Phishing: qu’est-ce que c’est? Méfiez-vous des faux messages et e-mails!

Vous avez probablement déjà entendu parler de phishing. Presque constamment, des entreprises, des médias et d’autres organisations tentent de mettre en garde contre cela. Mais qu’est-ce que le phishing exactement? Cet article vous expliquera tout sur cette forme de cybercriminalité. Nous allons parler de ce que c’est, comment le reconnaître et comment vous protéger contre cela. Nous vous montrerons également ce que vous devez faire si vous êtes victime d’une tentative de phishing..


Qu’est-ce que le phishing?

Hameçon hameçonnage avec mot de passe

Le phishing est une sorte de cybercriminalité dont les victimes donnent sans le savoir aux criminels accès à leurs informations personnelles ou à leur compte. Cela se produit généralement en raison de l’envoi d’un e-mail de phishing à la victime. Ce courriel semble provenir d’une organisation ou d’une entreprise officielle, mais a en fait été envoyé par un criminel. Ces criminels feront tout pour que leurs courriels semblent aussi authentiques que possible. Par exemple, ils utiliseront des logos de sites Web et d’entreprises officiels. Dans ces e-mails, les victimes sont souvent invitées à cliquer sur un lien ou à ouvrir une pièce jointe.

Si vous cliquez sur un lien dans un e-mail de phishing, vous pourriez vous retrouver sur une page qui ressemble à un site Web officiel, mais qui n’est qu’une fausse copie. Le criminel espère que vous entrerez vos informations personnelles et vos informations sensibles sur cette page en remplissant, par exemple, un écran de connexion. Une fois que vous faites cela, le criminel aura accès à ces informations. L’ouverture d’une pièce jointe dans un e-mail de phishing peut également entraîner de nombreux problèmes. Vous pouvez sans le savoir installer des logiciels malveillants, tels qu’un virus ou un logiciel espion, sur votre ordinateur. Cela peut à son tour entraîner le criminel à obtenir toutes sortes d’informations personnelles sur vous, telles que vos coordonnées bancaires. Parfois, ils installent même des bots pour créer un botnet et exécuter des attaques DDOS.

Le but ultime d’un criminel de phishing est de profiter du vol de votre argent ou de vos données personnelles. C’est d’où vient le nom de «phishing». Les cybercriminels «pêchent» pour votre information: ils jettent leur canne à pêche numérique (l’e-mail) et attendent jusqu’à ce qu’une victime mord. Ils utilisent les peurs et les émotions du destinataire pour faire fonctionner leur arnaque. Ils pourraient, par exemple, prétendre qu’un paiement impayé vous attend, vous disant que vous risquez une amende si vous ne payez pas tout de suite. Les victimes paniquent souvent en lisant ceci et font ce qu’on leur demande, tombant dans les tours du criminel. Ne vous sentez pas stupide si cela vous est arrivé. Il peut être extrêmement difficile de distinguer un faux message de la vraie affaire.

Différents types de phishing

Généralement, le courrier électronique est un moyen très efficace pour les criminels, car il leur permet d’atteindre des milliers de personnes en une seule fois. En passant le moins de temps possible, ils sont capables de voler beaucoup d’argent, tant qu’une petite partie des destinataires tombe sous le coup de l’arnaque. Cependant, cela ne se termine pas avec les e-mails. Voici d’autres formes de phishing que vous devez surveiller, qu’il s’agisse d’escroqueries sur les réseaux sociaux ou par courrier traditionnel.

Arnaques par SMS et WhatsApp

Logo WhatsappLes cybercriminels continuent de penser à de nouvelles façons de voler de l’argent à leurs victimes. Ces techniques pourraient être plus efficaces et plus lucratives, car les gens ne le savent tout simplement pas encore. Un texte de votre banque n’est pas toujours digne de votre confiance. Il en va de même pour un message WhatsApp d’une organisation officielle, vous demandant de payer une facture dont vous ne vous souvenez de rien. Au cours des dernières années, WhatsApp en particulier a été de plus en plus utilisé dans les escroqueries par phishing.

