Orange, Free, OVH, SFR, votre banque, votre fournisseur d’électricité… Ces grandes entreprises cumulent des millions de clients. De quoi attirer les convoitises de nombreux arnaqueurs, qui usent et abusent d’une technique très piégeuse : le phishing, ou hameçonnage en français.
Pour ceux qui tombent dans le panneau, la facture peut s’avérer douloureuse. Heureusement, de nombreux éléments contenus dans tout mail de phishing doivent vous alerter et vous permettre de déjouer le piège.
Le phishing, qu’est-ce que c’est ?
Le phishing fait partie de la grande et peu recommandable famille du « spam ».
Son but est simple et particulièrement dangereux s’il est atteint : voler vos données personnelles.
Il s’agit généralement de vos identifiants bancaires, vos logins et mots de passe divers…
On parle également de « spear phishing » lorsqu’un mail malhonnête est envoyé à une ou quelques personnes ciblées, et non de façon massive. Il est alors potentiellement plus difficile à détecter.
Les pièges types du mail de phishing
Le phishing débute par une usurpation d’identité. Car c’est tout le principe de l’arnaque : le but est que vous pensiez recevoir un mail de la part d’un organisme ou d’une société dont vous êtes client, voire même d’une personne que vous connaissez. Pour les propriétaires de sites internet, c’est bien souvent l’hébergeur qui sert d’hameçon : OVH, 1&1, Online…
Le sujet ? Un tout petit problème. Rien de bien grave : simplement vos informations bancaires qui ne sont plus à jour, un nom de domaine qui arrive à terme et doit être renouvelé pour une somme modique, la perte de votre dossier client, un document urgent qui attend votre consultation… A chaque fois, la procédure vise à recueillir discrètement vos données personnelles. Une fois qu’elles seront dans des mains peu scrupuleuses, elles pourront être utilisées à mauvais escient.
Les précautions à prendre pour éviter de se faire avoir
La première précaution à prendre, c’est de ne pas vous précipiter à répondre. Demandez-vous ensuite si les informations demandées sont légitimes.
Par exemple, chez Cognix Systems / WebGazelle, nous gérons l’hébergement des sites internet de nos clients. Nous sommes donc l’interlocuteur de leur hébergeur.
Ce dernier n’a aucun contact à avoir avec eux, et n’a certainement pas à leur demander des informations personnelles.
Il convient ensuite de vérifier plusieurs points essentiels :
L’alerte de votre anti-spam
De nombreux logiciels anti-spam et clients mails sont capables de détecter automatiquement les messages malhonnêtes et tentatives d’arnaque. Si un mail part d’office dans le dossier « courrier indésirable » ou s’il se retrouve affublé de la mention [SPAM], il y a de grandes chances qu’il soit peu recommandable.
Le destinataire du mail
Si le dossier / prestataire en question ne vous évoque rien, il est quasi certain que la demande est malhonnête et ne vous est pas spécifiquement adressée. C’est souvent le cas lors d’une tentative de phishing basique. Lorsqu’il s’agit d’un spear phishing, ce point peut être plus délicat à analyser.
L’expéditeur du mail
Vous n’avez jamais entendu parler du contact qui vous formule la demande ? L’adresse mail utilisée vous parait bizarre ? Le nom d’expéditeur est simplement « Service client » sans aucune autre précision ? Autant de points qui doivent vous pousser à la prudence. Méfiez-vous cependant : pour des hackers confirmés, il n’est pas bien compliqué d’usurper ou imiter parfaitement l’adresse mail d’un de vos contacts.
Le contenu du courrier
Ne les sous-estimons pas, mais tout de même : les spammeurs ont ce point commun de ne pas forcément briller dans cette périlleuse et exigeante discipline qu’est l’orthographe. Lisez donc attentivement le contenu du courriel : s’il contient des fautes ou des formulations maladroites, il ne provient probablement pas d’un expéditeur sérieux.
L’action demandée
On vous demande de renouveler votre nom de domaine en payant quelques menus euros, mais sans le citer ? Votre banque vous demande de confirmer votre code de carte bancaire ? Votre fournisseur d’accès à internet exige que vous modifiiez votre mot de passe sous 48h, sans quoi votre compte sera supprimé ? Non. Ces requêtes ne sont pas légitimes, surtout par mail.
Les liens contenus dans le mail
L’objectif du phishing est de vous faire accéder à des sites imitant le plus précisément possible celui de l’entreprise dont l’identité est usurpée. Mais en survolant les liens dans le mail avec votre souris (sur ordinateur), vous ferez apparaître l’URL du site cible. Si elle est exotique, très longue ou simplement différente de celle de l’entreprise (même à une lettre près !), c’est qu’il s’agit d’une tentative de phishing.
Le site sur lequel mène le phishing
Vous avez cliqué sur le lien ? Pas de panique. Vous n’avez cédé qu’à la première partie de l’arnaque. Pour qu’elle soit complète, il faudrait maintenant que vous fournissiez vos informations personnelles au site sur lequel vous avez atterri. Mais plusieurs éléments doivent vous mettre la puce à l’oreille.
- Si vous ne l’avez pas fait dans le mail reçu, vérifiez maintenant l’URL du site. Exemple typique d’adresse imitée lors d’un phishing : ovh.biz ou auth-ovh.com à la place de www.ovh.com. Si de plus, le site n’est pas sécurisé par le protocole https, fuyez.
- La conception graphique et le contenu de la page ne constituent généralement qu’un ersatz de la version originale. Le logo est de mauvaise qualité ? Le texte n’est pas clair, mal rédigé, truffé de fautes ? Il s’agit d’une page Web isolée, sans lien permettant d’accéder aux autres rubriques du site ? Fuyez.
Malgré toutes ces vérifications, vous avez un doute ? Il reste une solution simple : contacter l’entreprise concernée par la demande, afin de vérifier que son identité a bien été usurpée.