Hameçonnage/Phishing
Publié : ven. août 21 2020 à 11:06
L'hameçonnage, appelé aussi phishing (pêche en Anglais) est une technique d'arnaque consistant à se faire passer pour le site officiel d'établissements publics, de banques ou de grandes entreprises.
Le message reçu contient un ou des liens vous renvoyant sur un site ressemblant à s'y méprendre au site officiel. Le but de l'arnaque et de récupérer vos informations confidentielles (numéro de compte, mot de passe, etc...).
Une fois ces informations récupérées, soit l'arnaqueur va les utiliser pour vous dépouiller (achats en ligne payés par votre compte par exemple), soit il va les revendre à d'autres cybercriminels qui les utiliseront à leur avantage.
Ne vous fiez pas au nom de l'expéditeur du message !!! Il est extrêmement facile d'envoyer des messages depuis un site web avec n'importe quelle adresse mail d'expéditeur. Certains logiciels permettent de faire la même chose sans même devoir se connecter à un site web !
.
Comment repérer ces messages frauduleux ?
- Examinez la destination de renvoi des liens présents dans le message : votre banque dispose de son propre nom de domaine (par exemple ma_banque.fr ou ma_banque .com). Elle n'a aucune raison de vous renvoyer sur ma_banque.co.uk ou ma_banque.co.jp...
- Examinez l'adresse mail de l'expéditeur. Elle peut être correcte, service-client@ma_banque.com, mais souvent elle est farfelue en affichant soit un sous domaine (service-client@ma_banque.co.uk), soit affichant une adresse mail gratuite (gmail, outlook, etc...) qu'aucune entreprise utilisera pour des besoins professionnels !
- Un établissement public, une banque ou un prestataire de service peut avoir changé ses conditions d'utilisation de ses services en ligne... Généralement vous en serez informé par courrier postal, et si l'établissement le fait par message électronique, il ne vous demandera jamais de ressaisir toutes vos informations personnelles !!!
- L'administration fiscale, un organisme social ou un fournisseur de prestations vous annonce par message électronique le remboursement d'un trop perçu, ou vous relance pour un impayé. Là aussi il vous est réclamé de saisir vos informations personnelles... Ne le faite pas !!! Votre prestataire les connait déjà et n'en a pas besoin !!! Par ailleurs il connait votre numéro de foyer fiscal, d'allocataire ou de client (c'est lui qui vous l'a attribué), et n'a nul besoin de votre mot de passe !!!
- Examinez attentivement le contenu du message, vous y trouverez des fautes d'orthographe et des erreurs grossières de syntaxe. Vous trouverez aussi des expressions jamais utilisée dans un échange commercial... "Présentement votre compte est débiteur de..." => arnaqueur Africain ! C'est de moins en moins vrai car les arnaqueurs font des efforts...
- Un colis est en attente de distribution... le message vous demande soit d'appeler un numéro généralement surtaxé, soit vous demande de payer en ligne des frais de mise à disposition... Pour les achats en VPC sur Internet, soit il n'y a pas de frais de transport & remise, soit ils vous ont été facturés à la commande ! C'est à 100% une arnaque !!!
- Un nouveau type d'arnaque est apparu ces dernières année : l'arnaque au faux message policier... Le message reprend les images des services de police ou de gendarmerie, parfois les deux dans le même message ! Il vous fait savoir que leurs services ont détecté sur votre ordinateur des photos compromettantes, dans d'autres cas le message vous accuse d'avoir échangé avec des mineurs sur des chats (skype, Hangouts, etc...). Pour mettre fin aux poursuites lancées à votre encontre le message vous propose de payer une amende en ligne. Là aussi essayez d'être réaliste !!! Dans de telles situations les forces de l'ordre n'envoient pas un mail ! ils vous envoient une équipe du GIGN ou du PSIG pour vous emmener derrière les barreaux !!! D'autre part on ne paie pas une amende par coupon PCS ou par Western Union... :-D
Que faire à la réception d'un message douteux ?
- Ne cliquez pas sur les liens contenus dans le message, même s'il semble arriver de chez votre prestataire ! Si vous souhaitez vérifier la demande qui vous est faite, connectez vous sur son site web en saisissant manuellement l'adresse de son site web dans la barre d'adresse de votre navigateur. Connectez vous à votre compte de façon habituelle.
- Si le message vous demande de vérifier vos infos personnelles, vous propose le remboursement d'un trop perçu ou le paiement d'un impayé : ne répondez pas à cette demande et appelez par téléphone votre interlocuteur habituel !!!
- Signalez le message sur la plateforme spécialisée officielle Signal Spam. Nous vous conseillons de créer un compte sur leur site web de manière à pouvoir utiliser leur extension disponible pour votre navigateur Internet et pour votre logiciel de messagerie. Cette extension vous permettra par la suite de signaler un message frauduleux en un seul clic !
Par ailleurs...
- Ne saisissez JAMAIS l'identifiant de votre compte dans le cadre de l'actualisation de données personnelles !!! Votre prestataire le connait puisque c'est lui qui vous l'a attribué !!! De plus, pour ce genre d'action vous êtes réputé vous être connecté à un compte personnel, votre identifiant a déjà été contrôlé par le système !
- Ne saisissez jamais votre mot de passe dans le cadre de l'actualisation de données personnelles !!! Vous êtes réputé vous être connecté à votre compte, votre prestataire n'a pas besoin de le connaitre !!!
- Ne faites pas de transaction financière sur des sites qui ne sont pas sécurisé ! L'adresse Internet d'un site sécurisé débute toujours par https. Si elle débute par http (sans le S), le site n'est pas sécurisé, il est préférable pour vous de ne pas acheter directement sur la plateforme !
- Pour un achat en ligne ou le règlement d'une dette, privilégiez une e-carte-bleue. Cette carte bleue virtuelle génère un numéro de CB utilisable une ou plusieurs fois pour un montant total exact que vous déterminerez au moment de votre achat, ce dans un délai généré par le système e-C-B (en général 2 mois). Si par malheur vous vous êtes fait escroquer, l'arnaqueur ne pourra pas récupérer plus que le montant déterminé lors de l'achat, et ne connaîtra pas vos coordonnées bancaires !
- Si vous disposez d'un compte Paypal ou similaire, privilégiez ce mode de paiement dans les boutiques Internet acceptant ce mode de paiement. En cas de soucis vous pourrez facilement faire une réclamation auprès de Paypal qui vous remboursera rapidement (si c'est justifié bien sûr !).
- Certaines plateformes de VPC comme Amazon vous offrent la possibilité de payer par virement bancaire (mandat SEPA) : nous vous le déconseillons !!! Régulièrement ces plateformes se font pirater leurs bases de données clients... il est préférable de ne pas voir se balader vos données bancaires sur le web !
- Attention aux trop bonnes affaires sur Internet !!! Un soit disant équivalent à un iPhone 12 vendu 200€ quand l'iPhone est vendu 1600€, c'est soit une grosse daube, soit une belle arnaque... Le raisonnement est le même quel que soit l'objet ou le service acheté !!!