Avez-vous reçu un message suspect? Il peut être très difficile de dire si une facture doit réellement être payée ou s’il s’agit simplement d’une tentative de voler votre argent. La meilleure chose à faire est de contacter l’organisation qui aurait envoyé le message. Accédez à leur site Web officiel en recherchant les bonnes informations de contact en ligne, sans cliquer sur aucun lien dans le message ou utiliser les informations qu’il contient. Les criminels de phishing sont souvent assez intelligents pour changer les informations de contact de l’entreprise en leurs propres coordonnées. Si l’entreprise ne sait rien du message, assurez-vous qu’elle sait que quelqu’un envoie des messages de phishing en son nom..

Fausses factures

Non seulement les médias sociaux, mais aussi les formes de communication plus traditionnelles sont utilisées à mauvais escient par les cybercriminels. L’une des arnaques les plus courantes, en particulier pour ceux qui ont leur propre entreprise, sont les fausses factures. Les escrocs envoient une facture fausse mais très réelle vous disant de payer rapidement ou d’en subir les conséquences. On vous dit souvent d’envoyer de l’argent sur un compte arrière spécifique. Parfois, ils prétendent même que vous êtes endetté et ils envoient un agent de recouvrement si vous ne transférez pas l’argent rapidement. S’il est possible de recevoir une telle lettre de la part d’institutions officielles (dans des circonstances extrêmes), il peut également s’agir de phishing. Cela signifie que, généralement, les menaces sont fausses. Si vous transférez de l’argent, il finira dans les poches des escrocs.

Si vous souhaitez vérifier si une facture ou un rappel de paiement est légitime, appelez la société qui l’a envoyée. Encore une fois, n’utilisez pas les coordonnées figurant sur la facture. Rendez-vous toujours sur le site officiel de l’entreprise indiqué sur la facture et appelez-les ou envoyez-les par e-mail. Demandez la confirmation de la facture, le montant mentionné et le compte sur lequel elle doit être virée avant de payer quoi que ce soit.

E-mails ou messages de réseaux sociaux d’amis ou de parents

Si un criminel a accès au courrier électronique ou au compte de médias sociaux d’une victime (par le biais d’une attaque de phishing précédente, par exemple), il peut l’utiliser pour trouver de nouvelles victimes. Un criminel pourrait essayer d’amener d’autres personnes à lui envoyer de l’argent en envoyant des messages aux amis du compte piraté. Souvent, ces messages commencent par un simple «Salut, comment ça va?». Une fois que les gens réagiront, le criminel demandera de l’argent. Voici un exemple d’un tel message de phishing, dans lequel le compte de John a été piraté et le cybercriminel s’approche de son ami Matthew via Facebook:

Message de phishing sur Facebook

Lorsque vous entendez un ami en difficulté, vous avez probablement hâte de l’aider. Les cybercriminels abusent de cette tendance en créant un sentiment d’urgence: John est coincé à l’étranger et doit rentrer le plus tôt possible. Si Matthew décide de l’aider, il transférera sans le savoir de l’argent sur un compte bancaire qui n’est pas celui de John, mais celui d’un cybercriminel. Le criminel peut demander que l’argent soit transféré via PayPal, Western Union, Moneygram ou Bitcoin. Dans certains cas, les criminels feront l’effort de cartographier le réseau d’amis complet du compte piraté et même de lire les messages précédents. Ils utiliseront ces informations pour rendre leur tentative de phishing aussi convaincante que possible..

Avez-vous reçu un message d’un ami par e-mail, Facebook ou une autre plate-forme de réseau social demandant de l’argent? Faites attention. Contactez la personne à qui vous pensez parler, par exemple en l’appelant. De cette façon, vous pouvez vérifier s’ils sont réellement en difficulté. Sinon, leur compte a été piraté.

