Hameçonnage

La fraude par hameçonnage ( Phishing ) est aussi vieille que l’internet. Mais de quoi s’agit-il exactement ? Nous allons tout vous dire : comment ça marche, quelles sont les méthodes utilisées et comment reconnaître le hameçonnage. Mieux vaut prévenir que guérir.  

Différents types de hameçonnage  

Le terme ‘hameçonnage’ signifie que l’on amène des gens, par une supercherie, à dévoiler sur internet des informations personnelles telles que mots de passe et numéros de carte de crédit, mais aussi à installer des maliciels tels qu’un virus informatique qui va crypter tous vos fichiers (pour vous réclamer ensuite une rançon) ou des logiciels espions qui vont voler les secrets d’une entreprise. 

Le hameçonnage est souvent assimilé à un mail frauduleux mais il peut être pratiqué par d’autres canaux également, dont

  Example

le Vishing (voice + phishing): hameçonnage par téléphone  

un soi-disant coup de fil de Microsoft, qui vous demande de communiquer votre mot de passe ou d’effectuer toutes sortes d’opérations, y compris le téléchargement de fichiers

le Smishing: (sms + phishing): hameçonnage via un sms 

vous recevez un SMS avec un lien qui vous amène sur un site web frauduleux

le Spear Phishing: vise un groupe de personnes en particulier  

vous recevez un mail qui présente toute les caractéristiques d’un mail de votre banque mais qui ne vient pas de votre banque. Vous cliquez sur le lien et vous arrivez sur un faux site mais totalement semblable à celui de votre banque. Vous cliquez en toute bonne foi et les pirates n’ont plus qu’à recueillir vos données.  

le Whaling: type de spear phishing encore plus ciblé 

un pirate cible le CEO, CFO, COO d’une société ou de hauts responsables ; il utilise l’information qu’il trouve sur les réseaux sociaux pour donner à la victime l’impression que le mail est authentique (‘ingénierie sociale’). But : espionnage industriel, fraude financière (faire exécuter de faux virements), etc. Plus de détails sur : "Attention à la fraude au CEO ”  

 

Différentes méthodes de hameçonnage  

E-mail spoofing 

Comment ? Le fraudeur utilise une fausse adresse mail. Vous recevez un mail qui ressemble à celui que vous enverrait une personne que vous connaissez ou une société dont vous êtes client. Il revêt souvent la forme exacte d’un document typique de l’entreprise – par exemple un accusé de réception d’une transaction.  

Pourquoi ? Le fraudeur vous demande de cliquer sur un lien, de vous connecter et d’effectuer une opération (partage de fichier par exemple).  

Comment le reconnaître ? votre nom apparaît dans le champ ‘A’(To) ou il figure dans une liste de personnes que vous ne connaissez pas ; ou vous n’êtes pas client de cette société, du moins pas via l’adresse mail à laquelle le message vous est adressé.  

Hameçonnage via URL 

Comment ? Le fraudeur masque une adresse internet ou un URL dans un mail ou un autre message de manière à ce qu’il ressemble à une adresse fiable. Pour cela il peut utiliser différentes techniques :  

  • lien caché sous un bouton ‘Cliquez ici’ ou ‘Abonnez-vous maintenant’  

  • le lien est raccourci - par exemple  t.co/xz92drTT92 

  • le lien reprend une société connue mais dont le nom est mal orthographié  - ex. citiibank.com au lieu de citibank.com  

  • le lien est une variante homographique – ex. arnazon.com au lieu de amazon.com ou Faceb00k.com au lieu de Facebook.com 

Le fraudeur a enregistré au préalable ces faux noms de domaine. Si vous cliquez sur un lien dans un mail ou un autre message, vous arrivez sur le site de l’imposteur.  

Pourquoi ? obtenir vos données, installer un maliciel , etc.  

Comment le reconnaître ? déplacez le curseur sur le lien – le lien complet apparaît alors sur votre écran. Appuyez  longtemps sur le lien sur votre appareil mobile et la totalité du lien apparaîtra dans un pop-up. Vous pouvez également cliquer sur le lien et le copier dans votre bloc-notes.  

Attaque d’un sous-domaine  

Comment ? un URL contient le nom d’une société  connue, ce qui vous rassure. Mais à y regarder de plus près, vous constatez que ce lien ne se réfère pas au nom de domaine de la société connue – mais à un sous-domaine au nom du fraudeur !  

