L’hameçonnage ou phishing
L’hameçonnage ou phishing est un grand classique des arnaques email en ligne en utilisant la messagerie électronique. Afin de les éviter, il est impératif de bien en connaître les différentes caractéristiques et de savoir comment réagir.
Qu’est-ce que le phishing ?
Le terme d’hameçonnage est apparu pour la première fois, dans le paysage numérique français en 2006. L’hameçonnage par courriel également connu sous le nom de « phishing » est une technique de « social engineering » utilisé par les fraudeurs en ligne pour obtenir des renseignements personnels d’utilisateurs de plateforme de messagerie, dans le but de les revendre au marché noir.
Une tentative d’hameçonnage est donc une tentative de dérober aux internautes leurs identifiants, leurs mots de passe ainsi que leurs données les plus confidentielles telles que le numéro de carte bancaire, le RIB, la copie de carte nationale d’identité ou les informations du passeport.
Les adeptes de l’hameçonnage envoient des courriels à un très grand nombre de victimes qui sont pour la plupart, des personnes physiques. Cependant, les personnes morales sont également des cibles de choix pour eux (sites de ventes aux enchères, banques en ligne, sites de paiement en ligne…). Considéré comme du SPAM par certains, il s’agit bel et bien d’une autre stratégie machiavélique.
Comment ça marche par courrier électronique ?
La technique d’hameçonnage nécessite toujours l’usurpation d’identité. Les arnaqueurs spécialisés dans le phishing n’hésitent pas à utiliser l’identité visuelle d’une entreprise connue et de bonne réputation pour leurrer leurs victimes. Il s’agit donc toujours d’un tiers de confiance tel qu’une banque, une administration, une grande marque de boutique en ligne, un site de réservation, une plateforme multimédia, un site de petites annonces, etc….
Elle s’accompagne également d’un processus de création d’un site d’hameçonnage. Ce faux site est donc le plus souvent, une copie exacte du site internet officiel de l’entreprise. Signalons que le vol de logo, de nom de marque ou encore d’une structure graphique (pour le site web) est un délit contre le droit à la propriété intellectuelle.
En ouvrant la boîte de réception de sa messagerie électronique, le destinataire est appâté avec soit un mail « alarmant », soit un mail « alléchant ». Si le destinataire est convaincu par le contenu du message électronique, il cliquera en général sur le lien fourni qui redirige vers une page de formulaire (appelée également page d’hameçonnage). On lui demandera de renseigner ses informations personnelles pour se connecter au site.
Comment repérer un email phishing ?
Afin d’éviter sur un lien d’hameçonnage, il est primordial de savoir repérer les emails douteux. Il convient donc de mener plusieurs sortes de vérifications :
La vérification de l’adresse email
Dans la foulée, il faut vérifier l’adresse email de l’expéditeur. Méfiez-vous des adresses de courriel comme Gmail, Hotmail, Orange ou Laposte. Ces plateformes proposent des comptes gratuits donc accessibles à tous. Un email en provenance d’un contact professionnel devrait contenir un identifiant, un séparateur @ et un nom de domaine payant (généralement l’URL du site web de l’entreprise).
La fraude est plus complexe de nos jours, car les arnaqueurs utilisent désormais certains caractères spéciaux qui ont l’apparence des caractères de l’alphabet. Ainsi, deux adresses peuvent parfaitement sembler identiques, mais vont conduire vers des sites totalement différents.
La vérification du contenu de l’email
Le message électronique peut contenir des fautes d’orthographes ou de syntaxes ainsi que des maladresses linguistiques. Ces petits détails sont facilement repérables, mais en cas de doute, il faut approfondir les recherches.
Le mail contient très souvent un message alarmiste vous incitant à agir dans les plus brefs délais pour ne pas rater une récompense ou pour continuer à disposer de certains privilèges. L’email frauduleux contient également un faux lien menant vers un site d’hameçonnage.
La vérification du site web officiel
Le nom de domaine du site officiel
La première parade est d’entrer manuellement le nom de l’entreprise dans la barre de recherche du navigateur afin de vérifier si l’adresse URL fourni par l’email est identique à l’adresse URL du site web officiel. Il est en effet, possible que les arnaqueurs utilisent un nom de domaine très semblable pour tromper le destinataire.
La présence de l’authentification HTTP et les certificats électroniques du site web en lien
Quand le navigateur internet délivre un message concernant une connexion non sécurisée c’est-à-dire une connexion qui ne nécessite pas d’authentification, il est préférable de se méfier, car il peut s’agir d’une tentative de vous induire en erreur.
L’absence de certificat électronique est déjà un signe. Il s’agit d’un petit cadenas placé devant l’URL permettant de s’assurer que les pages du site web sont chiffrées. Si cette icône manque à l’appel, évitez d’ouvrir et de répondre au courriel.
Type et exemples d’attaques
On peut ainsi distinguer différents types d’hameçonnages :
Hameçonnage « spray and pray »
Cette technique utilise un courriel standard au hasard pour créer un sentiment d’urgence comme celui qui incite le destinataire à faire une mise à jour de leurs informations personnelles afin d’éviter que leur compte ne soit clôturé. Il s’agit par exemple, d’une note urgente demandant à la victime de modifier son mot de passe PayPal pour toucher un gain de loterie.
Hameçonnage « Spear Phishing »
Cette méthode consiste à envoyer un courriel personnalisé à des organismes ou des groupes d’individus ciblés afin de recueillir leurs noms, adresses et autres informations confidentielles. Pour tromper les victimes, les imposteurs se font passer par exemple, pour des organisateurs d’évènements professionnels, etc…
Hameçonnage « CEO Phishing »
Cette attaque est très complexe puisqu’elle cible surtout les employés des services des ressources humaines d’une organisation. Les cybercriminels se font passer pour des recruteurs ou des employeurs de grandes structures ou des professionnels qui veulent se constituer un carnet d’adresses. La stratégie consiste donc à utiliser les techniques de networking pour récupérer toutes les identités professionnelles via mail.
Comment signaler une tentative d’hameçonnage ?
A priori, pour éviter de tomber dans le piège, il existe quelques précautions telles que de ne jamais ouvrir les mails des expéditeurs inconnus ou de cliquer sur des liens dont vous ignorez le contenu.
L’hameçonnage ou le filoutage est déjà un délit pris en compte par la Direction Générale de la Concurrence, de la consommation et de la répression des fraudes (DGCCRF). Elle peut regrouper plusieurs infractions :
- La collecte illégale de données
- La fraude sur les droits intellectuels
- L’usurpation de données
Si vous pensez avoir été victime de cette arnaque, contactez la plateforme PHAROS qui enregistre les signalements. Votre signalement sera traité par une police judiciaire dédiée de l’office central de lutte contre la criminalité et de la communication.