«Phishing» par téléphone

Smartphone avec photo d'oreille

Parfois, le phishing se produit par téléphone. Cela peut arriver lorsque les criminels ont déjà accès au compte bancaire de la victime, mais ont également besoin d’autres informations. Si la victime coopère, elle transférera sans le savoir de l’argent aux criminels. Cela peut se produire de la manière suivante:

  1. Le criminel est connecté à l’environnement bancaire de la victime et commence à transférer de l’argent sur son propre compte.
  2. Le criminel appelle la victime, se faisant passer pour un employé de banque, et lui demande le code TAN que la victime a reçu (par exemple par SMS).
  3. Si la victime communique le code (qui a en fait été envoyé pour vérifier un paiement), le criminel l’utilise pour finaliser la transaction sur son propre compte bancaire.

Les criminels de phishing peuvent également prétendre être un employé de Windows ou le fabricant de votre ordinateur ou smartphone. Ils prétendent appeler pour résoudre un problème technique. Au lieu de cela, ils vous obligent à vous connecter à un site Web dangereux, leur donnant accès à votre ordinateur et à vos informations personnelles. Dans certains cas, ils installeront même des ransomwares sur votre appareil. Cela signifie que tous vos fichiers seront cryptés et pris en otage: vous ne pourrez y accéder que si vous payez. Si vous êtes victime d’un ransomware, assurez-vous de contacter la police.

Dernièrement, il a été fait état d’un type différent de phishing par téléphone. Un criminel vous appellera d’un numéro étrange, généralement étranger. Lorsque vous décrochez, vous n’entendez rien. Ce n’est que plus tard que votre facture de téléphone montre que l’appel téléphonique vous a coûté beaucoup d’argent. Pour vous protéger de ce type d’escroquerie, ne prenez pas simplement un appel.

Si vous êtes déjà appelé par un employé d’une certaine banque ou entreprise, ne donnez pas immédiatement vos informations personnelles, telles que votre adresse ou votre numéro de compte bancaire. Assurez-vous toujours d’utiliser les numéros de téléphone officiels corrects d’une entreprise et vérifiez si vous appelez réellement avec un représentant de cette entreprise..

Comment reconnaître le phishing

Avez-vous reçu un e-mail, un SMS ou un autre message d’une institution officielle ou d’un ami demandant de l’argent? Réfléchissez bien avant de faire quoi que ce soit! Que cela ressemble à un message du gouvernement, d’une boutique en ligne, de l’IRS, de votre banque, d’une compagnie d’assurance ou d’un site Web comme Amazon, vous pourriez plutôt avoir affaire à un criminel. D’autres types de phishing sont les courriels bien connus envoyés par un «prince nigérian» ou un parent éloigné prétendant avoir accès à une grosse somme d’argent. Cependant, avant de pouvoir vous envoyer quoi que ce soit, ils ont besoin que vous leur transfériez quelque chose. Ne tombez pas dans ce genre de pièges. Ils ne sont pas réels.

Étant donné que le phishing peut être difficile à détecter, il est important de savoir ce qu’il faut rechercher pour vérifier si un message est légitime ou non. Voici quelques conseils qui vous aideront à reconnaître une tentative de phishing.

Astuce 1: Erreurs de salutation, de langue, d’orthographe et de grammaire

Habituellement, les e-mails de phishing sont envoyés à un grand nombre de personnes à la fois. Cela signifie qu’ils ne sont pas toujours personnalisés. Au lieu de cela, vous finissez par recevoir un e-mail avec un “Dear mr./mrs” standard ou quelque chose de similaire en haut. Vérifiez toujours s’il est étrange de ne pas être traité correctement par, par exemple, votre banque avant de faire quoi que ce soit d’autre avec l’e-mail.

Vous pouvez généralement dire qu’un e-mail est faux lorsqu’il contient de nombreuses fautes d’orthographe ou de grammaire. Le plus souvent, les cybercriminels qui envoient le courrier ne sont pas les meilleurs en anglais et font des erreurs évidentes. Une autre technique souvent utilisée dans les messages de phishing crée un sentiment d’urgence. Un langage tel que «URGENT», «IMPORTANT» ou «AVIS FINAL» peut indiquer que vous avez affaire à un e-mail de phishing.

Pourtant, ce n’est pas toujours le cas. Il existe des e-mails de phishing et des sites Web qui ne contiennent aucune erreur et commencent même par une sorte de message d’accueil personnalisé. Heureusement, il y a d’autres choses que vous pouvez rechercher, comme nous vous le dirons dans nos autres conseils.

