne se retrouvent pas dans les e-mails de harponnage, conçus pour piéger des personnes ou des organisations spécifiques. Ils ne sont donc pas vagues et n'emploient stratégiquement pas la mauvaise orthographe ou grammaire des autres e-mails de hameçonnage courants.
Mais ne nous avançons pas.
Il s'agirait là d'un parfait exemple d'e-mail de clone phishing et tous les signes le prouvent : tout d'abord, ils ne s'adressent pas directement à vous et aucun signe personnel n'est inclus dans le corps de l'e-mail. Pour prouver leur authenticité, les e-mails envoyés par les véritables services incluront votre nom, votre numéro de compte ou toute autre information en leur possession pour démontrer que ce sont bien eux. Cet e-mail ne présente rien de tout cela.
Mais le deuxième signe plus évident est le lien figurant dans l'e-mail : il mène vers un site http, qui n'est ni vérifié ni sécurisé. Un lien authentique mènerait vers un site HTTPS, mais ils essaieront parfois de masquer le lien à l'aide d'un hypertexte : 
Vous avez cependant toujours la possibilité de passer le curseur de la souris sur le lien pour voir où il mène. Cela dit, la chose sûre à faire si vous recevez un tel e-mail est de ne pas cliquer sur le lien, mais de visiter la page directement à partir de votre navigateur Internet. Ainsi, vous serez sûr d'accéder au site authentique.
L'e-mail ci-dessus présente également certains autres signes d'un e-mail de phishing : une grammaire déplorable. Non, cela ne s'explique pas par le fait que tous les pirates aient arrêté l'école au collège. Bien souvent, la grammaire et l'orthographe déplorables sont volontaires. Les pirates se disent que si une personne ne remarque pas les fautes d'orthographe ou de grammaire, elle est négligente et peut-être un peu bête, ce qui signifie qu'elle sera plus lente à réagir au vol de ses informations, si tant est qu'elle le remarque.
Jetons un œil à l'autre type d'e-mail le plus courant...
Ces e-mails vont droit au but.
Voici un exemple du récent malware sur Google Docs, que nous avons déjà évoqué plus haut. Au moment où vous cliquez sur le bouton « Ouvrir dans Docs », vous ouvrez les portes de votre ordinateur au malware. Observons-en un autre :
Et d'autres ne font pas dans la subtilité :
Ces e-mails n'essaient même pas de vous « piéger » : si vous avez un tant soit peu de bon sens et de pensée critique, vous les supprimerez. Les pirates exploitent de façon égale l'apathie et la curiosité : les mêmes outils qu'ils utilisent pour inciter les victimes à brancher des périphériques USB infectés.
Leurs repères sont révélateurs : d'une part, les extensions des fichiers des deux derniers e-mails sont des signes évidents. Il n'y a aucune raison d'envoyer une image numérisée dans un fichier ZIP et personne ne vous enverra une page HTML pour résoudre des problèmes liés à un compte. Les expéditeurs sont plutôt étranges, eux aussi : je suis quasiment sûr qu'aucun membre de Buzzfeed n'a besoin de votre collaboration sur un article et « hortonhouse1@hortonhouse.karzoo » n'est pas le nom d'utilisateur le plus crédible. D'autre part, l'adresse de retour est plus convaincante, mais le service client aurait-il vraiment .com dans son nom ? Si vous n'êtes pas sûr, vous pouvez toujours consulter la page de contact du site Internet.
Bien entendu, vous ne devez en aucun cas télécharger un élément qui ne vous inspire pas confiance. Il s'agit de notre astuce numéro 1 pour les e-mails et, à certains égards, la vie.
Le harponnage est un problème plus épineux.
Comme vous pouvez le voir, un e-mail de harponnage convaincant évite bon nombre des signes précédents. Il est destiné à une personne en particulier, il utilise un site HTTPS et ne présente aucune faute de grammaire ou d'orthographe. Dans ce cas, le signe révélateur est l'expéditeur : Google ArAutoBot, qui devrait susciter une réaction. Mais si vous êtes occupé au travail et que vous vous contentez de jeter un coup d'œil, vous pouvez facilement manquer ce détail.
