Cyberaffaires: phishing ou comment les messages frauduleux sont devenus plus rusés

Hameçonnage (phishing): il y a déjà longtemps que les criminels usent de toute sorte d’astuces pour obtenir des données sensibles. Cependant, les messages reçus ont gagné en qualité. Bienvenue dans le deuxième volet de notre série.

Je me souviens très bien du jour où – il y a deux décennies – j’ai créé ma première adresse électronique… et reçu les premières tentatives frauduleuses. Un de ces messages en particulier m’a donné du fil à retordre: un compte bancaire avait apparemment été ouvert à mon nom. Mais il y manquait encore quelques données, et je devais les compléter en cliquant «ici», un lien mis à ma disposition. Guère sensibilisée à ce sujet à l’époque, j’étais naturellement très préoccupée. En effectuant des recherches, j’ai constaté qu’il s’agissait d’une pure arnaque.

De nouveaux défis

Mon expérience en la matière ne s’est bien sûr pas arrêtée là. Je ne compte plus les messages frauduleux, comme par exemple un prétendu formulaire de mon service de streaming musical indiquant que mon compte est bloqué et qu’il a besoin d’être mis à jour. Une autre forme d’attaque dangereuse pour obtenir l’accès à des données sensibles sont les e-mails avec des pièces jointes dangereuses. Ceux-ci peuvent par exemple être déguisés en facture de la part de votre fournisseur de télécommunications. Un logiciel malveillant peut se cacher dans un tel e-mail et, selon le type, charger d’autres logiciels malveillants depuis Internet. Entre autres, ils peuvent conduire à un cryptage de tes données.

Contrairement aux e-mails de phishing «classiques», envoyés à plusieurs destinataires au hasard, il en existe qui visent spécifiquement une personne, une entreprise ou une organisation («spear phishing»). La source du message est rarement une grande entreprise, mais plutôt une personne que vous connaissez.

Vous n’avez jamais reçu de tels messages? Attendez, ils finiront par arriver… Éventuellement de manière encore plus audacieuse et pas nécessairement par e-mail. Les réseaux sociaux, les applications de messagerie et même les SMS classiques sont également très prisés par les criminels. Une chose est sûre: les messages frauduleux sont de plus en plus sophistiqués.

Un piège? cela «saute aux yeux»!

Je dois admettre que les messages d’hameçonnage ont l’air incroyablement vrais. On ne peut désormais plus se fier aux bonnes vieilles caractéristiques, telles qu’une mauvaise orthographe ou un expéditeur erroné. Même les escrocs ont recours à d’excellents programmes de traduction ou de correction. Ou ils insèrent quelques petites coquilles bien humaines pour les rendre authentiques. Il n’est pas non plus rare qu’ils empruntent une adresse d’un expéditeur réel. De plus, les criminels savent comment jouer avec les peurs et les soucis des gens, avoir un effet euphorisant ou exploiter une situation stressante afin de vous pousser à agir.

Prudence, prudence

Il s’agit par conséquent de toujours faire très attention aux courriels et d’exercer une saine méfiance face aux éléments suivants:

• une formule initiale impersonnelle («Madame / Monsieur / Cher client / Chère cliente»);
• une demande d’agir («téléchargez ce fichier» ou «cliquez sur ce lien»);
• une tentative de faire pression («si vous n’agissez pas dans les X prochaines heures, alors…»);
• une demande de données sensibles telles que mots de passe ou informations sur votre carte de crédit;
• des annexes, telles que facture, confirmation de commande, offre de service, etc., dont le nom est souvent très général («facture.docx»), sans lien avec l’expéditeur ou dont le contenu ne se rapporte à rien de concret, ni de connu.

Principes: ne vous laissez pas mettre sous pression et ne révélez jamais des informations ou données confidentielles via des canaux aussi impersonnels que courriel, sms, téléphone ou réseau social. C’est aussi valable pour les formulaires que vous avez ouverts via le lien d’un message suspect. Vérifiez tout d’abord le lien en passant dessus avec la souris, mais sans cliquer! Selon votre navigateur ou votre programme de courriel, la véritable adresse ciblée apparaît alors sur votre écran ou au bas de la fenêtre.

Faites confiance à votre intuition et posez des questions

Tout prestataire ou fournisseur sérieux ne vous demandera jamais spontanément votre mot de passe ou les données de votre carte de crédit via courriel, sms ou téléphone. Vous pouvez ignorer de telles requêtes par principe et en effacer le message. Si vous souhaitez faire une dénonciation à la police, veillez à avoir le message avec vous.

Et, en cas de doute quant à l’authenticité d’un message, vous pouvez par exemple téléphoner à son expéditeur. Mais attention, n’appelez pas le numéro figurant sur le courriel suspect! Utilisez l’application de votre banque, fournisseur ou du cyber-prestataire concerné ou allez sur son site officiel en tapant vous-même son adresse dans le navigateur afin d’obtenir ses vraies coordonnées.

Sur la trace des malfaiteurs

Les cyber-enquêtes ne sont pas simples. Pourtant, la police retrouve la trace des criminels. Mais pour que la lutte contre la cybercriminalité soit couronnée de succès, nous encourageons les victimes à dénoncer les incidents relevant du droit pénal, comme le piratage, l’extorsion ou le vol.

Pour ce faire, appelez le numéro d’urgence 112 ou contactez un poste de police des environs. Si l’incident n’a causé aucun dommage, par exemple recevoir des messages d’hameçonnage, vous pouvez le déclarer au Centre national pour la cybersécurité (NCSC). Chaque déclaration compte!