Le phishing par email (encore appelé hameçonnage par email) désigne un type de cyberattaque dont l’intérêt principal est d’amener un utilisateur innocent à passer par un faux lien pour effectuer une action qui est plutôt légitime à la base. L’idée ultime est de lui soutirer des informations confidentielles. Pour paraître plus crédible, le phisheur se fait généralement passer pour quelqu’un qu’il n’est pas.
Au fil du temps, le phishing par email et son confrère, le spear phishing, se sont grandement développés et sont devenus très sophistiqués. Ainsi, il est devenu très difficile de différencier un email authentique d’un email frauduleux. Dans la suite de cet article, nous vous révélons 5 des techniques d’hameçonnage par email les plus fréquentes. En ayant connaissance de celles-ci, vous réduirez les chances de vous faire avoir par des escrocs en ligne.
Sommaire :
La fausse loterie
La loterie est un phénomène qui attire de nouveaux utilisateurs chaque jour. Ainsi, bon nombre de sociétés sont nées autour de cet écosystème. C’est donc un bon terrain de pêche pour les cybercriminels. Ces derniers prétendent être une société de jeux et envoient des mails (et parfois des SMS) à leurs cibles pour leur faire croire qu’elles ont remporté des prix. Pour paraître plus convaincants, ils associent généralement aux messages des images retouchées qui montrent la valeur du prix gagné par l’utilisateur et utilisent l’identité des grandes sociétés de jeux.
La somme de ces prix est souvent si intéressante qu’elle pousse ce dernier à suivre les étapes nécessaires pour pouvoir en bénéficier. Il faudra entre autres qu’il transmette ses coordonnées à un soi-disant huissier de justice ou notaire censé gérer la transaction de transfert des fonds vers son compte. Généralement, en cliquant sur le lien que contient l’email, un logiciel malveillant (ou malware) s’installe sur l’appareil de la victime, de sorte à collecter ses différentes données personnelles.
VOIR AUSSI : Navigation privée : qu’est-ce que c’est ? Comment l’activer ?
Les faux comptes sur les réseaux
Les réseaux sociaux tels que LinkedIn et Facebook qui sont bondés de monde, ainsi que l’écosystème de Google représentent un endroit idéal aux yeux des cybercriminels pour pêcher. Ceux-ci ne cessent de réfléchir aux voies et moyens pour piéger les moins avertis. Ils se servent généralement des logos de ces plateformes pour faire croire que les messages proviennent d’elles.
Pour le cas de LinkedIn, l’une des méthodes qui fonctionnent le plus est de faire croire à un utilisateur qu’il vient de lier une nouvelle adresse Gmail à son compte. Et puisque ce dernier ne sait rien à propos de ce nouvel émail, il sera dans une situation d’alerte et prêt à suivre les indications (généralement transmises dans ce faux mail) pour résoudre ce problème.
En suivant ces instructions, l’utilisateur donne l’occasion aux arnaqueurs de récolter ses mots de passe et autres identifiants.
Le faux compte bancaire
L’hameçonnage au compte bancaire est une autre méthode populaire utilisée par les phisheurs pour arnaquer leurs victimes. Et elle continue de fonctionner malgré les nombreuses mises en garde et les campagnes de prévention menées par les banques. Pour mettre sur pied leur stratégie, les escrocs reproduisent un clone du site web de la banque à laquelle l’utilisateur appartient. Une fois que le client clique sur le lien de l’email et atterrit sur ce faux site internet.
Citons entre autres la mise à jour de ses informations bancaires et le renforcement de la sécurité sur son espace personnel. Les arnaqueurs cherchent à convaincre l’utilisateur qu’il s’expose à des risques de vols ou de blocage de son compte s’il ne suit pas dans de brefs délais les recommandations. C’est ainsi qu’il utilisera ses identifiants bancaires et autres informations confidentielles sur cette plateforme malveillante.
VOIR AUSSI : Votre téléphone vous écoute : voici pourquoi et comment l’arrêter
La fausse imposition
C’est une attaque qui consiste pour les voleurs à utiliser l’identité de l’administration fiscale afin de faire croire une situation erronée à une personne ou à une entreprise. Par exemple, ils peuvent essayer de la persuader qu’elle peut bénéficier d’un remboursement des impôts, qu’elle doit régler au plus vite une facture impayée ou alors fournir des informations pour compléter un dossier la concernant. Pour dissiper au maximum les doutes dans l’esprit de leur cible, les arnaqueurs se servent des thèmes d’actualité dans leurs messages.
Une fois que la cible entre ses données bancaires, fiscales ou personnelles après avoir cliqué sur les liens fournis dans l’émail, le tour est joué.
La fausse commande et la fausse livraison
L’arnaque à la fausse commande est l’une des plus répandues. De façon concrète, elle consiste pour le cybercriminel à envoyer un mail à sa victime en utilisant l’identité d’une enseigne bien connue (opérateur téléphonique, boutique de vente en ligne, etc.). L’idée est de faire comprendre à l’utilisateur qu’une commande a été passée en son nom, et qu’il a encore la possibilité de l’annuler s’il n’en est pas l’auteur. Ainsi, l’arnaqueur crée un sentiment de peur et d’urgence chez le destinataire du mail, pour le presser à passer à l’action. Une fois que la victime croît à cette fausse facture, elle s’empresse de l’annuler en suivant les instructions du mail. Elle est donc rédigée vers un lien truqué et invitée à entrer ses informations personnelles comme ses coordonnées bancaires ou son mot de passe.
L’arnaque à la fausse livraison possède un mode de fonctionnement presque similaire au phishing à la fausse commande. Elle se produit généralement lors des moments de vente accrus comme les fêtes de fin d’année et les périodes de soldes. Elle consiste à envoyer un message à un internaute pour lui indiquer que la commande qu’il a passée est en train d’être livrée et qu’il faut régler les frais restants pour recevoir le colis à temps.
Dans ce cas, le phisheur usurpe l’identité d’un service de livraison connu pour appâter sa victime. Et une fois que celle-ci est convaincue, elle est poussée à cliquer sur un lien qui l’invite à payer le prix de la livraison. Pour ce faire, elle entrera ses informations personnelles et l’arnaqueur les piratera tout simplement.
VOIR AUSSI : Comment renforcer votre sécurité sur Microsoft Edge ?
Se protéger du phishing
La liste des techniques présentées précédemment n’est pas du tout exhaustive. La vérité est qu’il existe plusieurs autres attaques utilisées par les cyber arnaqueurs. Ainsi donc, le fait d’avoir connaissance de quelques types de phishing n’est pas suffisant pour être à l’abri des phisheurs. Vous devez effectuer d’autres actions.
Premièrement, veillez à sécuriser le système des appareils que vous utilisez (tablette, androïde ou ordinateur). Une façon de le faire est d’installer un antivirus réputé pour tracker les virus et les éliminer efficacement.
Deuxièmement, le spam de votre messagerie (Outlook, Gmail, Yahoo mail, Apple Mail etc.) n’étant plus assez compétent pour bloquer les messages douteux, vous pouvez renforcer vos connaissances dans le domaine de la cybersécurité. Pour ce faire, le site cybermalveillance.gouv, qui est une plateforme web alimentée par le gouvernement, est une source d’informations et de connaissances utiles.
Troisièmement, pensez à assurer la sécurité de vos informations stockées sur le cloud en ne communiquant à personne les identifiants de connexion à votre compte.
En somme, prendre ainsi connaissance de ces techniques populaires de phishing par email vous permet d’éviter de tomber dans ces pièges. N’hésitez d’ailleurs pas à adopter des mesures préventives contre l’hameçonnage par mail.