Astuce 2: Regardez l’expéditeur de l’e-mail

Liste avec loupeLes e-mails de phishing sont souvent envoyés par des adresses e-mail frauduleuses. Vérifiez toujours l’adresse e-mail de l’expéditeur et vérifiez si elle est légitime. Par exemple, si vous êtes un client de la Bank of America, vous pouvez recevoir des e-mails officiels d’adresses se terminant par @ bankofamerica.com. Étant donné que les cybercriminels ne sont pas propriétaires de ce domaine, ils ne peuvent pas utiliser ces adresses e-mail. Au lieu de cela, ils essaieront de l’envoyer à partir d’un domaine très similaire ou d’utiliser un fournisseur de messagerie général. Ils pourraient, par exemple, utiliser [email protected] ou quelque chose se terminant par @ americanbank.com. Même les fautes d’orthographe intentionnelles ne sont pas inhabituelles: en ajoutant une ou deux lettres au domaine d’origine, les criminels essaient de vous faire croire que le message est légitime après tout. Parfois, les adresses e-mail de phishing se composent de chiffres et de lettres aléatoires. Celles-ci sont faciles à repérer et ne doivent jamais faire confiance.

Dans certains cas, un message de phishing semble avoir un expéditeur fiable. Parfois, il semble même être envoyé à partir de votre propre adresse e-mail. Ceci est appelé «usurpation d’e-mails» et se produit souvent dans le phishing et la compromission des e-mails professionnels (BEC). Ne tombez pas pour ça. En cas de doute, contactez toujours l’expéditeur en recherchant les bonnes coordonnées sur son site officiel. S’il s’agit d’un e-mail provenant de votre propre adresse, ignorez-le simplement.

Astuce 3: ne partagez pas d’informations personnelles

Si vous recevez un e-mail, un SMS ou tout autre message vous demandant des données personnelles, par exemple vos informations de connexion, cela peut être un mauvais signe. Ne partagez jamais vos informations personnelles ou de compte par e-mail (ou tout autre support textuel) si vous n’êtes pas sûr que ce soit absolument sûr. De nombreuses entreprises légitimes ne vous demanderont jamais directement vos informations. Cela est particulièrement vrai en ce qui concerne les mots de passe, les codes TAN et d’autres informations spécifiques au compte. Quelle que soit l’apparence réelle d’un e-mail ou d’un message, conservez la confidentialité de vos informations. Si vous ne savez pas si un message est réel ou non, contactez l’organisation réelle via son site officiel ou appelez-la. Ne répondez jamais à des messages louches et ne cliquez pas sur des liens auxquels vous ne faites pas confiance.

Astuce 4: Attention aux pièces jointes suspectes

Un simple clic sur une pièce jointe dans un message de phishing pourrait déjà installer des logiciels espions tels que des enregistreurs de frappe et des chevaux de Troie sur votre appareil. Ouvrez uniquement les fichiers auxquels vous faites entièrement confiance et que vous prévoyez d’envoyer. Soyez à l’affût des noms de fichiers et des types de fichiers qui semblent sortir de l’ordinaire. Fichiers se terminant par .Zip *: français ou .EXE ne devrait pas faire confiance à sa valeur nominale. Même les fichiers PDF ne sont pas toujours sûrs. Vous trouverez ci-dessous un aperçu des extensions de fichier pouvant être utilisées dans les e-mails de phishing..

  • .chauve souris(Lot)
  • .com(fichier de commande)
  • .cpl(Panneau de configuration)
  • .docm(Microsoft Word avec macros)
  • .EXE(Fichier exécutable Windows)
  • .pot(Java)
  • .js(JavaScript)
  • .pif(Fichier d’informations sur le programme)
  • .pptm(Microsoft PowerPoint avec macros)
  • .ps1(Windows PowerShell)
  • .scr(Fichier économiseur d’écran)
  • .vbs(Script Visual Basic)
  • .wsf(Fichier de script Windows)
  • .xlsm(Microsoft Excel avec macros)
  • .Zip *: français (Comprimé)

Si vous voulez savoir quel type de fichier est une pièce jointe, vérifiez simplement les lettres du nom du fichier après le point final.