Comment le reconnaître ? analysez toujours soigneusement un URL. Commencez de droite à gauche – la combinaison de mots AVANT la barre oblique / désigne l’extension de domaine; le nom de domaine proprement dit se trouve à gauche. Tout ce qui précède est un sous-domaine.  

Exemple: https://inlog.dnsbelgium.be.bijdeneusgenomen.be/jouwaccount. Dans cet exemple, "bijdeneusgenomen.be" est le nom de domaine et "dnsbelgium.be" est un sous-domaine.  

Hameçonnage via pop-up  

Comment ? vous visitez un site web normal lorsque soudain, un pop-up s’ouvre et vous demande de vous connecter au site web de votre fournisseur par exemple. C’est ce que l’on appelle un ‘in-session phishing,’ une technique utilisée dans les fausses annonces.  Plus de détails sur: 'La fraude via le malvertising

Notre conseil : ces pop-ups peuvent être très perturbants car ils ne disparaissent pas même lorsqu’on appuie sur la touche Escape, la petite croix en haut à droite. Fermez l’onglet et surfez à nouveau sur le site. Si nécessaire, fermez le navigateur .  

Hameçonnage via moteurs de recherche  

Comment ? le fraudeur crée une copie parfaite du site web d’une société connue. Il place une pub dans un moteur de recherche comme Google, avec le nom de cette société comme mot clé. Si vous tapez le nom de la société dans ce moteur de recherche, le site web du fraudeur apparaît comme lien sponsorisé en haut de la liste des résultats.  

Comment l’empêcher ? évitez les pubs en haut de la liste des résultats (reconnaissables au mot ‘ad’ qui apparaît à côté du lien. Soyez particulièrement vigilants concernant les pubs qui proposent des super-remises et des offres exceptionnelles. Si vous connaissez l’adresse web de la société, tapez-la simplement dans la barre d’adresses.  

Hameçonnage par contournement de filtres  

Comment ? la plupart des filtres dans votre programme de courrier électronique et votre anti-virus vous avertissent si vous cliquez sur un lien suspect dans votre navigateur. Le fraudeur rend ce lien non-cliquable et vous oblige à le copier/coller dans le navigateur pour contourner les filtres.  

Comment l’empêcher ? ne faites jamais confiance à ce type de mails. Ne répondez pas à la demande de copier/coller le lien.  

L’arme anti-hameçonnage qui vous protège le mieux possible  

Pour éviter tous types d’ennuis, soyez ultra-vigilant et suivez ces quelques règles : 

  • Si vous recevez un appel d’une société qui vous demande d’effectuer des opérations sur votre ordinateur, ne le faites pas. Demandez le nom et le numéro de téléphone de la personne et dites-lui que vous la rappellerez plus tard. Entretemps, vous pouvez vérifier si le numéro de téléphone est bien celui de la société mentionnée.  

  • Méfiez-vous des mails qui ne vous sont pas directement/personnellement adressés et qui sont pleins de fautes d’orthographe.  

  • Analysez toujours les liens dans les mails. Copiez le lien dans votre bloc-notes comme un simple texte.   

  • Utilisez un gestionnaire de mots de passe.  

  • Activez l’authentification bifactorielle pour chaque site web ou chaque service offert sur ce site  

  • Utilisez autant que possible des sites web sécurisés, reconnaissables au “https” dans l’adresse web et au petit cadenas fermé.  

  • Assurez-vous que votre anti-virus est toujours à jour. 

  • Installez directement les mises à jour les plus récentes de votre système d’exploitation, programme de courrier électronique, navigateur et de tous les logiciels que vous utilisez. 

  • Le Centre pour la cybersécurité en Belgique et la coalition cybersécurité fournissent du matériel de sensibilisation utilisateurs aux risques de hameçonnage. Téléchargez le kit de la cybersécurité et diffusez le message parmi vos collègues, utilisateurs, et étudiants.  

  • Vous avez constaté une tentative de hameçonnage ? Ou vous avez été victime d’une fraude, d’une attaque ? Dans tous les cas, déposez plainte à la police pour éviter que d’autres ne tombent dans le piège. Cliquez ici pour la procédure à suivre.  

Protégez-vous ! 

Lire également