Les comptes frauduleux sont parfois plus difficiles à détecter : utiliser des caractères d'autres langues ressemblant aux caractères français signifie que l'URL est techniquement différente, mais qu'elle ressemble à l'URL que vous connaissez. Par exemple, utiliser un A grec majuscule au lieu d'un A français : ils sont identiques pour un humain, mais très différents pour un ordinateur.
La nature personnalisée de ces e-mails explique en partie leur succès. Une meilleure planification, comme le fait de prévenir avant d'envoyer un e-mail ou vérifier la nature exacte des pièces jointes ou des liens avant de les ouvrir, pourrait éviter ces attaques, mais pour beaucoup, le risque des attaques de phishing ne semble pas valoir le coup de s'y préparer. Ce qui explique pourquoi les pirates affectionnent tant cet outil.
Si vous possédez une adresse e-mail, il est fort probable que vous y trouviez un e-mail de phishing. Mais inutile de paniquer : nous avons dressé une liste facile à suivre de la procédure si vous vous retrouvez dans cette situation.
Et vous avez terminé !
...bon, d'accord, ce n'est pas aussi simple que ça. Même si une attaque de phishing normale est inévitable et peut être ignorée, si vous remarquez une tentative de harponnage dans votre messagerie, il est vital de la signaler à votre responsable et au service informatique, si votre entreprise en possède un. Aucun pirate ne se contentera d'envoyer un seul e-mail et ciblera probablement plusieurs employés au fil des semaines, mois, voire plus : il est ainsi important de rappeler à chacun de rester sur ses gardes, mais aussi de découvrir si un autre employé moins avisé a mordu à l'hameçon par erreur. Plus tôt vous corrigez les failles de sécurité, moins les dégâts seront conséquents.
Si vous le souhaitez, vous pouvez également signaler les arnaques de phishing courantes à la CNIL, où vous trouverez également des informations utiles concernant les arnaques, le phishing et d'autres pratiques. Si vous avez de la chance, il est possible que votre signalement permette d'arrêter des criminels !
Comme je l'ai mentionné ci-dessus, le phishing est une triste réalité : un anti-spam réduira le nombre d'e-mails que vous recevez, mais il est probable que certains se glissent entre les mailles du filet. Mais plutôt que de tenir votre messagerie à l'écart de ces messages agaçants, mieux vaut rester vigilant à l'égard du danger et de vous préparer contre les éventuelles répercussions si vous vous faites piéger par erreur.
La meilleure manière d'éviter les e-mails de phishing consiste à ne pas oublier de vérifier tout e-mail qui vous paraît un tant soit peu suspect.
Vérifiez l'orthographe et la grammaire
Assurez-vous que les liens soient sécurisés ou utilisez votre navigateur Internet
Soyez attentif aux extensions de fichiers
Regardez l'adresse de retour et vérifiez-la
Assurez-vous que tout soit spécifique et que l'expéditeur puisse prouver son identité
Les vérifications ne vous prendront que quelques secondes et elles pourront vous éviter une série d'ennuis. Alors ne négligez rien !
La plupart des fournisseurs de messagerie intègrent des outils anti-spam mais ils ne sont pas toujours infaillibles. Un filtre anti-spam externe peut aider à prendre la relève et à détecter les e-mails de phishing discrets. En revanche, bien souvent, ils ne fonctionnent qu'avec les messageries de bureau.
Une adresse e-mail générale et publiquement connue attire les e-mails de phishing. Il est souvent judicieux de posséder deux adresses e-mail ou plus : une pour s'inscrire sur les sites Internet et créer des comptes et une autre destinée à une utilisation privée ou professionnelle. Ainsi, la plupart des e-mails de phishing devraient arriver sur le premier compte, que vous visiterez rarement.
