Icône phishingPHISHING

Le PHISHING (ou « hameçonnage » en français) est l’une des menaces les plus récurrentes de nos jours.

Elle consiste, pour le fraudeur, à exploiter, une « faille humaine » en usurpant l’identité d’un organisme familier, par le biais de son logo et de son nom (banque, administration fiscale, sécurité sociale, site de e-commerce, etc).

C’est par l’intermédiaire d’un e-mail frauduleux d’un de ces organismes « soi-disant officiel » que l’on vous demandera,  suite à un incident technique, « de mettre à jour ou de confirmer vos coordonnées ».

 

COMMENT RECONNAÎTRE LES E-MAILS DE PHISHING ?

Le plus souvent, ces e-mails envoyés par les pirates invitent les internautes à se connecter en ligne par le biais d’un lien reçu.

  • Vous devrez alors mettre à jour des informations, via un formulaire d’une page web factice, qui est la copie conforme du site officiel.
  • La redirection se fera alors sur un site non sécurisé et sur une INTERFACE PIRATE. Vous pensez ensuite saisir vos coordonnées, notamment bancaires, en toute sécurité. Détrompez-vous, c’est un leurre.

C’est donc par le biais de leur formulaire factice que les pirates réussissent à soutirer les données, personnelles ou bancaires, des internautes « grugés ». Libre à eux ensuite de manipuler les données volées.

 

COMMENT IDENTIFIER LES TENTATIVES D’ESCROQUERIE PAR EMAIL ?

Vérifiez l'adresse de l'expéditeur

Elle peut sembler officielle mais elle imite, en fait, une adresse authentique.

Il est facile de modifier l’adresse e-mail de l’expéditeur. Une adresse valide doit impérativement contenir le nom de domaine qui s’affiche après l’@ (comme par exemple @astucesconseilsmac.com, @paypal.fr, ou @n'importequelautredomaine).

Vérifiez les liens

  • Ils semblent réels, mais peuvent vous induire en erreur. Si vous passez votre souris au dessus de l’URL, vous devriez voir l’adresse réelle du lien. Si elle est différente de l’adresse de l’expéditeur affichée en clair, il y a alors une forte probabilité que le message soit frauduleux ou malveillant.
  • Même si le nom de votre banque ou d’une entreprise connue apparaît dans l’URL, ce n’est pas une garantie de légitimité. La plupart des navigateurs actuels utilisent des couleurs, mais pas toujours. Néanmoins, la présence d'un cadenas et du https devraient vous rassurer sur la sécurité du site concerné :
    • rouge = site frauduleux
    • vert = site sécurisé.
  • Ne cliquez pas directement sur le lien contenu dans l’e-mail. Saisissez vous-même l’URL d’accès au service dans vos navigateurs. Cela est surtout recommandé lorsque vous vous connectez à votre banque ou au site des Impôts, par exemple.

N'ouvrez pas les pièces jointes, les images, ou les liens dans le mail

Ils peuvent contenir des virus ou des logiciels espions.

Faites attention aux fautes d'orthographe et de grammaire

Les e-mails issus d’organismes non officiels sont souvent envoyés depuis l’étranger, et les fautes d’orthographe y sont relativement nombreuses. Cela doit vous mettre la puce à l’oreille.

Chaque fois qu’une grande entreprise envoie un message au nom de la société, le message s'adresse à vous avec vos nom et prénom. Il est généralement vérifié au niveau, entre autres, de l’orthographe, de la grammaire et de la légalité.

Donc, si vous recevez un message rempli de fautes de grammaire ou d’orthographe, celui-ci a très peu de chance d’émaner du département juridique d’une grande société. En cas de doute, appelez directement l’organisme en question afin de vous renseigner.

Mail frauduleuxExemple de mail frauduleux

N'agissez pas dans l'urgence

Les e-mails frauduleux ont souvent un caractère d’urgence : ils sont conçus pour vous faire agir rapidement en oubliant les règles élémentaires de sécurité.

