L’e-mail reste l’un des vecteurs les plus utilisés pour monter des arnaques par hameçonnage où l’utilisateur est amené à révéler des données personnelles : adresses, mots de passe, numéros de carte bancaire, etc.
Certes, les fournisseurs de messagerie disposent tous de technologies de détection, mais certains envois arrivent quand même à les contourner. Il faut donc rester sur ses gardes. Voici quelques conseils pour ne pas se faire avoir
Inspectez les adresses e-mail et les hyperliens
C’est un réflexe qu’il faut toujours avoir. Les logiciels de messagerie n’affichent pas forcément l’adresse e-mail de l’expéditeur, mais un alias que les pirates peuvent modifier à volonté et qui peut induire en erreur.
Dans l’exemple ci-dessous, le pirate usurpe l’identité de la Société générale. L’alias est « Banque Service », mais l’adresse réelle est « contact@bouchezenergie.fr », un domaine qui est différent de celui de la Société générale. C’est donc une arnaque.
De la même manière, il faut toujours inspecter les hyperliens qui se trouvent dans le corps de l’e-mail. Si le domaine ne colle pas avec celui de la marque représentée, c’est qu’il y a un problème. Bien connaître les URL des sites qu’on fréquente souvent est évidemment un avantage.
Attention aux faux semblants
Vérifier les noms de domaine, c’est bien, mais encore faut-il être méticuleux. Pour tromper les utilisateurs, les pirates utilisent souvent des noms qui ressemblent beaucoup, sans être totalement identiques. Par exemple « societegenerole.com » au lieu de « societegenerale.com ». Ou « facebok.com » au lieu de « facebook.com ».
Certains pirates poussent le bouchon jusqu’à utiliser des caractères grecs ou cyrilliques. Par exemple « www.ıĸea.com » au lieu de « www.ikea.com ». Ou « www.airfrḁnce.com » au lieu de « www.airfrance.com ». Vous voyez la différence ? Si besoin, n’hésitez pas à sortir une loupe !
Soyez méfiants et posés
« Les deux ressorts psychologiques les plus utilisés dans l’hameçonnage sont la confiance et l’urgence », nous indique Thomas Kerjean, PDG de MailInBlack, un éditeur de solutions de sécurité pour messageries.
Dans l’exemple ci-dessous, le message fait référence à une marque connue, donc digne de confiance. Il incite l’utilisateur à se connecter rapidement, s’il ne veut pas que son mot de passe expire. Quand on reçoit ce type de message, il ne faut jamais se presser, mais souffler un bon coup et prendre du recul.
Évidemment, le cadeau est également un grand classique. Même si c’est souvent assez grossier, ça continue de fonctionner. Pourtant, rien n’est jamais gratuit, on le sait bien.
Gardez votre bon sens
Certains détails étranges peuvent mettre la puce à l’oreille. Dans l’exemple de l’usurpation de la Société Générale (voir ci-dessus), le fait qu’un client reçoive un message du conseil d’administration est quand très peu probable.
De même, l’adresse « tresor-public.com » ne peut en aucun cas être le site des impôts, en raison de l’extension commerciale « .com ». La véritable adresse se termine par « finances.gouv.fr ».
Un message commercial bourré de fautes d’orthographe doit également vous mettre en alerte, car cela n’existe pratiquement pas. De même, effacez immédiatement les messages qui arrivent sous la forme d’une image. Les expéditeurs sérieux utilisent du texte. Et en cas de doute, n’hésitez pas à demander conseil à une tierce personne pour avoir un avis extérieur.
Respectez ces quelques interdits
« N’appuyez jamais sur un bouton dans un e-mail », nous conseille Sébastien Gest, consultant chez VadeSecure, un autre éditeur français de sécurité e-mail.
Les fournisseurs et prestataires sérieux ne vous demanderont jamais de vous connecter directement depuis un e-mail, mais vous inciteront à le faire depuis un navigateur. Par ailleurs, ils ne vous demanderont jamais de renseigner des données personnelles dans un e-mail.
Si vous recevez des pièces jointes, n’ouvrez que les PDF, jamais les documents Word ou les archives ZIP, à moins que vous ne soyez certain de leur légitimité. Ce type de fichiers peuvent activer des malwares quand on les ouvre. De manière générale, n’ouvrez que les fichiers que vous attendiez. Toute pièce jointe qui sort de l’ordinaire doit être bannie.
Utilisez des services de vérification
L’e-mail que vous avez reçu vous incite à cliquer sur un lien qui vous semble légitime, mais avez un doute ? Certains services gratuits en ligne permettent éventuellement d’en savoir plus. Sur isitiphishing.org, il suffit de copier-coller une URL dans le champ principal et le site vous indique si c’est une arnaque. Sur phishtank.com, c’est un peu le même principe, mais avec une interface graphique moins jolie.
Nous avons néanmoins une préférence pour ce dernier site, car il nous semble plus à jour que le premier. En effectuant quelques rapides tests, nous avons pu constater que des sites piégés répertoriés sur phishtank.com ne l’étaient pas sur isitphishing.org.
Quel que soit le service que vous utilisez, dites-vous bien que si un site n’a pas été détecté comme malveillant, cela ne veut pas dire qu’il ne l’est pas. En revanche, si le service vous indique qu’il est malveillant, vous pouvez lui faire confiance. Malheureusement, ces vérifications ne fonctionnent pas avec les URL raccourcies.
Entraînez-vous
Réalisé par l’éditeur français Vade Secure, le site Phishing-IQ-Test.com propose une manière ludique pour s’entraîner à reconnaître des e-mails d’hameçonnage à partir d’exemples réels. L’utilisateur voit une dizaine d’e-mails défiler, et à chaque fois, il a dix secondes pour donner son appréciation.
Le seul hic, c’est qu’il faut indiquer un nom et une adresse e-mail avant de lancer le jeu, ce qui a pour effet d’alimenter une base de données commerciale. Mais rien ne vous empêche de mettre des données fantaisistes…