Les cybercriminels pourraient essayer de vous tromper en ajoutant l’extension de fichier au nom de fichier. Par exemple, ils peuvent essayer de vous faire croire que vous traitez un fichier PDF en l’appelant «InvoicePDF.exe». Il s’agit plutôt d’un fichier .exe utilisé pour installer des logiciels malveillants.

Astuce 5: Attention aux liens suspects

Ordinateur portable ComputervirusAvez-vous repéré un lien dans un e-mail auquel vous ne faites pas confiance? Ne cliquez pas dessus. Tous les liens ne mènent pas à l’endroit où ils disent qu’ils vous mèneront. Heureusement, vous pouvez facilement vérifier cela en plaçant votre curseur sur le lien (sans cliquer dessus!) Et en vérifiant le coin inférieur gauche de votre navigateur. Une petite barre blanche apparaîtra avec le site Web exact auquel le lien mène. Est-ce un site Web que vous ne reconnaissez pas ou auquel vous ne faites pas confiance? Ensuite, vous avez probablement affaire à une tentative de phishing.

L’adresse peut même ressembler à un site Web digne de confiance, mais être faite pour vous tromper. Vérifiez toujours si tout est orthographié correctement et si le domaine est correct (par exemple bankofamerica.com/ info au lieu de bankofamerica.officialwebsite.com/Info). Faites très attention lorsque vous utilisez votre smartphone ou votre tablette, car il est très facile de cliquer accidentellement sur quelque chose.

Astuce 6: Restez informé

La technologie et la cybercriminalité sont en constante évolution. De nouvelles façons de se protéger contre le phishing et d’autres formes de criminalité en ligne continuent d’apparaître, tout comme de nouvelles façons pour les criminels d’essayer de tromper leurs victimes. C’est pourquoi il est important de rester au courant des dernières nouvelles sur le phishing et tout ce qui y est lié. Si vous lisez cet article, vous êtes déjà bien parti. Assurez-vous également de garder un œil sur notre section Actualités. Il peut y avoir des avertissements sur les tentatives de phishing internationales émises par des entreprises ou des gouvernements.

Astuce 7: Faites confiance à votre intuition

Si vous ne savez pas exactement si vous pouvez faire confiance à un message, à un e-mail ou à un site Web, alors ne le faites pas. Il vaut mieux prévenir que guérir. Entrez en contact avec l’organisation réelle et demandez-leur à ce sujet. Si ce n’est pas possible, vous pouvez également rechercher l’adresse e-mail de l’expéditeur en ligne. S’il s’agit d’une tentative de phishing utilisée depuis un certain temps, d’autres personnes l’auront probablement déjà traitée et pourront vous dire si elle est sûre ou non..

Comment éviter le phishing

Il existe de nombreuses façons de reconnaître un e-mail de phishing, mais c’est encore mieux si vous ne les rencontrez pas au départ. Voici quelques astuces pour vous aider à arrêter le phishing.

  • Utilisez l’authentification à deux facteurs sur vos comptes: si vous devez suivre deux étapes lors de la connexion à des comptes importants (par exemple avec un code de vérification), les chances que les cybercriminels aient un accès complet à votre compte sont beaucoup plus minces.
  • Activez votre filtre anti-spam: votre fournisseur de messagerie possède probablement quelques paramètres que vous pouvez utiliser pour empêcher le spam de pénétrer dans votre boîte de réception. Cela n’empêchera peut-être pas tous les e-mails de phishing de vous atteindre, mais vous procurera une couche de sécurité supplémentaire, de sorte que vous rencontrerez moins souvent les e-mails malveillants. Assurez-vous que toutes les adresses e-mail importantes dont vous pourriez recevoir des e-mails ont été placées sur une liste blanche, afin qu’elles ne se retrouvent pas accidentellement dans votre dossier spam..
  • Partagez vos données uniquement sur des sites Web sécurisés: la barre d’adresse vous indiquera si la connexion entre vous et le site Web que vous visitez est sécurisée. Si tel est le cas, vous verrez un petit verrou fermé sur le côté gauche de l’URL ainsi que «https: //» (y compris les «s») dans le lien. Si cela manque, vous ne devez partager aucune information personnelle sur cette page. De nombreux sites Web de phishing ont également commencé à utiliser HTTPS. Cette petite vérification ne pourra donc pas vous sauver de toutes les escroqueries. Pourtant, c’est un début important. Si vous souhaitez en savoir plus sur HTTPS, nous avons écrit un article complet sur ce sujet.
  • Assurez-vous de savoir comment vous protéger en ligne: nos 8 étapes simples pour vous connecter en ligne en toute sécurité vous aideront.