Souvent, on vous menace de fermer votre compte si vous ne fournissez pas vos informations personnelles (mot de passe, numéro de carte de crédit, etc.).

Sachez qu'une entreprise digne de confiance ne réclamera JAMAIS votre mot de passe, votre numéro de carte de crédit, ou la réponse à une question de sécurité par l’intermédiaire d’un simple mail.

Dans le doute, contactez directement votre agence par téléphone.

Menace et intilidationMenace et intimidation

Vous n'avez rien demandé

Si vous recevez un message vous informant que vous avez gagné un concours, un lot à une loterie, sans avoir jamais participé volontairement à quoi que ce soit, jetez le mail à la corbeille : le message est une arnaque pure et simple.

 

Bref, on joue sur vos émotions, on vous presse d’agir et d’avertir le plus de monde possible en faisant suivre le courriel à tous vos contacts. Et c’est toujours signé d’un haut responsable.

 

 

SITES FRAUDULEUX

Les consommateurs achètent de plus en plus sur Internet, et parfois sur des sites marchands « plus ou moins connus ». C’est ainsi que des sites frauduleux profitent de cette aubaine et prolifèrent comme des petits pains.

 

COMMENT ÉVITER LE PHISHING LORS DES TRANSACTIONS ?

Comment s’assurer que son numéro de carte bancaire ne s’envolera pas aux Seychelles après un gros achat ?

Vous connaissez probablement les sites tels que PayPal, eBay, Rakuten, Rue du commerce, etc… ? Vous pouvez y faire vos achats « en toute confiance », ces sites étant, en principe, bien sécurisés.

Mais le sont-ils vraiment tous ? Comment être sûr que vous achetez sur le bon site, et non pas sur un site de hameçonnage ?

Les sites frauduleux sont des sites sur lesquels un message vous incitera à saisir vos données confidentielles. Souvent, ces faux sites web imitent l’apparence et la convivialité du site officiel ou des entreprises connues, alors qu’ils appartiennent, en fait, à des criminels.

Voici un très bon exemple, fourni par PayPal lui-même, pour mettre en garde ses clients. Sur ce faux site de PayPal, lorsque vous envoyez de l’argent, il disparaît pour toujours.

Faux site PaypalFaux site Paypal

 

COMMENT IDENTIFIER LES SITES DE PHISHING ?

1 - Assurez-vous d’être sur le site officiel et sécurisé

Son URL, dans la barre d’adresse, doit afficher un cadenas à la gauche du https://. Le « S » signifie qu’il s’agit d’une connexion sécurisée, contrairement aux adresses commençant  par http:// seul.

On peut néanmoins effectuer des achats sur un site en http classique. Mais cela est  déconseillé car un site commercial de confiance se doit d’être en https.

  • Pour quelle raison ?
    Parce que le trafic peut être capturé (à cause des analyseurs et des sniffeurs réseau), ce qui pourra alors révéler votre numéro de carte bancaire en clair.

Ainsi, si vous effectuez un achat dans un lieu public, sur un site qui n’est pas en https, et qu’au même moment, vos informations confidentielles sont capturées via l’ordinateur d’un voisin dans ce même espace publique, votre numéro de carte bancaire reçoit un « nouveau propriétaire ». Plutôt ennuyeux, non ?

2 - Si c’est trop beau pour être vrai, c’est probablement FAUX

Des prix très alléchants, des produits de grande marque ou normalement coûteux à un prix défiant toute concurrence ne peuvent signifier que deux choses :

- Soit le produit n’existe pas et c’est alors une arnaque,
- Ou bien il est contrefait et ne passera donc jamais la douane.

Dans un cas comme dans l’autre, peu importe le montant de votre achat, vous n’en verrez jamais la couleur…

La vigilance est donc de mise sur ces sites marchands qui promettent monts et merveilles pour des prix imbattables.

3 - Les conditions générales de vente (ou mentions légales)

C’est à cela que l’on remarque les arnaques de façon fiable.

