L’e-mail constitue, de nos jours, le terrain de prédilection des arnaqueurs par hameçonnage. En effet, ces criminels virtuels usent désormais des courriers électroniques pour obtenir les données personnelles des utilisateurs, à savoir les mots de passe, adresses, numéros de compte bancaire, etc. Et malgré le triage de spams des plateformes de messagerie, certains messages atterrissent tout de même dans la boîte de réception. Fort heureusement, ces « experts » de l’hameçonnage laissent quelques indices peu subtils qui les trahissent dans leur message. Fautes d’orthographe, requêtes saugrenues, noms de domaine incohérents, etc. quelques astuces permettent de les reconnaître facilement.
Adresses e-mail et hyperliens à la loupe
Dès que l’on réceptionne un courrier étrange, le premier réflexe à avoir est de vérifier l’adresse électronique de l’expéditeur. Cependant, il arrive que le fournisseur de messagerie ne livre en abord que l’alias de l’émetteur. À noter que certains pirates se permettent d’usurper des noms de domaine connus (fournisseur d’accès internet, banque, etc.) pour paraître crédibles. Dans ce cas de figure, il suffit de vérifier l’adresse associée à l’alias ou bien l’hyperlien de redirection du message. Ces derniers n’ont souvent aucun rapport avec la société en question et l’URL de son site.
Des noms de domaine incohérents
Pour créer l’illusion et mettre en confiance les utilisateurs, les arnaqueurs de l’hameçonnage envoient des courriers en usurpant plus ou moins le nom de domaine d’une société existante. C’est « plus ou moins », car si l’on scrute à la loupe l’alias fourni, on remarque de fausses ressemblances. Souvent, on les reconnaît par des fautes d’orthographe : lettre manquante ou en trop, remplacement de lettres, usage de caractères cyrilliques et grecs, etc. On retrouve par exemple « amzon.fr » pour « amazon.fr » ou encore « www.orannge.fr » plutôt que www.orange.fr.
S’accorder du temps à la lecture et à la réflexion
Le propre des escrocs par hameçonnage est d’induire sa cible dans l’urgence pour que celle-ci tombe sans réfléchir dans leur piège. En plus d’utiliser des noms de domaine connus (sans fautes de frappe), ils essaient de pousser l’utilisateur à appuyer sur le lien fourni en prétextant une urgence : mot de passe expiré, vérification de connexion de compte, prix de loterie (auquel on n’a pas participé) etc. En plus des messages d’urgence, il se peut que le pirate dépêche des adresses et des messages incohérents, des courriers truffés de fautes d’orthographe ainsi que des e-mails sous forme d’images.
Dans ces circonstances, il ne faut pas s’empresser de réagir, mais de prendre le temps de bien lire le message. Requérir un avis tiers ou appeler directement la soi-disant société peut se révéler utile.
Messages frauduleux : ce qu’il faut éviter
Si l’on a des difficultés à discerner le vrai du faux, voici quelques conseils à appliquer :
- Éviter d’appuyer sur les boutons d’e-mail : aucun prestataire ne requiert une connexion directe ou le renseignement de données personnelles via un e-mail.
- N’accepter que les pièces jointes sous formats PDF.
- Ne télécharger que les pièces jointes sous Word ou fichiers Zip provenant d’une source sûre (ces fichiers peuvent véhiculer des malwares).
- Utiliser des outils de vérification des URL raccourcis comme phishtank.com.
- S’entraîner sur Phishing-IQ-Test.com pour mieux déceler les arnaques.
