Comment reconnaître les e-mails de phishing
7 min

Comment reconnaître les e-mails de phishing

Les e-mails de phishing visent votre ordinateur, vos coordonnées bancaires ou encore votre carte de crédit. Ces conseils vous permettront de reconnaître et de signaler de telles tentatives d’attaque provenant de cyber-criminels et d’éviter tout incident.

En pleine pandémie de coronavirus, les achats en ligne connaissent un essor sans précédent. Et avec le «Black Friday» et les fêtes de fin d’année, le volume des achats sur Internet devrait atteindre de nouveaux sommets… Tout comme les attaques des cyber-criminels, qui flairent là aussi leur affaire. A l’aide d’e-mails de phishing, ils tentent d’obtenir de l’argent ou les coordonnées bancaires des destinataires ne se doutant de rien, ou de contaminer ordinateurs et smartphones avec des logiciels malveillants. De nombreux e-mails de phishing circulent actuellement, prétendant provenir d’un service de livraison de colis. Cela ne paraît pas incroyable à une période où de nombreuses personnes attendent effectivement des colis.

Se faire piéger par un e-mail de phishing dans la sphère privée est déjà suffisamment agaçant et implique des démarches et, le cas échéant, des pertes financières. Mais dans le cadre professionnel, un autre élément entre en ligne de compte: les coordonnées bancaires récupérées peuvent être utilisées de manière abusive pour voler des données confidentielles. En outre, les e-mails de phishing servent de porte d’entrée pour contaminer une entreprise avec des logiciels malveillants tels que des ransomwares.

Qu’est-ce qu’un e-mail de phishing?

Le phishing, dérivé du mot anglais «fishing» qui signifie «pêche», est une technique d’escroquerie utilisée par les cyber-criminels. Ils se font passer pour un faux expéditeur dans un message envoyé par mail, SMS ou téléphone, généralement au nom d’une entreprise connue afin d’attirer les destinataires sur des sites web frauduleux ou de les inciter à ouvrir un document joint contenant un logiciel malveillant.

Pour renforcer l’impact du mail, les cyber-criminels ont recours à des astuces psychologiques connues sous le nom d’ingénierie sociale: ils simulent un statut qui leur confère l’autorité (entreprise connue comme expéditeur), mettent les destinataires sous pression avec des délais courts ou une offre prenant soi-disant bientôt fin, ou leur font peur («agissez maintenant, sinon votre compte sera supprimé»).

Le degré de sophistication des e-mails de phishing varie. Dans les plus faciles, on compte les e-mails en anglais contenant de nombreuses fautes d’orthographe, censés provenir d’une entreprise suisse. En revanche, il est plus difficile de reconnaître les e-mails qui se présentent comme une réponse à une communication existante. Les conseils suivants vous aideront à démasquer les e-mails de phishing et à déjouer les intentions des cyber-criminels.

Reconnaître les e-mails de phishing

Voici les principaux signes distinctifs des messages frauduleux:

  • Adresse e-mail cryptique: des lettres en pagaille et un nom de domaine (la partie suivant le signe @) qui ne correspond pas au prétendu expéditeur sont un signe distinctif. Mais attention: il est facile de contrefaire des adresses d’expéditeurs. Les e-mails de phishing peuvent donc également provenir d’expéditeurs a priori légitimes.
E-mail de phishing: livraison de colis
Au vu de l’expéditeur, cet e-mail ne provient clairement pas de la Poste.
  • On vous demande de faire une action immédiatement: par exemple, si vous devez de suite activer votre carte de crédit ou vérifier une confirmation d’envoi, il peut s’agir d’une tactique psychologique d’un cyber-criminel. En effet, dans les situations de stress, nous avons tendance à commettre plus d’erreurs, comme cliquer sur un lien de phishing.
  • Vous n’êtes pas du tout client: si vous recevez des messages vous demandant d’agir de la part d’un établissement financier dont vous n’êtes pas du tout client(e), il s’agit d’un e-mail de phishing.
  • Le texte du lien et le lien lui-même ne concordent pas: le texte de l’e-mail affiche une adresse digne de confiance, tandis que le lien qu’il contient amène vers une tout autre page. C’est la tactique typique des cyber-criminels. Leurs stratégies sont de plus en plus sophistiquées. De nombreux sites de phishing se cachent derrière une adresse légitime sur un serveur piraté. Ou alors, les pirates utilisent un service de raccourcissement d’URL comme «t.ly», qui redirige vers la véritable cible. Une adresse telle que «https://t.ly/quelquechose» peut être le signe d’une tentative d’escroquerie, mais ce n’est pas toujours le cas. Pour connaître la destination d’un lien dans un e-mail, il suffit de passer la souris sur le lien, sans cliquer dessus.
  • Attention, une icône de cadenas dans le navigateur ne signifie pas automatiquement que l’adresse est digne de confiance: auparavant, de nombreux e-mails de phishing se reconnaissaient au fait que l’adresse commençait par «http:» au lieu de «https:». Le premier indique une connexion non cryptée et non sécurisée, également marquée comme tel par les navigateurs web actuels. En revanche, les navigateurs affichent un cadenas à gauche de l’adresse pour les connexions sécurisées (https:). Mais désormais, les cyber-criminels misent eux aussi sur des adresses sécurisées pour ne pas se faire remarquer.
  • Fautes d’orthographe et vocabulaire simple: un niveau médiocre de français ou d’anglais – ou un mélange des deux dans un seul message – et un vocabulaire simple sont les signes distinctifs d’un e-mail de phishing. N’en tirez pas non plus la conclusion inverse: un e-mail sans fautes n’est pas forcément sérieux.
  • Formules impersonnelles: des formules telles que «Hello», une partie de votre adresse e-mail utilisée pour vous saluer ou l’absence de formule de politesse indiquent qu’il s’agit d’un e-mail de phishing. La raison? Le cyber-criminel ne connaît pas votre vrai nom. Cela ne s’applique toutefois pas aux attaques ciblées.
  • Pièces jointes suspectes: vous recevez en pièce jointe une facture ou une confirmation de livraison, ou encore une candidature spontanée au format PDF? Dans ce genre de cas, il convient d’être prudent(e), surtout si le nom du fichier est très générique («facture.docx»). En cas de doute, renseignez-vous auprès de l’expéditeur supposé, non pas en répondant à l’e-mail, mais en visitant le site de l’entreprise concernée pour y chercher les coordonnées d’un interlocuteur.
  • Demande de données personnelles: l’expéditeur vous demande-t-il de lui transmettre des données personnelles par e-mail? Il est presque sûr que vous avez affaire à un message frauduleux, qui vous fait peut-être miroiter un gain à une loterie ou à un concours. Votre banque, votre fournisseur de messagerie ou un prestataire de service en ligne ne vous demanderont jamais votre mot de passe. De telles demandes sont un indice supplémentaire. Cela se complique lorsque vous êtes dirigé(e) vers une page de connexion. En cas de doute, ne cliquez pas sur le lien et ouvrez plutôt votre navigateur pour y saisir l’adresse de l’expéditeur supposé.
E-mail de phishing: ingénierie sociale (sentiment d’urgence)
L’objectif est de convaincre les destinataires de ce message de saisir leurs coordonnées bancaires sur un site de phishing.

Que faire des e-mails de phishing?

Si vous avez reconnu un e-mail comme étant frauduleux, ou du moins si vous supposez que c’est le cas, vous pouvez le transmettre aux deux services suivants. Ainsi, vous contribuez à réduire le nombre d’e-mails de phishing qui atterrissent dans les boîtes de réception:

  • Votre fournisseur de messagerie: l’adresse correspondante est souvent «abuse@» ou «spam@», complétée par le nom de domaine du fournisseur, par exemple spamreport@bluewin.ch.
  • L’adresse de notification du Centre national pour la cybersécurité (NCSC) de la Confédération.

Si votre ordinateur ou smartphone professionnel est concerné, signalez immédiatement l’incident à la personne compétente.

Si possible, faites suivre l’e-mail original en pièce jointe. Ainsi, toutes les informations sur l’expéditeur initial sont préservées. Ensuite, supprimez l’e-mail, afin d’être sûr(e) de ne pas vous faire piéger.

Smishing: SMS frauduleux

Exemple de smishing pour un logiciel malveillant
Derrière le prétendu lien du message se cache un logiciel malveillant pour Android.

Ces dernières semaines, de plus en plus de messages de smishing (des SMS de phishing) ont circulé. La plupart du temps, ils font référence à un prétendu message vocal («Message vocal reçu»). Le lien contenu ne mène toutefois pas à un message, mais télécharge un logiciel malveillant pour les smartphones Android. Les iPhones ne sont pas concernés par cette attaque. L’expéditeur de ces messages varie et peut être falsifié ou provenir d’un smartphone contaminé.

Supprimez ces messages sans cliquer sur le lien.

 

Ne laissez aucune chance au hacker

Le bref e-learning fournit trois conseils comportementaux de base aux collaborateurs, sur la façon de se protéger contre le phishing et de créer des mots de passe sécurisés. Cela contribue à améliorer la sécurité dans l’entreprise.

Version remaniée d’un article existant. Certaines informations contenues dans les exemples de phishing ont été masquées.

Lisez maintenant