Travailler comme un mulet d’argent: accidentellement criminel

Moneybag avec signe du dollar sur ordinateurCertaines attaques de phishing sont des collaborations entre plus d’une centaine de personnes. Le plus gros morceau d’un tel groupe se compose de ce que l’on appelle les «mules d’argent». Ces personnes (souvent des étudiants) ouvrent temporairement leurs comptes bancaires à de l’argent de phishing. De cette façon, l’argent volé peut être envoyé d’un compte à l’autre rapidement et facilement, il est donc beaucoup plus difficile pour les autorités de retracer l’argent jusqu’au cerveau derrière l’opération. À titre de compensation, les mulets sont autorisés à garder un petit pourcentage de l’argent.

Les mulets sont souvent recrutés par un «berger». Cela se produit soit en ligne, avec des offres d’emploi qui semblent légales mais ne le sont pas, ou dans la vie réelle. Un berger peut se rendre sur les terrains de jeux de l’école et dans d’autres lieux publics pour demander aux gens s’ils veulent gagner de l’argent supplémentaire. Beaucoup de mulets d’argent ne sont pas conscients du fait que ce qu’ils font est illégal. Ils sont complices de la cybercriminalité sans même le savoir.

Le risque d’être découvert par la police est beaucoup plus grand pour les mules que pour la personne derrière l’attaque. Le chemin de l’argent volé passe d’abord par tous les comptes de la mule, après tout. Nous décourageons quiconque de participer à de telles pratiques. Si quelqu’un vous propose un emploi qui vous oblige à lui donner accès à votre compte bancaire, quelque chose de «phishy» se passe définitivement.

Que faire lorsque vous êtes victime de phishing?

Êtes-vous devenu victime de phishing? Les mesures de sécurité que vous devez prendre dépendent du type d’arnaque. Voici ce que vous pouvez faire si vous êtes victime d’une escroquerie par hameçonnage:

  • Lorsque vous avez donné à quelqu’un vos informations bancaires, bloquer votre carte et appeler votre banque.
  • S’il s’agit d’un compte pour un service en ligne, rapidement changez votre mot de passe et d’autres informations cruciales.
  • Lorsque vous avez cliqué sur un lien suspect ou téléchargé un logiciel malveillant, utiliser un logiciel antivirus pour analyser votre ordinateur et mettre en quarantaine tous les virus.
  • Toujours contacter l’entreprise ou la personne réelle et dites-leur ce qui s’est passé. Ils pourraient être en mesure de vous aider ou au moins d’avertir les autres.
  • Signaler le phishing aux autorités compétentes, par exemple la police.
  • Informez vos amis (en ligne) à propos de l’arnaque. Le criminel pourrait utiliser vos données pour faire plus de victimes.

Conclusion

Le phishing est un type de crime en ligne désagréable. Cliquer sur un lien malveillant ou se connecter sur le mauvais site Web peut avoir des conséquences désastreuses. Pour vous assurer de ne pas en être victime, il est important de rester informé. Sachez reconnaître un message de phishing et quoi faire lorsque vous en recevez un. Gardez le phishing à distance en configurant vos comptes correctement. Est-il arrivé quelque chose malgré tout? Assurez-vous de contacter les bonnes organisations et de prendre des mesures pour limiter les dommages au minimum.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map