Les sites frauduleux ne contiennent pas de Conditions générales de vente. Celles-ci se trouvent, généralement, tout en bas de la page, ou dans le « Plan du site ».

Si elles sont absentes du site web ou trop difficiles à trouver, alors soyez vigilants… Ces conditions (ou mentions légales) tiennent lieu de « Contrat » et sont une sécurité pour le vendeur et l’acheteur.

Or, un site frauduleux joue justement avec la sécurité et évite donc de s’encombrer d’un contrat embarrassant pour lui.

 

 

COMMENT SE PROTÉGER DES SITES FRAUDULEUX ?

Au moment où vous saisissez vos informations personnelles et confidentielles, vérifiez toujours que le navigateur s’affiche en https, avec un petit cadenas dans la barre d’adresse du site concerné.

Cela signifiera que le site est identifié et, en principe, sécurisera les données qu’il reçoit.

Il est aussi fort possible qu’un site donné ne soit pas en https, mais dispose d’un bouton d’achat qui vous dirigera sur le site sécurisé https au moment de la transaction finale.

Beaucoup de sites fonctionnent de cette façon et ont des pages non chiffrées car aucune donnée personnelle n’est transmise. Il n’y a donc pas de problème.

Pour être certain de naviguer sur des sites sécurisés, et donc en https, téléchargez et installez sur les navigateurs Chrome, Firefox et Opera l’extension HTTPS Everywhere de l’EFF (l’Electronic Frontier Foundation).

Vous trouverez cette extension sur le site de téléchargement officiel de l'EFF (https://www.eff.org/fr/https-everywhere). Cette extension en automatisera la procédure.

Si vous avez un doute sur un site marchand, vous pouvez tester sa fiabilité en collant son URL sur le moteur de recherche du site Contrefacon.fr (https://www.contrefacon.fr/), puis en lançant ensuite la recherche.

Vous aurez la réponse en quelques secondes. Ce simple geste pourra vous éviter bien des ennuis.

Toutefois, Contrefaçon.fr ne teste que les sites du e-commerce. Il délivre une note de confiance aux sites en question et qui s’échelonne de 1 à 99. Néanmoins, la note n’est qu’une indication d’aide à la décision visant à attirer l’attention des internautes sur un risque « potentiel ».

Tableau de vérificationTableau de vérification des sites marchands

 

 

VICTIME D’UNE TENTATIVE DE PHISHING OU D’UN SITE FRAUDULEUX ?

Pour dénoncer ces tentatives de phishing ou de fraude, il existe deux plateformes de signalement.

« PHISHING INITIATIVE »

https://phishing-initiative.fr/contrib/

  • Cette plateforme de signalement a été mise en place pour offrir la possibilité de dénoncer l’adresse du site de phishing afin qu’elle fasse l’objet d’une validation et d’un blocage dans les navigateurs participants (Safari, Google Chrome, Firefox, Internet Explorer).
  • Par cette action, vous contribuerez à lutter contre ces fléaux numériques et éviterez à d’autres internautes d’être victimes de la fraude.

« PHAROS » (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements)

Cette plateforme gouvernementale est accessible sur le site www.internet-signalement.gouv.fr

  • Elle permet notamment de signaler les sites internet dont le contenu est illicite.
  • Votre signalement sera traité par un service de police judiciaire spécialisé dans ces questions, l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC).

Si le contenu signalé est illicite, mais conçu à l'étranger, il sera transmis à Interpol qui l'orientera vers les autorités judiciaires du pays concerné. Ces plateformes ne concernent que les e-mails et les sites internet.

 

CONCLUSION

En matière de sécurité, soyez vigilants et faites preuve de bon sens : tout ce qui vient d’Internet n’est pas forcément authentique. La moindre anomalie, en particulier lorsqu’il s’agit du phishing, devrait vous alerter et vous mettre en garde.

 

PARTAGEZ CET ARTICLE 🙂
Vous avez aimé cet article ? Partagez-le avec vos collègues ou amis.

 

Merci