Voilà plusieurs mois que la technique dite du phishing ou hameçonnage en français fait les gros titres des journaux généralistes. Mais en quoi consiste réellement cette fraude utilisée par les pirates informatiques du monde entier ? Est-il possible de protéger son smartphone, sa tablette et/ou son ordinateur de ce type d’attaque sans aucune connaissance technique ?
Attaque par hameçonnage
Le phishing aussi appelé hameçonnage est une technique utilisée par les hackers pour dérober des informations personnelles et notamment des numéros de carte de crédit ou des identifiants de connexion. Pour réaliser leur méfait, les escrocs utilisent un simple courrier électronique.
Leur but est de tenter de se faire passer pour une autorité de confiance (banque, réseau social, entités gouvernementales, FAI, institutions publiques comme la CAF etc…) et ainsi faire croire aux internautes que le message revêt une importance particulière.
Une fois le mail ouvert, les pirates vont user de différents stratagèmes pour inciter leurs victimes à divulguer des informations personnelles. Ca peut-être un faux message se faisant passer pour une grande banque et demandant à la victime de se connecter à ses comptes bancaires pour annuler une fausse transaction de plusieurs milliers d’euros.
Bien évidemment le lien présent dans le mail ne pointe pas vers le site officiel de la banque mais vers une copie quasi identique réalisée par les escrocs. Les données saisies (identifiant et mot de passe) dans ce faux formulaire sont ensuite récupérées par les escrocs.
Ces attaques peuvent avoir des conséquences dévastatrices pour les victimes. Comptes bancaires vidés, achats non sollicités ou usurpation d’identité, on ne compte plus le nombre de vols et d’escroqueries liés au phishing.
Comment reconnaître les attaques de phishing
Les entreprises, les ministères, les particuliers, les ONG ne sont plus les seules personnes visées par ces attaques. Les particuliers comme vous et moi peuvent être la cible de ces faux messages. Le phénomène est mondial et touche tous les pays sans distinction.
Le plus dur est bien évidemment de reconnaître les attaques afin de pouvoir s’en prémunir. Contrairement au virus qui s’attaque directement à la machine et à ses dispositifs de sécurité (antivirus ou firewall), le phishing repose uniquement sur la crédulité des personnes.
Il convient donc de faire particulièrement attention lorsque vous recevez un message. Méfiez-vous de tout ce qui semble être trop beau pour être vrai. Les escrocs n’hésitent pas à mettre en avant des réductions très importantes ou des offres particulièrement lucratives pour vous pousser à récupérer vos identifiants bancaires.
L’autre technique préférée des cybercriminels consiste à vous faire croire qu’une catastrophe imminente est sur le point d’arriver. Il peut s’agir de la suppression de votre compte de messagerie ou d’un remboursement de la sécurité social de plusieurs centaines d’euros bloqué.
Evidemment, le courriel précise bien que vous devez régulariser au plus vite votre situation en vous connectant à votre compte. Le lien fourni dans le mail renvoie vers un site frauduleux similaire au vrai et dont le seul objectif est de récupérer vos identifiants de connexion.
De façon général, il faut se méfier de tous les messages qui sortent de l’ordinaire. Les mails prétextant l’envoi de prime ou mettant en avant des remboursements de trop perçu doivent vous mettre la puce à l’oreille.
5 indices pour déjouer une tentative de phishing
Il faut bien le reconnaître les escrocs redoublent d’imagination et d’efforts pour mettre au point leurs attaques. Les faux messages sont de plus en plus difficiles à distinguer des courriers électroniques émanant d’une vraie société.
Toutefois on y regardant de plus près, on trouve généralement dans les messages plusieurs indices permettant de mettre en lumière la tentative d’escroquerie. Voici une liste non exhaustive de vérifications à effectuer avant de cliquer dans un lien.
Le message comporte des fautes d’orthographe ou de grammaire à répétition ainsi que des erreurs de syntaxe. Faîtes très attention. La plupart du temps, les auteurs de phishing utilisent des outils de traduction en ligne pour rédiger leur message. Vérifiez scrupuleusement l’adresse mail de l’expéditeur. Si le message émane d’une banque, d’une entreprise ou d’une institution publique, le nom de domaine du courriel doit être identique à celui de leur site web.
Certains pirates n’hésitent pas à créer de fausses adresses pour se faire passer pour un organisme officiel. Il s’agit le plus souvent de nom de domaine très proche à une ou deux lettres près. L’objectif étant ici de créer la confusion dans l’esprit de l’internaute. La similitude entre les adresses laisse croire à la victime qu’il ne s’agit pas d’une attaque.
Attention, le fait que l’adresse d’expéditeur soit correcte ne garantit pas pour autant l’authenticité du message. Les hackers savent aujourd’hui envoyer des messages avec une adresse mail falsifié. Ces techniques d’usurpation d’identité sont malheureusement très courantes sur le net et très utilisées pour voler des données.
Méfiez-vous des liens présents dans les messages. Passez votre souris au-dessus du texte et vérifiez dans la barre d’état de votre navigateur ou de votre client de messagerie l’adresse complète. En cas de doutes sur l’authenticité du nom de domaine (faute d’orthographe, lettres répétées plusieurs fois) ne cliquez pas.
A noter que de plus en plus de pirates utilisent de raccourcisseurs d’URL de type bit.ly, goo.gl. Ces outils permettent de masquer l’URL originale. L’internaute ne sait plus alors sur quoi il clique. Si vous êtes confronté à ce cas de figure, ne cliquez pas sur le lien. Très peu d’entreprises se servent de raccourci d’URL pour communiquer avec leurs clients.
Faut-il encore vous le rappeler. Ne divulguer vos identifiants bancaires à personne, pas même aux personnels de votre banque. Il ne faut également jamais se connecter à partir d’un lien contenu dans un e-mail ou un SMS. En cas de doute, vous devez contacter immédiatement votre banque.
Si vous pensez avoir été victime d’une escroquerie en ligne, le site de la DGCCRF (Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes) propose une plateforme permettant de signaler les sites frauduleux. Vous trouverez plus d’informations dans le lien ci-dessus.