Comme nous l'avons mentionné ci-dessus, un e-mail de phishing déposera un virus sur le pas de votre porte, mais rien de plus : il ne permettra pas au malware d'échapper à l'antivirus que vous possédez sur votre PC ou votre téléphone. Un logiciel simple, comme AVG AntiVirus FREE, protègera votre ordinateur si vous essayez de télécharger des pièces jointes trompeuses par erreur. Une bonne protection peut également vous mettre à l'abri des sites Internet frauduleux en vérifiant si ceux-ci possèdent un certificat de sécurité authentique, ce qui signifie que vous n'aurez jamais la chance de visiter ce site frauduleux sur lequel les pirates ont travaillé si dur.
Bien entendu, les mesures que nous avons répertoriées ci-dessus ne s'appliquent pas au « vishing », mais cela ne signifie pas qu'il est impossible de vous protéger. D'une part, Apple, Microsoft et les autres géants de la technologie ne vous appelleront jamais pour vous signaler un « problème » sur votre appareil, et surtout pas des « agents indépendants ». Ainsi, si vous recevez un appel de ce type, n'hésitez pas à raccrocher ou à embêter la personne à l'autre bout du fil. Tirez le meilleur de cette situation. Et si un organisme (par exemple, une banque) vous appelle, ils s'adresseront toujours à vous par votre nom et même s'ils vous poseront des questions de vérification pour vérifier votre identité, ils ne vous demanderont jamais un PIN, un numéro de sécurité sociale ou tout autre numéro compromettant. Ce cas de figure s'applique également si quelqu'un se fait passer pour la police : ils n'auront jamais besoin de vérifier vos coordonnées bancaires par téléphone.
Les géants de la technologie ne vous appelleront jamais pour vous signaler un « problème » sur votre appareil, alors n'hésitez pas à embêter l'escroc involontaire.
De même, si quelqu'un prétend travailler pour le Trésor public ou toute autre organisation à qui vous « devez de l'argent » et vous demande de payer par virement ou via des cartes prépayées, vous savez que vous avez affaire à un escroc. Ces méthodes d'envoi d'argent sont impossibles à suivre et c'est pour cette raison que les escrocs les affectionnent.
Vous avez toujours des doutes ? Raccrochez et rappelez. Mais rappelez en composant le numéro figurant sur le site officiel de l'organisation. Une véritable organisation n'y verra aucun problème si vous procédez ainsi, seuls les escrocs y trouveront à redire.
Arrêtez-moi si vous avez déjà entendu cette histoire :
Un couvreur professionnel de 29 ans se connecte à son compte e-mail après une longue journée de travail et, en parcourant ses e-mails, il remarque un message inhabituel : un étranger lui demande de collaborer sur un document Google. L'identité de l'expéditeur l'intrigue et sa curiosité le pousse à voir ce que contient le document.
Mais avant de cliquer sur le bouton « Ouvrir dans Docs », il s'arrête et ne fait que passer le curseur de sa souris dessus. Il regarde l'URL qui apparaît dans le coin et comprend que quelle que soit la destination du lien, c'est tout sauf un document Google. Il laisse échapper un soupir de soulagement, supprime immédiatement l'e-mail et continue à consulter sa messagerie.
Ce n'est peut-être pas aussi passionnant et dramatique que les millions perdus par le prince nigérian, mais c'est l'histoire que nous voulons entendre plus souvent : faire preuve de bon sens et de retenue lorsque l'on rencontre les éléments étranges, curieux et probablement dangereux sur Internet. En effet, avec un peu de prévoyance et de précaution, même le meilleur outil de la boîte à outils des pirates devient inutile.
N'est-ce pas la sensation la plus valorisante qui soit ?
Confidentialité | Signaler une faille | Contacter la sécurité | Accords de licence | Déclaration sur l’esclavage moderne | Cookies | Déclaration d’accessibilité | Ne pas vendre mes informations personnelles | | Toutes les autres marques commerciales appartiennent à leurs détenteurs respectifs.
